Различия между версиями 2 и 18 (по 16 версиям)
Версия 2 от 2008-08-02 00:35:39
Размер: 10805
Редактор: eSyr
Комментарий:
Версия 18 от 2008-10-16 15:48:07
Размер: 15930
Редактор: FrBrGeorge
Комментарий:
Удаления помечены так. Добавления помечены так.
Строка 3: Строка 3:
Кусок лекции из сетевого адм, который был: DNS --- такая штука, которая пребз. имена в ip и обратно, структура иерархическая, у каждой зны есть доменный сервер, у каждой сети есть собст. служба доменных имён, ктрая преобр. в обр. сторну. Это не очень связные вещи, в локальной сети всё нормально, а вот если ip выдаёт првайде, то могут быть прблемы с орг. обр. dns. Может быть два варианта по поводу орг. доменных имён: первый --- провайдер, заведи мне поддомен, и ты будешь отвечать за мои доменные имена. И всякий раз, когда вздумаете переим. машину, то надо опять идти к адм. Во втрм случае --- дмен у меня, что ты мне предл по поводу орг. обр. dns? Команда chroot позволяет выполнять приложения в, так называемом, изолированном окружении. Обычно это используется для запуска служб, требующих привелегий суперпользователя, или приложений, в которых риск наличия уязвимостей достаточно велик. Системный вызов chroot изменяет корневой каталог для процесса, из которого был вызван, и всех потомков данного процесса. После этой операции процесс и его потомки не могут получить доступ к файловой системе за пределами выбранного каталога, кроме как обращаясь к устройствам. Стоит обратить внимание, что изоляция касается исключительно файловой системы. Изоляции процессов в оперативной памяти в данном случае не происходит.
Строка 5: Строка 5:
как полоучить собст. домен? Идёте к регистратору, выбираете себен незанятое доменное имя, платите за него, появляете в базе whois, вы обязаны какое-то количество должно быть живым. Стит это порядка 20 долларов в год. Второй способ --- получить поддомен --- пойти к владельцу домена и на непонятных правах получить у него поддомен. За это в больш. случаев не над платить, например, в случае, когда это структ. подразделение, как, например, po.cs.msu.su. В первом случае вы становитесь адм. домена, в ругом случае вполне возм., что адм. его будете не вы. В любм случае, вы по-хрошему длжны обесп. два доменных сервера с сущ. разными адресами, кторые бы занимались преобр. из доменных имён в вашем дмене в ip. В случае, если мы имеем дело со школой, с классом, то эт стаётся в плане отл. фантазии, поск. никаких доменных имён для интранета зарег. не надо. Можно завести какой угодно домен, главное, чтобы не присходило интерференции. В качестве примера рассмотрим DNS-сервер --- BIND. Уязвимости в BIND встречаются не очень часто, но получить информацию о них вовремя (заранее) и бесплатно невозможно. Таким образом, BIND потенциально опасен. В документации обычно предполагается, что конфигурационные файлы BIND размещены в `/etc` и `/var`. В ALTLinux часть конфигурационных файлов расположена в других каталогах. Естественно, все необходимые для работы каталоги включаются в изолированное окружение, в котором запускается приложение.
Корневым каталогом для BIND в ALTLinux является `/var/lib/bind`. Все файлы, необходимые для полноценной работы DNS сервера, находятся в `/var/lib/bind`. Так как BIND запускается из обычного окружения, и сначала загружает динамические библиотеки, а затем самостоятельно вызывает chroot, необходимость помещать библиотеки в изолированное окружение отсутствует.
   
