Настройка ДНС сервера BIND для нужд организации. Прописывание прямых и обратных зон, почтовых и Интернет-серверов, кеширование.
Обеспечение функционирования DNS-сервера.
В качестве домена, для которого настраивается DNS сервер, был выбран тестовый домен mydns. dn. Настройка проводилась в домашней сети на ОС FreeBSD (в нее уже включен DNS сервер BIND).
Основная задача настройки – внести необходимые нам изменения в конфигурационные файлы named. conf, который определяет параметры функционирования сервера, описание прямой и обратной зоны, обеспечивает перенаправление и кеширование запросов.
Определение
DNS (Domain Name System — система доменных имён) — распределённая система (распределённая ), способная по запросу, содержащему доменное имя хоста (компьютера или другого сетевого устройства), сообщить IP адрес или (в зависимости от запроса) другую информацию. DNS работает в сетях TCP/IP.
DNS важна для работы Интернета, ибо для соединения с узлом необходима информация о его IP-адресе, а для людей проще запоминать буквенные (обычно осмысленные) адреса, чем последовательность цифр IP-адреса. В некоторых случаях это позволяет использовать виртуальные серверы, например, HTTP-серверы, различая их по имени запроса. Первоначально преобразование между доменными и IP-адресами производилось с использованием специального текстового файла HOSTS, который составлялся централизованно и обновлялся на каждой из машин сети вручную. С ростом Сети возникла необходимость в эффективном, автоматизированном механизме, которым и стала DNS.
DNS была разработана Полом Мокапетрисом в 1983 году; оригинальное описание механизмов работы описано в RFC 882 и RFC 883. В 1987 публикация RFC 1034 и RFC 1035 изменили спецификацию DNS и отменили RFC 882 и RFC 883 как устаревшие. Некоторые новые RFC дополнили и расширили возможности базовых протоколов.
Структура системы доменных имен
Система доменных имен (DNS) – это иерархический протокол, работающий по сети internet аналогично протоколам маршрутеризации. Несколько «корневых серверов», географически расположенных по всей сети Internet для обеспечения надежности и избыточности, поддерживается корпорацией Network Solutions, Inc. и другими организациями. Каждое доменное имя строится в обратном порядке, начиная с корневой зоны, причем суффикс домена – ru, com, gov и т. д. – определяет корневую зону. После каждого из суффиксов (которые обычно называют доменами верхнего уровня – top-level domains или TLD) следуют имена доменов, определяемы обычно не корневыми серверами, а отдельными хостами DNS в сети Internet.
Основные сервисы глобальной сети Internet
... локальной сети класса: pc01@server Чтобы отправить электронное письмо, отправитель должен подключиться к Интернету и передать на свой почтовый сервер сообщение. Почтовый сервер сразу же отправит это письмо через систему почтовых серверов Интернет ...
Когда клиент обращается с запросом к службе DNS, он запрашивает сервер имен, сконфигурированный в ходе настройки стека протоколов TCP/IP, — обычно это сервер в той же сети (пример на рисунке).
Если сервер не может ответить на запрос, он передает его серверу более высокого уровня, если он доступен. Если же такого сервера нет, запрос перенаправляется непосредственно к корневым узлам.
Корневые сервера сами не поддерживают никаких авторитетных данных службы DNS. Они содержат только записи хостов, которые указывают на авторитетные серверы имен в каждом домене. Корневые серверы возвращают запрашивающему ответ DNS, содержащий ссылку на авторитетные сервера имен домена, к которому обращался клиент. Этот сервер, в свою очередь, возвращает запрашиваемые данные DNS локальному серверу DNS, который передает ее клиенту.
Локальный сервер DNS может сохранить результат поиска в своем кэше на период времени, указанный авторитетным сервером имен. Это ускоряет обработку запросов, позволяя локальным клиентам получать непосредственные ответы на свои запросы DNS от локального сервера, без передачи информации по Internet. Это, однако, означает, что изменения в записях DNS на авторитетном сервере DNS домена не будут доступны клиенту до завершения периода устаревания. До этого времени доступная клиенту информация DNS «заморожена» и потенциально неверна.
