Centos кэширующий сервер dns настройка

Обновлено: 05.07.2024

Что такое DNS, BIND, Linux и CentOS простыми словами. Версии используемого ПО — CentOS 7, BINВ 9.

Подготовка сервера

Устанавливаем все обновления:

Устанавливаем утилиту для синхронизации времени:

yum install chrony

Настраиваем временную зону:

timedatectl set-timezone Europe/Moscow

* в данном примере выбрано московское время.

Разрешаем и запускаем сервис для синхронизации времени:

systemctl enable chronyd --now

Открываем порт в firewall:

firewall-cmd --permanent --add-port=53/udp

И перечитываем настройки сетевого экрана:

Установка и запуск BIND

Устанавливаем DNS-сервер следующей командой:

yum install bind

systemctl enable named

Запускаем сервис имен:

systemctl start named

И проверяем, что он работает корректно:

systemctl status named

Базовая настройка DNS-сервера

Открываем на редактирование конфигурационный файл bind:

и редактируем следующее:

* где 192.168.166.155 — IP-адрес нашего NS-сервера, на котором он будет принимать запросы; allow-query разрешает выполнять запросы всем, но из соображений безопасности можно ограничить доступ для конкретной сети, например, вместо any написать 192.168.166.0/24.

Для применения настроек выполните команду:

systemctl restart named

Для проверки работоспособности сервера с другого компьютера сети (например, на Windows) выполняем команду:

Должно получиться, примерно, следующее:

Описание глобальных опций

Перечисленные ниже параметры являются глобальными по отношению к DNS и всем настроенным зонам. Они задаются в конфигурационном файле named.conf, директиве options <>.

Опции	Описания
directory	Указывает рабочий каталог сервера bind. Если не указан, /var/named
forwarders	Перечисляет серверы, на которые будет переведен запрос, в случае, если наш сервер не сможет его обработать (нет соответствующей зоны.)
forward	Переопределяет способ обработки запроса. Принимает два значения — ONLY или FIRST. Первое указывает на то, что сервер не будет пытаться искать совпадения среди локальных зон. Второе — сервер сначала будет перенаправлять запрос и если он не будет успешно обработан, искать соответствия во внутренней базе.
listen-on	На каких интерфейсах будет слушать bind
allow-transfer	Указание на список серверов на которые будут разрешены зонные передачи (репликация на вторичные NS)
allow-query	Список узлов, с которых разрешено обращаться к серверу. Если не задана, разрешено всем.
allow-notify	Перечисленным серверам разрешает отправку уведомлений об изменениях в настройках зоны.
allow-recursion	Задает список хостов, для которых разрешены рекурсивные запросы, остальным — будут разрешены итеративные. Если не задана, для всех рекурсивно.

Пример глобальных настроек

Зоны bind

Для возможности искать соответствия в собственной базе доменов, необходимо создать и настроить зоны. Существуют следующие типы зон:

Решение проблем с помощью log-файлов

Для его непрерывного просмотра вводим следующую команду:

Степень детализации логов можно настроить в конфигурационном файле:

* где file — путь к log-файлу; severity — уровень чувствительности к возникающим событиям. Возможны следующие варианты для severity:

critical — критические ошибки.
error — ошибки и выше (critical).
warning — предупреждения и выше. Предупреждения не говорят о наличии проблем в работе сервиса, однако это такие событтия, которые могут привести с ошибкам, поэтому не стоит их игнорировать.
notice — уведомления и выше.
info — информация.
debug — отладка (подробный лог).
dynamic — тот же debug.