== Настройка DNS ==
Строка 7: Строка 10:
Сейчас никакого сервера доменныъх имён не стоит вообще. То есть когда клиенты ходят к нему по DHCP, он говорит, что есть общий сервер. В случае, когда пднят DNS, т он будут ходит к нему, а он дальше. И в этом случае взможно работа по именам. Как рассказывалось ранее, DNS служит для преобразования символьных имен в IP-адреса и обратно. DNS имеет иерархическую структуру. У каждой зоны есть свой DNS-сервер, кроме того, в каждой сети должна быть зарегистрирована служба, преобразующаяся IP-адрес в доменное имя (обратный DNS).
Существует два способа использования доменных имён:
 * Домен, зарегистрированный за провайдером. В этом случае пользователь получает поддомены, которые будут связаны с соответствующими IP-адресами. При необходимости изменить доменное имя какой-либо машины, придется обращаться к провайдеру.
 * Собственный домен. В этом случае провайдер организует лишь обратный DNS. Способов получить собственный домен несколько:
  * Выбрать незанятое доменное имя и оплатить его аренду у специальной компании-регистратора, после чего информация об этом появится в базе whois. Арендатор становится администратором домена. В этом случае надо обеспечить существование определенного количества "живых" адресов в арендованном домене. Общая стоимость подобного решения составляет около 20 у.е. в год.
  * Получить на непонятных правах поддомен у владельца домена. В большинстве случаев это не требует дополнительных затрат. Часто такой подход используется при регистрации поддоменов для структурных подразделений организаций, например --- po.cs.msu.su. Администратором поддомена можете быть и не вы.
При использовании доменного имени желательно (обязательно, в случае собственного домена) обеспечить наличие не менее двух доменных DNS-серверов с существенно различными IP-адресами.
Строка 9: Строка 18:
Что такое pdnsd. Это DNS-сервер, предн. для тго, чтобы запускаться на очень плохих каналах, и предн. для принудителььного кэширования запрсов. То есть, даже если в случае, если сказано, что у записи малое время жизни, всё равно при его исп. не надо ходить. Также он актуален малых сетях без иерархии. Если задача состоит в организации интранета, например, для школы или компьютерного класса, то необходимости в регистрации доменных имен нет. Можно использовать какой угодно домен, при условии, что не происходит коллизий с уже существующими адресами.
Строка 11: Строка 20:
Установим ег и отредактируем pdnsd.conf. Тут мы редактируем ip сервера. ... При наличии в сети DNS-сервера, клиентские машины узнают его адрес при помощи DHCP, и все DNS-запросы посылаются к нему. Таким образом можно организовать обращение по именам к локальным компьютерам.
Строка 13: Строка 22:
Теперь над поправить dhcp. === pdnsd ===
Строка 15: Строка 24:
После этг проверим работу с клиентов. pdnsd --- это DNS-сервер, изначально предназначенный для того, чтобы запускаться на очень плохих каналах, кэширующий все DNS-запросы, даже запросы к записям с очень малым временем жизни. Кроме того, он весьма удобен в малых сетях без иерархии, когда всё, что необходимо --- это учесть все машины и настроить на них использование внутреннего DNS-сервера.
Строка 17: Строка 26:
Для того, чтобы сервер польхзвалмся своим dns, надо первым неймсервером прписать 127.0.0.1 в /etc/resolv.conf Установим pdnsd:
{{{
root@demo ~]# apt-get install pdnsd
}}}
Строка 19: Строка 31:
Настройка BIND Посмотрим его состав:
{{{
[root@demo ~]# rpmquery -l pdnsd
/etc/pdnsd.conf
/etc/ppp/ip-up.d/0pdnsd
/etc/rc.d/init.d/pdnsd
/usr/sbin/pdnsd
/usr/sbin/pdnsd-ctl
/usr/share/doc/pdnsd-1.2.5
/usr/share/doc/pdnsd-1.2.5/AUTHORS
/usr/share/doc/pdnsd-1.2.5/COPYING.BSD
/usr/share/doc/pdnsd-1.2.5/ChangeLog
/usr/share/doc/pdnsd-1.2.5/ChangeLog.old
/usr/share/doc/pdnsd-1.2.5/NEWS
/usr/share/doc/pdnsd-1.2.5/README
/usr/share/doc/pdnsd-1.2.5/README.ALT
/usr/share/doc/pdnsd-1.2.5/README.par
/usr/share/doc/pdnsd-1.2.5/README.par.old
/usr/share/doc/pdnsd-1.2.5/THANKS
/usr/share/doc/pdnsd-1.2.5/TODO
/usr/share/doc/pdnsd-1.2.5/contrib
/usr/share/doc/pdnsd-1.2.5/contrib/README
/usr/share/doc/pdnsd-1.2.5/contrib/change_pdnsd_server_ip.pl
/usr/share/doc/pdnsd-1.2.5/contrib/dhcp2pdnsd
/usr/share/doc/pdnsd-1.2.5/contrib/pdnsd_dhcp.pl
/usr/share/doc/pdnsd-1.2.5/html
/usr/share/doc/pdnsd-1.2.5/html/dl.html
/usr/share/doc/pdnsd-1.2.5/html/doc.html
/usr/share/doc/pdnsd-1.2.5/html/faq.html
