Wissen

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Sie befinden sich hier: Start » bind9
Zuletzt angesehen: crontab rust sshfs networkmanager awk bash ssh_ssl software android hardware
bind9

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
bind9 [2015-06-03 07:08:25] manfredbind9 [2016-04-12 22:50:03] (aktuell) – Externe Bearbeitung 127.0.0.1
Zeile 1: Zeile 1:
 +====== bind9 ======
 +
 +[[GUI für DNS]]
 +
 +
 +===== caching-only-NameServer =====
 +
 +Wenn von einem System viele DNS-Abfragen erzeugt werden, wie z.B. von einem WebServer oder einem LoadBalancer, dann ist es ratsam hier einem **caching-only-NameServer** einzurichten.
 +
 +Ein **caching-only-NameServer** besitzt keine eigenen Zonen-Dateien.
 +Wird an ihn eine NameServer-Anfrage zum ersten mal gestellt, dann fragt er seinerseits die ihm bekannten NameServer und speichert die Antwort für eine gewisse Zeit lokal.
 +Dadurch wird der "echte" NameServer nur mit unbekannten Anfragen belastet, alle bereits angefragten Namen bzw. IP's, die bereits einmal angefragt wurden, kann der **caching-only-NameServer** von nun an (für eine gewisse Zeit) selber beantworten.
 +
 +Weil die Installation und Konfiguration so einfach ist, sollte man es auf jeden Fall für die entsprechenden Systeme in Betracht ziehen.
 +
 +
 +==== Installation ====
 +
 +als erstes holen wir uns die IP's der für uns zuständigen NameServer:
 +  > cat /etc/resolv.conf
 +  nameserver 50.40.30.21
 +  nameserver 50.40.30.22
 +  nameserver 50.40.30.23
 +  search erstedomain.de zweitedomain.de drittedomain.de
 +
 +jetzt installieren wir den Bind9 (''"dnsutils"'' ist nicht nötig aber das Programm ''"nslookup"'' daraus ist tum testen sehr praktisch, weil in der Ausgabe auch immer der abgefragte NameServer angegeben wird):
 +  > aptitude install bind9 dnsutils
 +
 +jetzt konfigurieren wir den Bind9 als caching-only-NameServer:
 +  > vi /etc/bind/named.conf.options
 +<file>
 +options {
 +        directory "/var/cache/bind";
 +
 +        // If there is a firewall between you and nameservers you want
 +        // to talk to, you may need to fix the firewall to allow multiple
 +        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113
 +
 +        // If your ISP provided one or more IP addresses for stable
 +        // nameservers, you probably want to use them as forwarders.
 +        // Uncomment the following block, and insert the addresses replacing
 +        // the all-0's placeholder.
 +
 +        forwarders {
 +                50.40.30.21;
 +                50.40.30.22;
 +                50.40.30.23;
 +        };
 +
 +        //========================================================================
 +        // If BIND logs error messages about the root key being expired,
 +        // you will need to update your keys.  See https://www.isc.org/bind-keys
 +        //========================================================================
 +        //dnssec-validation auto;
 +
 +        auth-nxdomain no;    # conform to RFC1035
 +        listen-on-v6 { none; };
 +
 +        version         "[secured]";
 +};
 +</file>
 +
 +Unter **''forwarders''** werden unsere NameServer aus der Datei ''/etc/resolv.conf'' eingetragen.
 +Wenn wir kein **IPv6** einsetzen, dann muss das durch ein **''none''** abgeschaltet werden.
 +Auch DNSSEC müsste konfiguriert werden, da wir das jetzt nicht tun wollen, werden wir vor die Zeile **''dnssec-validation auto;''** Kommentarzeichen (''/''''/'') setzen und es dadurch abschalten.
 +Zur Sicherheit sollte man auch seine Versionsnummernausgabe mit der zusätzlichen Zeile **''version         "[secured]";''** abschalten.
 +
 +caching-only-NameServer aktivieren:
 +  > service bind9 restart
 +
 +caching-only-NameServer in Betrieb nehmen, dazu muss der eigene Rechner (''127.0.0.1'') in der Datei ''/etc/resolv.conf'' als alleiniger NameServer angegeben werden:
 +  > vi /etc/resolv.conf
 +  nameserver 127.0.0.1
 +  search erstedomain.de zweitedomain.de drittedomain.de
 +
 +zum testen werden wir einen HostNamen abfragen, von dem wir wissen, dass unsere regulären NameServer ihn übersetzen können:
 +  > nslookup spielrechner
 +  Server:         127.0.0.1
 +  Address:        127.0.0.1#53
 +  
 +  Non-authoritative answer:
 +  Name:   spielrechner.erstedomain.de
 +  Address: 192.168.0.100
 +
 +es ist mit ''nslookup'' auch möglich einen speziellen NameServer abzufragen:
 +  > nslookup spielrechner 50.40.30.21
 +  Server:         50.40.30.21
 +  Address:        50.40.30.21#53
 +  
 +  Non-authoritative answer:
 +  Name:   spielrechner.erstedomain.de
 +  Address: 192.168.0.100
 +
 +  # dig +short A www.google.com @localhost
 +  74.125.237.148
 +  74.125.237.144
 +  74.125.237.145
 +  74.125.237.146
 +  74.125.237.147
 +
 +Wenn alles klappt, sieht die Ausgabe so ungefähr aus.