Linux - Netzwerk und Serveradminstration DNS: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 267: Zeile 267:
  
  
==Änderungen in der /etc/bind/named.conf.local==
+
==Auf dem Master müssen folgende Einträge gemacht werden==
 +
===Änderungen in der /etc/bind/named.conf.local===
 
*Es müssen zwei neute Zonen eingetragen.
 
*Es müssen zwei neute Zonen eingetragen.
 
*Diese werden vom Masterserver gezogen.
 
*Diese werden vom Masterserver gezogen.
Zeile 284: Zeile 285:
 
     '''<span style="color:red">file "/var/cache/bind/214.88.10.in-addr.arpa";</span>
 
     '''<span style="color:red">file "/var/cache/bind/214.88.10.in-addr.arpa";</span>
 
  '''<span style="color:red">}};</span>
 
  '''<span style="color:red">}};</span>
 
  
 
==Abschluss==
 
==Abschluss==

Version vom 16. April 2026, 13:50 Uhr

Vorab Theorie


Eigener DNS Server

Pseudo Top-Level-Domain

Pseudo-Top-Level Domäne

  • Um die Domänen der anderen Labore aufzulösen ist ein Forwarder nötig
  • Dieser zeigt auf den entsprechenden DNS-Server der Domäne, sodass die Zonen nur einmal definiert werden müssen

Vorbereitungen

  • VirtualBox Server-Vorlage klonen
  • Der Host soll im DMZ-Netzwerk liegen
  • statische IP-Adresse nach dem Netzwerkplan setzen (/etc/network/interfaces)
  • SSH-Schlüssel des Kit Hosts für User kit hinterlegen

Netzkonfiguration DNS-Server (DMZ)

Parameter Wert Erläuterung
Netzwerk (NIC) DMZ Interface-Zuweisung in VirtualBox
IP 10.88.2XX.21 Statische IP
CIDR 24 Classless Inter-Domain Routing Präfixlänge
GW 10.88.2XX.1 GATEWAY
NS 192.168.HS.88 Resolver
FQDN ns.it2XX.int Fully Qualified Domain Name
SHORT ns Short Name
DOM it2XX.int Domain Name
Anpassen des Templates

DNS Umsetzung

Installation

  • apt install bind9

Stop

  • systemctl stop named

Start

  • systemctl start named

Restart

  • systemctl restart named

Status

  • systemctl status named


Hauptkonfiguration

Standardmäßig ist die Konfiguration von bind9 auf mehrere Dateien aufgeteilt:

/etc/bind/named.conf

#Diese Datei inkludiert einfach nur die anderen 3 Dateien

Allgemeine Option zum Nameserver

include "/etc/bind/named.conf.options";

Hier kommen die eignen Zonen rein

include "/etc/bind/named.conf.local";

Hier werden die Root Nameserver konfigurtiert

include "/etc/bind/named.conf.root-hints";

/etc/bind/named.conf.options

Berechtigungen und Einschränkungen

options {
  directory "/var/cache/bind";
  forwarders { <DNSGW>; };
  empty-zones-enable no;
  allow-query { 0.0.0.0/0; };
  allow-recursion { 10.88.2XX.0/24; 172.26.2XX.0/24; 10.2XX.1.0/24; 127.0.0.1; };
  allow-transfer {127.0.0.1; };
  dnssec-validation no;
  listen-on-v6 { none; };
  listen-on { any; };
};

Erklärungen

directory "/var/cache/bind";
  • Das ist das Basisverzeichnis der Zonen-Datein
forwarders { <DNSGW>; };
  • Wir richten alle Anfragen die wir nicht selbst beantworten können and er Forwarder
empty-zones-enable no;
  • Deaktiviert die eingebauten leeren Zonen für private IP-Bereiche (RFC 1918), damit PTR-Anfragen an den Forwarder weitergeleitet werden anstatt lokal mit NXDOMAIN beantwortet zu werden.
allow-query { 0.0.0.0/0; };
  • Diese Rechner dürfen den Nameserver nach dem von ihm verwalteten Zonen befragen.
allow-recursion { 10.88.2XX.0/24; 172.26.2XX.0/24; 10.2XX.1.0/24; 127.0.0.1; };
  • Diese Rechner dürfen den Nameserver nach Einträgen befragen die er nicht selbst beantworten kann.
allow-transfer {127.0.0.1; };
  • Diese Rechner dürfen einen axfr Abfrage durchführen.
listen-on-v6 { none; };
  • Wir schalten IPv6 ab
listen-on { any; };
  • Wir lauschen an allen Schnittstellen

Testen

  • named-checkconf

Restart

  • systemctl restart named

Konfigurations

/etc/bind/named.conf.root-hints

// prime the server with knowledge of the root servers
zone "." {
	type hint;
	file "/usr/share/dns/root.hints";
};

/etc/bind/named.conf.local

 //Standardmässig leer
 //Hier werden die sogenanten Zonen angelegt.
 zone "it2xx.int" {
        type master;
        file "it2xx.int";
        };
  zone "2xx.88.10.in-addr.arpa" {
        type master;
        file "2xx.88.10.in-addr.arpa";
      };

Erklärungen

zone "it2xx.int" {
  • Die beschreibt den authoritiven Bereich den ihr verwaltet
type master;
  • Wir befinden uns auf primären Nameserver
file "it2xx.int";
  • In dieser Datei werden die Zonendaten konfiguriert. Der Pfad ist relativ zur directory Direktive.
};
  • Abschluss des authoritiven Bereich.