Напротив, чтобы отключить ведение лога, в конфигурационном файле должна быть настройка:

После изменения конфигурационного файла перезапускаем сервис:

systemctl restart named

Лог запросов

Если мы хотим также видеть в логе все запросы, которые приходят на bind, в командной строке вводим:

Перевод статьи подготовлен для студентов курса «Безопасность Linux». Интересно развиваться в данном направлении? Смотрите запись трансляции мастер-класса Ивана Пискунова «Безопасность в Linux в сравнении с Windows и MacOS»

В этой статье я расскажу о шагах по настройке DNS-сервера на RHEL 7 или CentOS 7. Для демонстрации я использовал Red Hat Enterprise Linux 7.4. Наша цель — создать одну A-запись и одну PTR-запись для зоны прямого и обратного просмотра соответственно.

Сначала установите необходимые rpm-пакеты для DNS-сервера.

Поскольку мы будем использовать chroot, нужно отключить службу.

Затем скопируйте необходимые файлы в каталог chroot.
ПРИМЕЧАНИЕ. Используйте аргумент -p в команде cp для сохранения прав и владельцев.

Затем скопируйте файлы, связанные с зоной, в новое место.

Очистите содержимое named.conf и вставьте следующее.

Информация, относящаяся к зоне, должна быть добавлена в /var/named/chroot/etc/named.rfc1912.zones. Добавьте записи, приведенные ниже. Файл example.zone — это файл зоны прямого просмотра, а example.rzone — файл обратной зоны.

ВАЖНОЕ ПРИМЕЧАНИЕ: Зона обратного просмотра содержит 1.168.192, поскольку мой IP-адрес 192.168.1.7

Файлы, связанные с зонами, находятся здесь:

Далее создадим файлы для прямой и обратной зоны. Имена файлов будут такими же, как выше в файле named.rfc1912.zones. У нас уже есть несколько шаблонов по умолчанию, которые мы можем использовать.

Как видите, текущие разрешения на все файлы и каталоги принадлежат root.

Измените права всех файлов, указав в качестве владельца пользователя root и группу named.

Но для data владелец должен быть named:named.

Добавьте приведенное ниже содержимое в файл прямой зоны. Здесь мы создаем A-запись для localhost (golinuxhub-client) и еще одну для сервера (golinuxhub-server).

Далее добавьте содержимое в файл обратной зоны. Здесь мы создаем PTR-запись для golinuxhub-client и для сервера golinuxhub-server.

Прежде чем мы запустим сервис named-chroot, проверим конфигурацию файла зоны.

Все выглядит хорошо. Теперь проверьте файл конфигурации, используя следующую команду.

Итак, все выполнено успешно.

ВАЖНОЕ ПРИМЕЧАНИЕ: у меня SELinux находится в режиме permissive

Все выглядит хорошо, так что пора запускать наш сервис named-chroot .

Как вы видите, мы получили положительный ответ (ANSWER) на наш запрос (QUERY).

Точно так же мы можем проверить прямую зону.

Эта статья немного устарела, так как в RHEL 7 теперь не нужно копировать файлы конфигурации bind в chroot. Step-by-Step Tutorial: Configure DNS Server using bind chroot (CentOS/RHEL 7).

BIND - Berkeley Internet Name Domain. Самая популярная DNS в мире.

Подготовка к установке

Перед установкой bind обновите систему и убедитесь, что у вас установлен epel-release

sudo yum update
sudo yum upgrade
yum list epel-release

Installed означает, что у меня epel-release установлен

Если вместо Installed вы видите Available - тогда установите командой

sudo yum install epel-release

Установка BIND

Проверить наличие bind можно выполнив

Available означает, что пакет не установлен но доступен для установки.

Установить bind и bind-utils (нужен, например, для dig) можно командой

sudo yum install -y bind bind-utils

Loaded plugins: fastestmirror, langpacks You need to be root to perform this command. [andrei@localhost

Пакет, который мы установили называется bind но сервис назывется named

Поэтому для запуска сервиса при загрузке системы нужно выполнить

sudo systemctl enable named

Created symlink from /etc/systemd/system/multi-user.target.wants/named.service to /usr/lib/systemd/system/named.service.