/usr/share/doc/pdnsd-1.2.5/html/index.html
/usr/share/doc/pdnsd-1.2.5/pdnsd.conf
/usr/share/doc/pdnsd-1.2.5/txt
/usr/share/doc/pdnsd-1.2.5/txt/faq.txt
/usr/share/doc/pdnsd-1.2.5/txt/intro.txt
/usr/share/doc/pdnsd-1.2.5/txt/manual.txt
/usr/share/man/man5/pdnsd.conf.5.bz2
/usr/share/man/man8/pdnsd-ctl.8.gz
/usr/share/man/man8/pdnsd.8.gz
/var/cache/pdnsd
/var/cache/pdnsd/pdnsd.cache
/var/run/pdnsd
/var/run/pdnsd/socket
}}}
Строка 21: Строка 75:
Пакет bind, а сервис named. BIND делают долго и упорно ребята из Internet Service consorcium, они писали RFC на этт счёт. н большой, имеет много функций. Запустим (при необходимости можно отредактировать `/etc/pdnsd.conf`, например, чтобы указать отличный от `/etc/hosts` файл для списка соответствий адреса и имени):
Строка 23: Строка 77:
Запускается н из чрута. {{{
[root@demo ~]# service pdnsd start
}}}
Строка 25: Строка 81:
chroot Чтобы начать использовать DNS-сервер осталось лишь отредактировать настройки DHCP.
Строка 27: Строка 83:
Идея в следующем: у нас есть служба, кторую мы не можем запускать не от рута, или есть служба, которуюмы можем запускать не т рута, но бимся, что она может получить призв. доступ. В любом случае, мы не хотим вычитывать все исх., боимся её, но хотим пользваться. Поэтому они переносятся в изолирванное окружение. chroot --- вызов на уровне ядра, после вызова которого при обр. к ФС н видит её как ФС с корнем в виде параметра chroot. И кроме как залезания в устрйства получить доступ к ст. части ФС не удаётся. При этом никакой изоляции т процессов не произв., память неизолир., но на файлы это распр. В частности, сервер bind настольк большой, и дырки там часто. И доступ к списку бн. ошибок предст. за еньги. И эта служба потенциально опасна. Посему в мане в настройке в файлах вывидите файлы в etc и var, а в альте они лежат ещё в другом месте. Если посмтрим на inode (ls -ild), то увидим, что д и почле chroot они отл.. Для того, чтобы DNS-сервер использовал собственный DNS необходимо в качестве первого nameserver в `/etc/resolv.conf` указать 127.0.0.1.
Строка 29: Строка 85:
В altlinux они лежат в /var/lib, чт не сотв. fhs. Там лежат все небх файлы для работы бинда. Обычн тут лежат и разд. библитеки, но bind делает chroot после запуска, и разд. библиотеки он уже подссал, пэтому ему нужны тлько dev, etc, var, zones. === BIND ===
Строка 31: Строка 87:
зоны --- соотв. имён и ip. Для кнфиг. необх. редактирвать local.conf. Обр. внимание, что файл написан из сооб., что чрут уже призшёл. В zones лежат зоны, там лежат ещё и таблицы с другими типами записей. BIND (Berkeley Internet Name Domain, ранее Berkeley Internet Name Daemon) --- одна из самых функциональных и популярных в мире реализаций DNS-сервера, разарабатываемая Internet Systems Consortium. Большинство RFC по данной тематике разработаны этой же организацией.
bind --- имя пакета, соответствующая служба называется named.
Запускается BIND из изолированного окружения /var/lib/bind.
{{{
[root@demo ~]# cd /var/lib/bind/
[root@demo bind]# ls
dev etc var zone
}}}
Строка 33: Строка 96:
Пример зоны можно посм. на файле localdomain. Типичный пример зоны. SOA определяет различные парметры зоны. serial --- такое число, которое надо увел каждый раз, когда изм. содерж. зоны. В подкаталоге /etc находятся конфигурационные файлы. В подкаталоге /zone размещена информация о зонах --- соответствиях между ip-адресами, доменами, почтовыми серверами, и т.п.
Редактировать следует файл local.conf. При это стоит учитывать, что на момент использования этого файла BIND будет работать в изолированном окружении.
Строка 35: Строка 99:
Тут достатчно много полей, н их мжно пропускать, если они повт. предыдущие. Пример настройки можно посмотреть в файле localdomain.
{{{
[root@demo bind]# cat zone/localdomain
$TTL 1D
@ IN SOA localhost. root.localhost. (
                                2008070800 ; serial
                                12H ; refresh
                                1H ; retry
                                1W ; expire
                                1H ; ncache
                        )
        IN NS localhost.
        IN A 127.0.0.0
localhost IN CNAME localhost.
}}}
Строка 37: Строка 115:
Обратные записи эт записи вида .in-addr.arpa, там всё аналогично. Обр. на устр. обр. зоны. бр. пребр. риентированы на сети, и старший байт справа, а младшие слева, поскльку старшие байты --- сеть, а младшие --- хосты.

