DNS Linux - Netzwerk und Serveradministration - Skript
Installation
- apt install bind9
Stop
- systemctl stop bind9
Start
- systemctl start bind9
Restart
- systemctl restart bind9
Status
- systemctl status bind9
Hauptkonfiguration
Standardmäßig ist die Konfiguration von bind9 auf mehrere Dateien aufgeteilt:
/etc/bind/named.conf
#Diese Datei inkludiert einfach nur die anderen 3 Dateien
Algemeine Option zum Nameserver
include "/etc/bind/named.conf.options";
Hier kommen die eignen Zonen rein
include "/etc/bind/named.conf.local";
Hier die Default Zonen
include "/etc/bind/named.conf.default-zones";
/etc/bind/named.conf.options
options {
directory "/var/cache/bind";
forwarders {
192.168.5.14;
};
dnssec-validation no;
listen-on { any; };
listen-on-v6 { none; };
allow-query { 0.0.0.0/0; };
allow-recursion { 10.88.113.0/24; 172.16.113.0/24; 10.113.1.0/24; };
allow-transfer { 127.0.0.1; };
};
Testen
- named-checkconf
Restart
- systemctl restart bind9
/etc/bind/named.conf.default-zones
#Standardzonen
zone "." {
type hint;
file "/usr/share/dns/root.hints";
};
zone "localhost" {
type master;
file "/etc/bind/db.local";
};
zone "127.in-addr.arpa" {
type master;
file "/etc/bind/db.127";
};
zone "0.in-addr.arpa" {
type master;
file "/etc/bind/db.0";
};
zone "255.in-addr.arpa" {
type master;
file "/etc/bind/db.255";
};
/etc/bind/named.conf.local
#Standardmässig leer
#Hier werden die sogenanten Zonen angelegt.
zone "it1XX.int" {
type master;
file "it1XX.int";
};
zone "1XX.88.10.in-addr.arpa" {
type master;
file "1XX.88.10.in-addr.arpa";
};
Berechtigungen und Einschränkungen
- Defaultverzeichnis für die Zonen
directory "/var/cache/bind";
- wenn der Nameserver einen anderen Nameserver nicht die root Nameserver befragen soll
- kann man forwarders benutzen
forwarders
forwarders {
192.168.Y.14
};
- mit allow-query ist gemeint wer erlaubt ist anfragen zu stellen für Zonen für die der Nameserver selbst zuständig ist
allow-query
{ 0.0.0.0/0; };
- mit allow-recursion ist gemeint wer erlaubt ist anfragen zu stellen für die der Nameserver andere quellen befragen muss also die außerhalb seiner Zuständigkeit liegen
allow-recursion {
2.2.2.2;
};
- ist gemeint wer erlaubt ist eine komplette Zone abzufragen also alle unter Domains die zur Verfügung stehen dies wird normal nur für den sekundären Nameserver gebraucht
allow-transfer {
1.2.2.2;
};
- Die dnssec-validation soll aktiv sein.
dnssec-validation no;
- wenn ipv6 vorhanden wird auf allen Interfaces gelauscht.
listen-on-v6 { none; };
- Es wird auf allen ipv4 Interfaces gelauscht.
listen-on { any; };
Konfigurationsverzeichnis
/var/cache/bind
Forward Zonen Datei ohne Secundary DNS
- Die Zonendatei enthält die Informationen zu den Adressen, und sieht folgendermaßen aus:
$TTL 300 ; 5 minutes
@ IN SOA ns.it1XX.int. technik.it1XX.int. (
2011090204 ; serial
14400 ; refresh (4 hours)
3600 ; retry (1 hour)
3600000 ; expire (5 weeks 6 days 16 hours)
86400 ; minimum (1 day)
)
NS ns.it1XX.int.
ns.it1XX.int. IN A 10.88.1XX.2
fw IN A 192.168.Y.1XX
Check
- named-checkzone it113.int /var/cache/bind/it113.int
zone it113.int/IN: loaded serial 2011090204 OK
Reverse Zonen Datei
$TTL 300 ; 5 minutes
@ IN SOA ns.it1XX.int. technik.it1XX.int. (
2011090204 ; serial
14400 ; refresh (4 hours)
3600 ; retry (1 hour)
3600000 ; expire (5 weeks 6 days 16 hours)
86400 ; minimum (1 day)
)
NS ns.it1XX.int.
2.1XX.88.10.in-addr.arpa. IN PTR ns.it1XX.int.
Check
- named-checkzone 113.88.10.in-addr.arpa /var/cache/bind/113.88.10.in-addr.arpa
zone 113.88.10.in-addr.arpa/IN: loaded serial 2011090204 OK