Пока он не запущен статус будет inactive (dead)

systemctl status named

● named.service - Berkeley Internet Name Domain (DNS) Loaded: loaded (/usr/lib/systemd/system/named.service; enabled; vendor preset: disabled) Active: inactive (dead)

Запуск named

sudo systemctl start named

Перезапуск named

sudo systemctl restart named

Проверка состояния named

sudo systemctl status -l named

Проверка iptables

sudo iptables -L

На чистой системе, скорее всего не будет никаких правил

Chain INPUT (policy ACCEPT) target prot opt source destination Chain INPUT (policy ACCEPT) target prot opt source destination Chain INPUT (policy ACCEPT) target prot opt source destination

Если уже включен firewall то открыть нужно порт 53

Проверка netstat

Изучить, какие слушаютс порты можно с помощью netstat

Если named выключен

Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN tcp6 0 0 . 22 . * LISTEN tcp6 0 0 ::1:25 . * LISTEN

Если named включен

Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN tcp 0 0 192.168.122.1:53 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN tcp6 0 0 ::1:53 . * LISTEN tcp6 0 0 . 22 . * LISTEN tcp6 0 0 ::1:953 . * LISTEN tcp6 0 0 ::1:25 . * LISTEN

Порт 53 слушается для DNS lookup

Порт 953 используется для контроля за DNS сервером

dig: Выполнить DNS запрос

На внешнем сервере

Чтобы выполнить dig достаточно установить bind-utils

На своём DNS сервере

Если bind установлен и запущен, можно делать dig на нём.

Если named выключен или bind не установлен - вы не сможете сделать dig на локальном хосте.

Получите, например ;; connection timed out; no servers could be reached

Обратите внимание - теперь в ответе содержится AUTHORITY SECTION.

Подробности в статье DNS

Типы DNS серверов: caching и forwarding

Кэширующий DNS-сервер работает, выполняя все DNS-запросы, выполняемые вашей системой, а затем сохраняя или кэшируя результаты в памяти.

Перенаправляющий DNS-сервер отправляет запрос другому серверу и ждёт пока тот сделает работу за него.

Подробнее изуть особенности caching и forwarding серверов вы можете в статье «Типы DNS серверов»

named.conf - файл с конфигурацией named

Файл с настройками называется named.conf и лежит в

Настройка caching DNS сервера

Внесём небольшие изменения в файл с конфигурацией

systemctl restart named

Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 192.168.56.149:53 0.0.0.0:* LISTEN tcp 0 0 10.0.2.49:53 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN tcp6 0 0 . 22 . * LISTEN tcp6 0 0 ::1:953 . * LISTEN tcp6 0 0 ::1:25 . * LISTEN

На IPv6 больше не слушается порт 53. Количество IPv4 адресов на которых теперь слушается порт 53 увеличилось - сравните с тем что было раньше если не запомнили.

query: Запросы

Разрешить запросы к серверу можно указав нужный хост или сеть в allow-query

Использовать DNS сервер из локальной сети

В данном примере в сети есть два хоста:

Напоминаю, что в named.conf внесены следующие изменения

На сервере 192.168.56.149 нужно открыть порт 53 для tcp и udp

Полный список портов вы можете изучить в статье « Компьютерные сети »

Подробнее про работу с Firewall читайте в статье « CentOS Firewall »

На хосте 192.168.56.113 теперь можно выполнить dig @192.168.56.149 и если dns-server имеет нужные данные это должно сработать.

В этом примере по умолчанию установлено

Если у вас это не сделано - для того, чтоб делать запросы к неизвестным именам - нужно разрешить серверу делать рекурсивные запросы .

Настройка forwarding DNS сервера

Оставим конфиг из предыдущего примера и допишем в конец блока options

8.8.8.8; 8.8.4.4; - это публичные DNS сервера Google

1.1.1.1; 1.0.0.1; - это публичные DNS сервера Cloudflare

Порядок перечисления не имеет значения - будет использоваться тот, от которого быстрее отклик.