Обратите внимние, чт если у вас лок. сеть, или какая-то сеть, где вы разв. доменный сервер, то вы обязаны редакт. бе зоны (за искл. ситуации, когда добавляете CNAME). Ещё обр. внимание, чт далек не всегда обесп. бр. зону, поск. если вы заказали адреса у провайдера, то он должен сам оббесп., он ничего хорошего обычно не беспечивает.

Есть некая договорённость, какую должны бесп. провайдеры: ни олжны делать CNAME на спец. сеть, которую отд. вам, и там уже разруливаются PTR.

Для того, чтбы закончить ввдный разговор пр BIND, надо запомнить, что рег. надо не один DNS-сервер, а два. Никто не заст. править конф. на обоих, поэтому один мастер, другой слейв, и влейв качает зны с мастера. Уст. это просто: в конфиге пишете, что он слейв, и указываете, ткуда их скачивать.

Тем самым получаются два сервера, ни абс. идентичны.

Ещё лектр может посов. запр. рек. запросы для всех машин, крме тех, для которых он создан.
Запись типа SOA определяет различные параметры зоны, такие как время жизни, время обновления и т.п. `serial` --- число, которое должно увеличиваться каждый раз, когда изменяется содержимое зоны. Обычно в serial указывают дату редактирования.
Строка 50: Строка 118:
Последнее, что стоит упомянуть: если у вас есть интранет, есть внеш. сеть, и если у вс есть мшины, кторые снаружи видны под вн. адресом, т неплох, что в dns был бы такая же фигня. Для этого существует split horizon, а сотв. место в док. по bind надо читать в view. Аналогично задаётся обратное преобразование:
{{{
[root@demo bind]# cat zone/127.in-addr.arpa
$TTL 1D
@ IN SOA localhost. root.localhost. (
                                2008070800 ; serial
                                12H ; refresh
                                1H ; retry
                                1W ; expire
                                1H ; ncache
                                )
        IN NS localhost.
        0.0.0 IN PTR localdomain.
        1.0.0 IN PTR localhost.
}}}
Устройство обратной зоны ориентировано на сети, и поэтому в названии старший байт находится справа, а младшие слева (так как старшие байты идентифицируют сеть, а младшие --- хосты).