Konfigurationsverzeichnis

/var/cache/bind

Forward Zonen Datei ohne Secundary DNS

  • Die Zonendatei enthält die Informationen zu den Adressen, und sieht folgendermaßen aus:
  • vi /var/cache/bind/it2xx.int
$TTL 1        ; 1 Sekunde
@                       IN SOA  ns.it2XX.int. technik.it2XX.int. (
                               2025062501 ; serial
                               14400      ; refresh (4 hours)
                               3600       ; retry (1 hour)
                               3600000    ; expire (5 weeks 6 days 16 hours)
                               300      ; minimum (5 min)
                               )
                       NS      ns.it2xx.int.
                       MX 10   mail.it2xx.int.     
fw                     IN      A       10.88.2XX.1
ns                     IN      A       10.88.2XX.21
sftp                   IN      A       10.88.2XX.3
proxy                  IN      A       10.88.2XX.4
mail                   IN      A       10.88.2XX.19
ntp                    IN      A       10.88.2XX.17
dhcp		       IN      A       172.26.2XX.2  
smb		       IN      A       10.2XX.1.2  
ldap		       IN      A       10.2XX.1.3

Check

  • named-checkzone it213.int /var/cache/bind/it213.int
zone it213.int/IN: loaded serial 2011090204
OK

Reverse Zonen Datei

  • vi /var/cache/bind/2XX.88.10.in-addr.arpa
$TTL 1       
@                       IN SOA  ns.it2XX.int. technik.it2XX.int. (
                               2025062501 ; serial
                               14400      ; refresh (4 hours)
                               3600       ; retry (1 hour)
                               3600000    ; expire (5 weeks 6 days 16 hours)
                               300        ; minimum (5 min)
                               )
                       IN      NS      ns.it2XX.int.
1                      IN      PTR     fw.it2XX.int.
21                     IN      PTR     ns.it2XX.int.
3                      IN      PTR     sftp.it2XX.int.
4                      IN      PTR     proxy.it2XX.int.
17                     IN      PTR     ntp.it2XX.int.
19                     IN      PTR     mail.it2XX.int.

Check

  • named-checkzone 213.88.10.in-addr.arpa /var/cache/bind/213.88.10.in-addr.arpa
zone 213.88.10.in-addr.arpa/IN: loaded serial 2011090204
OK

Restart

  • systemctl restart named

Finaler Check

Asynchronous Full Zone Transfer

Zone
  • dig @127.0.0.1 it213.int -t axfr
Reverse Zone
  • dig @127.0.0.1 213.88.10.in-addr.arpa -t axfr

ändern der /etc/network/interfaces

dns-nameserver 127.0.0.1
Danach aktivieren
  • ifdown enp0s3 && ifup enp0s3
Kontrolle
  • cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 127.0.0.1
search it213.int

Status

  • systemctl status named

Logs

Aktualisierte Log von named
  • journalctl -fu named
Die letzten 20 Log Zeilen vom named
  • journalctl -n 20 -u named
Aktualisierte Log von named plus grepen nach it213
  • journalctl -fu named -g it213

Sind die Ports geöffnet

  • ss -lntpu | grep named

Tests

DNS Aufgabe Reverse Lookup Zone LAN & SERVERS

DNS Secondary Nameserver

  • Als Beispiel dienen die Domain it213.int und it214.int

Auf dem Master müssen folgende Einträge gemacht werden

Änderungen in der /etc/bind/named.conf.options

  • Der Slave Nameserver muss einen Transfer durchführen können.
  • Er muss unter allow-transfer eingetragen werden
  • Der Transfer erfolgt im Gegensatz zu den normalen Record abfragen über TCP
  • cat /etc/bind/named.conf.options
options {
  directory "/var/cache/bind";
  forwarders { 192.168.16.88; };
  empty-zones-enable no;
  allow-query { any; };
  allow-recursion { 10.88.213.0/24; 172.26.213.0/24; 10.213.1.0/24; 127.0.0.1; };
  allow-transfer { 127.0.0.1;  10.88.214.21; };
  dnssec-validation no;
  listen-on-v6 { none; };
  listen-on { any; };
};

Änderungen in /var/cache/bind/it213.int

                      NS      ns.it213.int.
                      NS      ns.it214.int.

Änderungen in /var/cache/bind/213.88.10.in-addr.arpa

                      NS      ns.it213.int.
                      NS      ns.it214.int.


Auf dem Master müssen folgende Einträge gemacht werden

Änderungen in der /etc/bind/named.conf.local

  • Es müssen zwei neute Zonen eingetragen.
  • Diese werden vom Masterserver gezogen.
  • Sie werden in einem speziellen Format auf der Platte abgelegt.
  • cat /etc/bind/named.conf.local
zone "it214.int" {
    type slave;
    masters { 10.88.214.21; };
    file "/var/cache/bind/it214.int";
}; 

zone "214.88.10.in-addr.arpa" {
    type slave;
    masters { 10.88.214.21; };
    file "/var/cache/bind/214.88.10.in-addr.arpa";
}};

Abschluss

  • Wenn die Änderungen auf beiden Nameserver gemacht wurden kann man named neustarten.

Debbuging

auf ns.it214.int

  • journal -fu named

auf ns.it213.int

Manueller Zonentransfer
  • dig -t axfr @10.88.214.21 it213.int
  • dig -t axfr @10.88.214.21 213.88.10.in-addr.arpa
Automatischer Zonentransfer
  • systemctl restart named

auf ns.it214.int

  • tcpdump -ni enp0s3 port 53

auf ns.it213.int

A Record
  • dig -t a @10.88.214.21 sftp.it213.int
Zonentranfer
  • dig -t axfr @10.88.214.21 it213.int
Ereknntniss Zonetransfer läuft über TCP und A-Rcord über UDP.
Abgerufen von „http://www.xinux.net/index.php?title=Linux_-_Netzwerk_und_Serveradminstration_DNS&oldid=68748