Важной частью управления конфигурацией и инфраструктурой сервера является поддержка простого поиска сетевых интерфейсов и IP-адресов по имени путем настройки правильной системы доменных имен (DNS, Domain Name System). Использование полных доменных имен (FQDN) вместо IP-адресов для определения сетевых адресов облегчает настройку сервисов и приложений и упрощает поддержку файлов конфигурации. Настройка собственного DNS-сервера для частной сети – отличный способ улучшить управление серверами.

Данный мануал поможет настроить в CentOS 7 внутренний DNS-сервер с помощью сервера имен BIND (BIND9), который может использоваться вашими серверами для разрешения внутренних имен хостов и IP-адресов. Это обеспечивает централизованный способ управления внутренними именами хостов и IP-адресами, что необходимо для среды, которая состоит из нескольких хостов.

Требования

Для работы вам понадобится следующая инфраструктура. Все серверы должны находиться в одном ЦОД с включенной поддержкой частной сети.

Свежий сервер CentOS 7 для настройки первичного DNS-сервера (в мануале он называется ns1).
Опционально: сервер CentOS 7 для настройки вторичного DNS-сервера (в мануале он называется ns2).

На каждом из этих серверов настройте пользователя sudo и брандмауэр, следуя мануалу по начальной настройке сервера CentOS 7.

Пример инфраструктуры

В мануале предполагается, что:

Хост	Роль	Частный FQDN	Внутренний IP-адрес
host1	Клиент Host 1	host1.nyc3.example.com	10.128.100.101
host2	Клиент Host 2	host2.nyc3.example.com	10.128.200.102

Примечание: Ваша ситуация будет отличаться, но условные имена и IP-адреса будут использоваться в этом мануале для демонстрации настройки DNS-сервера для обеспечения работы внутреннего DNS. Вы должны легко адаптировать эту настройку к своей собственной среде, заменив имена хостов и внутренние IP-адреса своими собственными данными. Использовать имя региона центра обработки данных в схеме именования нет необходимости, но мы используем его здесь, чтобы обозначить, что эти хосты принадлежат частной сети одного центра обработки данных. Если вы используете несколько центров обработки данных, вы можете настроить внутренний DNS в каждом соответствующем ЦОД.

В результате у вас будет первичный DNS-сервер ns1 и вторичный DNS-сервер ns2.

Хост	Роль	Частный FQDN	Внутренний IP-адрес
ns1	Первичный DNS-сервер	ns1.nyc3.example.com	10.128.10.11
ns2	Вторичный DNS-сервер	ns2.nyc3.example.com	10.128.20.12

1: Установка BIND на DNS-серверы

На серверах ns1 и ns2 установите BIND:

sudo yum install bind bind-utils

Чтобы подтвердить установку, нажмите у.

2: Настройка первичного DNS-сервера

Конфигурация BIND состоит из нескольких файлов, которые включены в основной файл конфигурации named.conf. Имена этих файлов начинаются с named, потому что это имя процесса, который запускает BIND. Начнем с настройки файла named.conf.

Файл named.conf

Процесс BIND называется named. Потому многие файлы, которые относятся к этому серверу, называются named, а не BIND.

На сервере ns1 откройте этот файл:

sudo vi /etc/named.conf

Над существующим блоком options создайте новый блок управления доступом ACL (access control list) под названием trusted. Здесь можно определить список клиентов, которые могут отправлять рекурсивные DNS-запросы (например, ваши серверы, находящиеся в том же ЦОД, что и ns1). Добавьте ns1, ns2, host1 и host2 в список доверенных клиентов:

Теперь, когда у вас есть список доверенных DNS-клиентов, можно отредактировать блок options. Добавьте внутренний IP-адрес в строку listen-on port 53 и раскомментируйте listen-on-v6:

Под этими записями измените allow-transfer с none на внутренний IP-адрес сервера ns2. В allow-query вместо localhost введите trusted.

В конец файла добавьте строку:

Теперь сохраните и закройте файл named.conf. В приведенной выше конфигурации указано, что только ваши доверенные серверы смогут запросить внешние домены у DNS-сервера.

