Thomas.will: Die Seite wurde neu angelegt: „= DNS – BIND9 auf Rocky Linux = Der Nameserver übernimmt im Labor die Namensauflösung für die gesamte Infrastruktur. Er läuft in der DMZ und ist sowohl…“

2026-05-20T06:03:19Z

Die Seite wurde neu angelegt: „= DNS – BIND9 auf Rocky Linux = Der Nameserver übernimmt im Labor die Namensauflösung für die gesamte Infrastruktur. Er läuft in der DMZ und ist sowohl…“

Neue Seite

= DNS – BIND9 auf Rocky Linux =

Der Nameserver übernimmt im Labor die Namensauflösung für die gesamte Infrastruktur. Er läuft in der DMZ und ist sowohl aus dem LAN als auch aus dem WAN erreichbar. Rekursive Anfragen – also Anfragen nach Domains die er nicht selbst kennt – leitet er an den Forwarder im Schulungsnetz weiter.

== Installation ==
* dnf install -y bind bind-utils

== Dienst steuern ==
* systemctl enable --now named
* systemctl restart named
* systemctl status named

= Konfiguration =

== /etc/named.conf ==
;Die zentrale Konfigurationsdatei steuert das Verhalten des Nameservers: auf welchen Interfaces er lauscht, wer ihn befragen darf und welche Zonen er kennt.
* vi /etc/named.conf
<pre>
options {
listen-on port 53 { any; };
listen-on-v6 port 53 { none; };
forwarders { 192.168.HS.88; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
secroots-file "/var/named/data/named.secroots";
recursing-file "/var/named/data/named.recursing";
allow-query { any; };
allow-recursion { 10.88.2XX.0/24; 172.26.2XX.0/24; 127.0.0.1; };
allow-transfer { 127.0.0.1; };
dnssec-validation no;
managed-keys-directory "/var/named/dynamic";
geoip-directory "/usr/share/GeoIP";
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
include "/etc/crypto-policies/back-ends/bind.config";
};

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};

zone "." IN {
type hint;
file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
include "/etc/named.conf.local";
</pre>

=== Erklärungen ===
;listen-on port 53 { any; };
:Der Nameserver lauscht auf allen Interfaces – so ist er sowohl aus der DMZ als auch von außen erreichbar.
;forwarders { 192.168.HS.88; };
:Anfragen die der Server nicht selbst beantworten kann werden an den Forwarder im Schulungsnetz weitergegeben.
;allow-query { any; };
:Jeder darf den Nameserver nach seinen Zonen befragen – er ist öffentlich erreichbar.
;allow-recursion { 10.88.2XX.0/24; 172.26.2XX.0/24; 127.0.0.1; };
:Nur interne Netze dürfen rekursive Anfragen stellen – verhindert dass der Server als offener Resolver missbraucht wird.
;allow-transfer { 127.0.0.1; };
:Zonentransfers (AXFR) sind nur lokal erlaubt – kein Secondary DNS im Labor.
;dnssec-validation no;
:DNSSEC-Validierung ist deaktiviert – vereinfacht den Laborbetrieb.

== /etc/named.conf.local ==
;Eigene Zonen werden nicht in named.conf eingetragen sondern in einer separaten Datei – übersichtlicher und leichter zu warten.
* vi /etc/named.conf.local
<pre>
zone "it2XX.int" {
type master;
file "it2XX.int";
};

zone "2XX.88.10.in-addr.arpa" {
type master;
file "2XX.88.10.in-addr.arpa";
};
</pre>

=== Konfiguration prüfen ===
;Syntaxfehler in named.conf werden damit gefunden bevor named neu gestartet wird
* named-checkconf

= Zonendateien =

Die Zonendateien liegen unter <code>/var/named/</code>. SELinux erwartet sie dort – andere Pfade führen zu Berechtigungsfehlern.

== Forward-Zone ==
;Die Forward-Zone löst Hostnamen in IP-Adressen auf.
* vi /var/named/it2XX.int
<pre>
$TTL 86400 ; 1 Tag
@ IN SOA ns.it2XX.int. technik.it2XX.int. (
2025062501 ; serial
14400 ; refresh (4 hours)
3600 ; retry (1 hour)
3600000 ; expire (5 weeks 6 days 16 hours)
300 ; minimum (5 min)
)
NS ns.it2XX.int.

fw IN A 10.88.2XX.1
ns IN A 10.88.2XX.21
www IN A 10.88.2XX.11
ldap IN A 10.88.2XX.31
</pre>

=== Check ===
* named-checkzone it2XX.int /var/named/it2XX.int
zone it2XX.int/IN: loaded serial 2025062501
OK

== Reverse-Zone ==
;Die Reverse-Zone löst IP-Adressen in Hostnamen auf – wird z.B. von SSH und Logging-Diensten verwendet.
* vi /var/named/2XX.88.10.in-addr.arpa
<pre>
$TTL 86400
@ IN SOA ns.it2XX.int. technik.it2XX.int. (
2025062501 ; serial
14400 ; refresh (4 hours)
3600 ; retry (1 hour)
3600000 ; expire (5 weeks 6 days 16 hours)
300 ; minimum (5 min)
)
NS ns.it2XX.int.

1 IN PTR fw.it2XX.int.
21 IN PTR ns.it2XX.int.
11 IN PTR www.it2XX.int.
31 IN PTR ldap.it2XX.int.
</pre>

=== Check ===
* named-checkzone 2XX.88.10.in-addr.arpa /var/named/2XX.88.10.in-addr.arpa
zone 2XX.88.10.in-addr.arpa/IN: loaded serial 2025062501
OK

= Firewall =
;DNS muss auf dem ns-Server selbst freigegeben werden
* firewall-cmd --permanent --zone=public --add-service=dns
* firewall-cmd --reload

= Neustart =
* systemctl restart named

= Finaler Check =
;Forward-Zone
* dig @127.0.0.1 it2XX.int -t axfr
;Reverse-Zone
* dig @127.0.0.1 2XX.88.10.in-addr.arpa -t axfr
;Einzelne Einträge testen
* dig @127.0.0.1 www.it2XX.int
* dig @127.0.0.1 -x 10.88.2XX.11

= Resolver auf dem ns-Server setzen =
* vi /etc/resolv.conf
<pre>
nameserver 127.0.0.1
search it2XX.int
</pre>

= Logs =
;Laufende Logs
* journalctl -fu named
;Letzte 20 Zeilen
* journalctl -n 20 -u named

= Ports prüfen =
* ss -lntpu | grep named

Rocky ns - Versionsgeschichte

Thomas.will: Die Seite wurde neu angelegt: „= DNS – BIND9 auf Rocky Linux = Der Nameserver übernimmt im Labor die Namensauflösung für die gesamte Infrastruktur. Er läuft in der DMZ und ist sowohl…“