Схема работы DNS
Типы записей DNS
Запись A (address record ) или запись адреса связывает имя хоста с адресом IP. Например, запрос A-записи на имя referrals. icann. org вернет его IP адрес — 192.0.34.164 Запись AAAA (IPv6 address record ) связывает имя хоста с адресом протокола IPv6. Например, запрос AAAA-записи на имя K. вернет его IPv6 адрес — 2001:7fd::1 Запись CNAME (canonical name record ) или каноническая запись имени (псевдоним) используется для перенаправления на другое имя Запись MX (mail exchange ) или почтовый обменник указывает серверы обмена почтой для данного домена. Запись PTR (pointer ) или запись указателя связывает IP хоста с его каноническим именем. Запрос в домене in-addr. arpa на IP хоста в reverse форме вернёт имя (FQDN) данного хоста. Например, для IP адреса 192.0.34.164: запрос записи PTR 164.34.0.192.in-addr. arpa вернет его каноническое имя referrals. icann. org. В целях уменьшения объёма нежелательной корреспонденции (спама) многие серверы-получатели электронной почты могут проверять наличие PTR записи для хоста, с которого происходит отправка. В этом случае PTR запись для IP адреса должна соответствовать имени отправляющего почтового сервера, которым он представляется в процессе SMTP сессии. Запись NS (name server ) указывает на DNS-сервер для данного домена. Запись SOA (Start of Authority ) или начальная запись зоны указывает, на каком сервере хранится эталонная информация о данном домене, содержит контактную информацию лица, ответственного за данную зону, тайминги кеширования зонной информации и взаимодействия DNS-серверов.
Технология «Клиент – сервер»
3. Сервер в информационных технологиях — программный компонент вычислительной системы, выполняющий сервисные функции по запросу клиента, предоставляя ему доступ к определённым ресурсам. Взаимосвязь понятий. Серверное приложение (сервер) запускается на компьютере, так ...
В качестве DNS сервера использовалась система BIND версии 9.
BIND
BIND (Berkeley Internet Name Domain , до этого: Berkeley Internet Name Daemon ) — это открытая и наиболее распространённая реализация DNS-сервера, обеспечивающая выполнение преобразования DNS-имени в IP-адрес и наоборот. Система BIND (сокращение от Berkeley Internet name Domain) состоит из основной программы-демона (named), набора библиотек разрешения имен позволяющих выполнять поиск имен, и ряда административных средств.
VIEW
DNS сервер BIND 9-й версии позволяет работать с представлениями (VIEW) , что позволяет, например, разместить внутренний и внешний DNS на одном компьютере. Предположим, некая компания Example поддерживает внутренний домен ***** и внешний домен *****. Файл зоны внутреннего домена содержит имена внутренних компьютеров и их IP-адреса, а внешний домен имеет отдельный файл зоны, содержащий имена внешних компьютеров и их IP-адреса. Обычный DNS-сервер смог бы использовать лишь один файл зоны для домена *****. BIND 9 позволяет единственному DNS работать с несколькими файлами зон для одного и того же доменного имени. Такой DNS умеет отличать внутренних клиентов от внешних по их IP-адресам и использовать для ответов соответствующие файлы зон.
Файлы BIND
- /usr/sbin/named. Демон сервера имен. Он прослушивает 53 порт ожидая поступления запросов поиска системы DNS.
- /etc/namedb. Все файлы конфигурации и файлы текущего состояния системы BIND, включая файлы определния зон, находятся в этом каталоге (или в созданных адинистратором подкаталогах).
- /etc/namedb/named.
conf. Основной файл конфигурации системы BIND. Из него система BIND «узнает», какими доменами управляеть и как рабоать с каждым и них.
Пример файла «named. conf»
acl clients {10.239.0.0/16; 127.0.0.1; };
options {
version «1.0.a»;
- listen-on { 10.239.0.209;
- 127.0.0.1;
- };
- forward first;
- forwarders { 213.234.192.8;
- };
- allow-recursion { clients;
- };
};
zone «.» {
type hint;
- file «named. root»;};
zone «localhost» {
type master;
- file «master/localhost. rev»;};
- zone «0.0.127.in-addr. arpa» {
type master;
- file «master/localhost. rev»;};
- zone «mydns. dn» {
type master;
- file «master/mydns. dn/mydns. dn»;};
- zone «0.239.10.in-addr. arpa» {
type master;
- file «master/mydns. dn/0.239.10.in-addr. arpa»;
- };
— Система BIND позволяет ограничить доступ с помощью списков контроля доступа (Access Control List – ACL).
Проектирование и разработка информационной системы на примере ...
... Что вам для этого потребуется? Р: Обычно процесс изучения предприятия и внедрения информационных систем занимает от ... на обслуживание клиентов. Computer Master 2.1 Описание выполненных работ В силу проведенного обследования выяснилось необходимо установить на два уже имеющихся компьютера систему. На ... и техники работает в вашем магазине? З: В нашем магазине работают два продавца-консультанта, 1 ...
Список указывается в операторе acl, задающем имя списка и содержащем критерии включенных хостов в список. Элементами списка контроля доступа также могут быть IP-адреса, адреса сетей в формате CIDR или оператор key (используется для защищенных транзакций).
Структура options — описывает глобальные параметры для сервера, а структуры zone – описывают доменные зоны.
listen-on
- version — строка, которая будет выдаваться на запрос определения версии DNS-сервера
— forward — этот параметр позволяет указать каким образом сервер обрабатывает запрос клиента. first — это означает что сервер сначала перенаправит запрос выше и если не получит положительного результата, то посмотрит в своем кэше. Если указать only — то у себя смотреть не будет
forwarders
named.root –
- type — тип зоны
Добавим две структуры: прямую зону – mydns.dn и реверсивную — 0.239.10.in-addr.arpa.