Обратите внимание, что при редактировании зоны, если вы не просто добавляете CNAME, необходимо внести соответствующие изменения и в зону обратного преобразования. Естественно, это надо делать, только если задача обратного DNS решается на этом же сервере. Напомним, что провайдер может предоставлять услугу обратного DNS, и в таком случае заботится о существовании и корректности зоны обратного преобразования должен он.

Для удобства конфигурирования нескольких DNS-серверов существует возможность указать один из серверов в качестве основного (master), а все остальные в качестве вторичных, slave-серверов. Slave-серверам задается адрес основного сервера, и в дальнейшем все slave автоматически синхронизируют настройки с master. Таким образом, можно легко организовать несколько DNS-серверов, идентичных с точки зрения внешнего мира.

Так же имеет смысл запретить рекурсивные запросы для всех машин, кроме тех, для адресации которых предназначен данный DNS-сервер.

DNS предоставляет возможность преобразовывать символьное имя машины в её внутренний или внешний адрес в зависимости от того, откуда поступил запрос. Технология, обеспечивающая эту функциональность, называется split horizon. В BIND она реализована как BIND View Clause.
Строка 58: Строка 151:
|| 0 || 1 || 1 || 1 || || 1 || ArtemSerebriyskiy, [[Allena]], MaximByshevskiKonopko || || || || 90 || 1 || 1 || 1 || || 1 || ArtemSerebriyskiy, [[Allena]], MaximByshevskiKonopko || || ||

Использование chroot

Команда chroot позволяет выполнять приложения в, так называемом, изолированном окружении. Обычно это используется для запуска служб, требующих привелегий суперпользователя, или приложений, в которых риск наличия уязвимостей достаточно велик. Системный вызов chroot изменяет корневой каталог для процесса, из которого был вызван, и всех потомков данного процесса. После этой операции процесс и его потомки не могут получить доступ к файловой системе за пределами выбранного каталога, кроме как обращаясь к устройствам. Стоит обратить внимание, что изоляция касается исключительно файловой системы. Изоляции процессов в оперативной памяти в данном случае не происходит.

В качестве примера рассмотрим DNS-сервер --- BIND. Уязвимости в BIND встречаются не очень часто, но получить информацию о них вовремя (заранее) и бесплатно невозможно. Таким образом, BIND потенциально опасен. В документации обычно предполагается, что конфигурационные файлы BIND размещены в /etc и /var. В ALTLinux часть конфигурационных файлов расположена в других каталогах. Естественно, все необходимые для работы каталоги включаются в изолированное окружение, в котором запускается приложение. Корневым каталогом для BIND в ALTLinux является /var/lib/bind. Все файлы, необходимые для полноценной работы DNS сервера, находятся в /var/lib/bind. Так как BIND запускается из обычного окружения, и сначала загружает динамические библиотеки, а затем самостоятельно вызывает chroot, необходимость помещать библиотеки в изолированное окружение отсутствует.

Настройка DNS

Как рассказывалось ранее, DNS служит для преобразования символьных имен в IP-адреса и обратно. DNS имеет иерархическую структуру. У каждой зоны есть свой DNS-сервер, кроме того, в каждой сети должна быть зарегистрирована служба, преобразующаяся IP-адрес в доменное имя (обратный DNS). Существует два способа использования доменных имён:

  • Домен, зарегистрированный за провайдером. В этом случае пользователь получает поддомены, которые будут связаны с соответствующими IP-адресами. При необходимости изменить доменное имя какой-либо машины, придется обращаться к провайдеру.
  • Собственный домен. В этом случае провайдер организует лишь обратный DNS. Способов получить собственный домен несколько:
    • Выбрать незанятое доменное имя и оплатить его аренду у специальной компании-регистратора, после чего информация об этом появится в базе whois. Арендатор становится администратором домена. В этом случае надо обеспечить существование определенного количества "живых" адресов в арендованном домене. Общая стоимость подобного решения составляет около 20 у.е. в год.
    • Получить на непонятных правах поддомен у владельца домена. В большинстве случаев это не требует дополнительных затрат. Часто такой подход используется при регистрации поддоменов для структурных подразделений организаций, например --- po.cs.msu.su. Администратором поддомена можете быть и не вы.

При использовании доменного имени желательно (обязательно, в случае собственного домена) обеспечить наличие не менее двух доменных DNS-серверов с существенно различными IP-адресами.

Если задача состоит в организации интранета, например, для школы или компьютерного класса, то необходимости в регистрации доменных имен нет. Можно использовать какой угодно домен, при условии, что не происходит коллизий с уже существующими адресами.

При наличии в сети DNS-сервера, клиентские машины узнают его адрес при помощи DHCP, и все DNS-запросы посылаются к нему. Таким образом можно организовать обращение по именам к локальным компьютерам.

pdnsd

pdnsd --- это DNS-сервер, изначально предназначенный для того, чтобы запускаться на очень плохих каналах, кэширующий все DNS-запросы, даже запросы к записям с очень малым временем жизни. Кроме того, он весьма удобен в малых сетях без иерархии, когда всё, что необходимо --- это учесть все машины и настроить на них использование внутреннего DNS-сервера.

Установим pdnsd:

root@demo ~]# apt-get install pdnsd

Посмотрим его состав:

[root@demo ~]# rpmquery -l pdnsd
/etc/pdnsd.conf
/etc/ppp/ip-up.d/0pdnsd
/etc/rc.d/init.d/pdnsd
/usr/sbin/pdnsd
/usr/sbin/pdnsd-ctl
/usr/share/doc/pdnsd-1.2.5
/usr/share/doc/pdnsd-1.2.5/AUTHORS
/usr/share/doc/pdnsd-1.2.5/COPYING.BSD
/usr/share/doc/pdnsd-1.2.5/ChangeLog
/usr/share/doc/pdnsd-1.2.5/ChangeLog.old
/usr/share/doc/pdnsd-1.2.5/NEWS
/usr/share/doc/pdnsd-1.2.5/README
/usr/share/doc/pdnsd-1.2.5/README.ALT
/usr/share/doc/pdnsd-1.2.5/README.par
/usr/share/doc/pdnsd-1.2.5/README.par.old
/usr/share/doc/pdnsd-1.2.5/THANKS
/usr/share/doc/pdnsd-1.2.5/TODO
/usr/share/doc/pdnsd-1.2.5/contrib
/usr/share/doc/pdnsd-1.2.5/contrib/README
/usr/share/doc/pdnsd-1.2.5/contrib/change_pdnsd_server_ip.pl
/usr/share/doc/pdnsd-1.2.5/contrib/dhcp2pdnsd
/usr/share/doc/pdnsd-1.2.5/contrib/pdnsd_dhcp.pl
/usr/share/doc/pdnsd-1.2.5/html
/usr/share/doc/pdnsd-1.2.5/html/dl.html
/usr/share/doc/pdnsd-1.2.5/html/doc.html
/usr/share/doc/pdnsd-1.2.5/html/faq.html
/usr/share/doc/pdnsd-1.2.5/html/index.html
/usr/share/doc/pdnsd-1.2.5/pdnsd.conf
/usr/share/doc/pdnsd-1.2.5/txt
/usr/share/doc/pdnsd-1.2.5/txt/faq.txt
/usr/share/doc/pdnsd-1.2.5/txt/intro.txt
/usr/share/doc/pdnsd-1.2.5/txt/manual.txt
/usr/share/man/man5/pdnsd.conf.5.bz2
/usr/share/man/man8/pdnsd-ctl.8.gz
/usr/share/man/man8/pdnsd.8.gz
/var/cache/pdnsd
/var/cache/pdnsd/pdnsd.cache
/var/run/pdnsd
/var/run/pdnsd/socket

Запустим (при необходимости можно отредактировать /etc/pdnsd.conf, например, чтобы указать отличный от /etc/hosts файл для списка соответствий адреса и имени):

[root@demo ~]# service pdnsd start

Чтобы начать использовать DNS-сервер осталось лишь отредактировать настройки DHCP.