Создание файла зоны.
В файле зоны задаются соответствия имен хостов и IP-адресов в пределах домена или зоны. Формат файла зоны (который часто называют главным файлом зоны – Master Zone File) весьма сложен и строг, хотя и допускает определенные послабления. Ниже приведен пример файлы прямой и обратной зоны для mydns.dn .
Прямая зона
mydns. dn. IN SOA dns. mydns. dn. admin. mydns. dn.(
04 ; Serial
10800 ; Refresh 3 hours
3600 ; Retry 1 hour
3600000 ; Expire 1000 hrs
86400 ) ; Min 24 hours
mydns. dn. IN NS ns. mydns. dn.
@ IN A 10.239.0.209
mail. mydns. dn. IN A 10.239.0.210
@ IN MX 10 mail. mydns. dn.
www. ***** IN CNAME *****.
www. mydns. dn. IN CNAME www. *****.
Обратная зона
@ IN SOA ns. mydns. dn. admin. mydns. dn. (
03 ; Serial
10800 ; Refresh 3 hours
3600 ; Retry 1 hour
3600000 ; Expire 1000 hrs
86400 ) ; Min 24 hours
;
IN NS ns. mydns. dn.
@ IN NS ns1.mydns. dn.
208 IN PTR ns. mydns. dn.
210 IN PTR mail. mydns. dn.
209 IN PTR mydns.dn.
Расшифровка полей файлов зон:
Каждая зона должна включать запись типа SOA (State Of Authority, сведения об ответственности).
В этой записи определяются основные временные и административные параметры домена, в том числе электронный адрес лица, ответственного за домен (администратора) и серийный номер зоны.
- ; serial — серийный номер версии таблицы. Самый лучший формат — ГГГГММДДNN, где NN — номер изменения таблицы за текущий день
108000 ; refresh
3600 ; retry
3600000 ; expirу
86400 ; ttl
- NS — указывает name-серверы для данной зоны
- MX — указывает на почтовые серверы домена, очередность — 0,10,20,
- A — «прямая» запись ресурса (имя-адрес)
- PTR — «реверсивная» запись (адрес-имя)
- CNAME — псевдоним
Точка в конце некоторых названий означает, что не нужно дописывать название доменной зоны. Если ее не ставить, то сервер автоматически допишет название домена для которого данная таблица и составляется.
Организация корпоративного сервера на базе Linux
... этих задач позволяет решить установка в организации корпоративного сервера. Основной составляющей, как сервера, так и любого компьютера является операционная система. Сервер – в информационных сетях ... начиная от сборки и настройки компьютеров сотрудников организации и заканчивая разработкой политики информационной безопасности и администрированием серверов. За время работы сотрудники этого отдела ...
Создание файла зоны localhost
Для правильной работы необходимо создать специальный файл зоны localhost (0.0.127.in-addr. arpa).
В каталоге /etc/namedb имеется сценарий make-localhost, помогающий создать такой файл. Сценарий читает шаблон (PROTO. localhost. rev) и заполняет его введенной администратором информацией.
Сгенерированный файл зоны localhost.rev
$TTL 3600
@ IN SOA ns. mydns. dn. admin. mydns. dn. (
; Serial
3600 ; Refresh
900 ; Retry
3600000 ; Expire
3600 ) ; Minimum
IN NS ns. mydns. dn.
1 IN PTR localhost
Сервер запускается командой named .
Проверка работы BIND сервера
# dig mydns. dn
; <<>> DiG 9.3.3 <<>> mydns. dn
;; global options: printcmd
;; Got answer:
- ;;
- >>HEADER<<- opcode: QUERY, status: NOERROR, id: 36762
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;mydns. dn. IN A
;; ANSWER SECTION:
mydns. dn. 86400 IN A 10.239.0.209
;; AUTHORITY SECTION:
mydns. dn. 86400 IN NS ns. mydns. dn.
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed May 13 18:12:10 2009
;; MSG SIZE rcvd: 78
# nslookup mydns. dn
Server: 127.0.0.1
Address: 127.0.0.1#53
Name: mydns. dn
Address: 10.239.0.209
# nslookup mail. mydns. dn
Server: 127.0.0.1
Address: 127.0.0.1#53
Name: mail. mydns. dn
Address: 10.239.0.210
В ходе работы был изучен принцип работы DNS сервера и получены практические знания по установке и настройке DNS BIND.
DNS and BIND, 5th Edition»
- Интернет ресурс: http://ru. wikipedia. org/
- Интернет ресурс: http://rubsd. org/doc/dns/