Для того, чтобы DNS-сервер использовал собственный DNS необходимо в качестве первого nameserver в /etc/resolv.conf указать 127.0.0.1.

BIND

BIND (Berkeley Internet Name Domain, ранее Berkeley Internet Name Daemon) --- одна из самых функциональных и популярных в мире реализаций DNS-сервера, разарабатываемая Internet Systems Consortium. Большинство RFC по данной тематике разработаны этой же организацией. bind --- имя пакета, соответствующая служба называется named. Запускается BIND из изолированного окружения /var/lib/bind.

[root@demo ~]# cd /var/lib/bind/
[root@demo bind]# ls
dev  etc  var  zone

В подкаталоге /etc находятся конфигурационные файлы. В подкаталоге /zone размещена информация о зонах --- соответствиях между ip-адресами, доменами, почтовыми серверами, и т.п. Редактировать следует файл local.conf. При это стоит учитывать, что на момент использования этого файла BIND будет работать в изолированном окружении.

Пример настройки можно посмотреть в файле localdomain.

[root@demo bind]# cat zone/localdomain
$TTL    1D
@       IN      SOA     localhost. root.localhost. (
                                2008070800      ; serial
                                12H             ; refresh
                                1H              ; retry
                                1W              ; expire
                                1H              ; ncache
                        )
        IN      NS      localhost.
        IN      A       127.0.0.0
localhost       IN      CNAME   localhost.

Запись типа SOA определяет различные параметры зоны, такие как время жизни, время обновления и т.п. serial --- число, которое должно увеличиваться каждый раз, когда изменяется содержимое зоны. Обычно в serial указывают дату редактирования.

Аналогично задаётся обратное преобразование:

[root@demo bind]# cat zone/127.in-addr.arpa
$TTL    1D
@       IN      SOA     localhost. root.localhost. (
                                2008070800      ; serial
                                12H             ; refresh
                                1H              ; retry
                                1W              ; expire
                                1H              ; ncache
                                )
        IN      NS      localhost.
        0.0.0   IN      PTR     localdomain.
        1.0.0   IN      PTR     localhost.

Устройство обратной зоны ориентировано на сети, и поэтому в названии старший байт находится справа, а младшие слева (так как старшие байты идентифицируют сеть, а младшие --- хосты).

Обратите внимание, что при редактировании зоны, если вы не просто добавляете CNAME, необходимо внести соответствующие изменения и в зону обратного преобразования. Естественно, это надо делать, только если задача обратного DNS решается на этом же сервере. Напомним, что провайдер может предоставлять услугу обратного DNS, и в таком случае заботится о существовании и корректности зоны обратного преобразования должен он.

Для удобства конфигурирования нескольких DNS-серверов существует возможность указать один из серверов в качестве основного (master), а все остальные в качестве вторичных, slave-серверов. Slave-серверам задается адрес основного сервера, и в дальнейшем все slave автоматически синхронизируют настройки с master. Таким образом, можно легко организовать несколько DNS-серверов, идентичных с точки зрения внешнего мира.

Так же имеет смысл запретить рекурсивные запросы для всех машин, кроме тех, для адресации которых предназначен данный DNS-сервер.

DNS предоставляет возможность преобразовывать символьное имя машины в её внутренний или внешний адрес в зависимости от того, откуда поступил запрос. Технология, обеспечивающая эту функциональность, называется split horizon. В BIND она реализована как BIND View Clause.


Сведения о ресурсах

Готовность (%)

Продолжительность (ак. ч.)

Подготовка (календ. ч.)

Полный текст (раб. д.)

Предварительные знания

Level

Maintainer

Start date

End date

90

1

1

1

1

ArtemSerebriyskiy, Allena, MaximByshevskiKonopko


CategoryLectures CategoryPspo CategoryMpgu CategoryUneex

PspoClasses/080731/04Chroot (последним исправлял пользователь FrBrGeorge 2008-10-16 15:48:07)