Затем нужно настроить файл local, чтобы определить DNS-зоны.

Настройка файла local

На ns1 откройте файл named.conf.local:

sudo vi /etc/bind/named.conf.local

По идее, сейчас в файле нет ничего. Здесь нужно указать зоны прямого и обратного просмотра.

Добавьте зону прямого просмотра, заменив имя зоны и внутренний IP-адрес вторичного DNS-сервера:

Учитывая, что вы используете частную подсеть 10.128.0.0/16, добавьте зону обратного просмотра (обратите внимание, что имя этой зоны начинается с «128.10», обратно от «10.128»):

Если ваши серверы охватывают несколько частных подсетей, но находятся в одном и том же центре данных, обязательно укажите дополнительный файл зоны и зону для каждой отдельной подсети. Когда вы закончите добавлять все нужные зоны, сохраните и выйдите из файла named.conf.local.

Теперь, когда зоны указаны в BIND, необходимо создать соответствующие файлы зон прямого и обратного просмотра.

Создание файла зоны прямого просмотра

Создайте каталог, в котором будут находиться файлы зон. Согласно конфигурации named.conf.local, его расположение – /etc/named/zones:

sudo chmod 755 /etc/named
sudo mkdir /etc/named/zones

Теперь отредактируйте файл зоны прямого просмотра. Откройте файл в редакторе:

В конец файла добавьте записи своего сервера имен (замените имена своими данными). Обратите внимание, что во втором столбце указано, что это записи NS.

Сохраните и закройте файл.

В результате файл зоны имеет такой вид:

Теперь пора заняться файлом (файлами) зоны обратного просмотра.

Создание файла(ов) зоны обратного просмотра

На ns1 для каждой зоны обратного просмотра, указанной в файле named.conf.local, создайте отдельный файл.

Отредактируйте файл, соответствующий зоне (зонам) обратного просмотра, определенной в named.conf.local:

sudo vi /etc/named/zones/db.10.128

Затем добавьте записи PTR для всех ваших серверов, чьи IP-адреса находятся в подсети этой зоны. В данном примере она включает в себя все хосты, потому что все они находятся в подсети 10.128.0.0/16. Обратите внимание: первый столбец состоит из двух последних октетов внутренних IP-адресов серверов в обратном порядке. Не забудьте заменить имена и внутренние IP-адреса своими данными.

Сохраните и закройте файл зоны. Повторите этот раздел для каждой отдельной зоны обратного просмотра.

В результате файл имеет такой вид:

Проверка синтаксиса конфигурации BIND

Запустите следующую команду, чтобы убедиться, что в файлах нет ошибок:

Команда named-checkzone может проверить правильность ваших файлов зон. Ее первый аргумент указывает имя зоны, а второй – соответствующий файл зоны, которые определены в named.conf.local.

А чтобы проверить конфигурацию зоны обратного просмотра 128.10.in-addr.arpa, выполните следующую команду:

sudo named-checkzone 128.10.in-addr.arpa /etc/named/zones/db.10.128

Проверив все конфигурационные файлы, вы можете перезапустить сервис BIND.

Запуск BIND

Чтобы запустить BIND, введите:

sudo systemctl start named

Затем его нужно включить как сервис, чтобы добавить в автозагрузку:

sudo systemctl enable named

Первичный DNS-сервер настроен и может обрабатывать запросы DNS. Теперь давайте создадим вторичный сервер.

3: Настройка вторичного DNS-сервера

В большинстве сред рекомендуется создать вторичный DNS-сервер, который будет отвечать на запросы, если первичный сервер выйдет из строя. К счастью, вторичный DNS-сервер намного проще настроить.

На ns2 отредактируйте файл named.conf.:

sudo vi /etc/named.conf

Примечание: Если хотите, вы можете пропустить эти инструкции и просто скопировать named.conf с ns1 на ns2, заменить внутренний IP-адрес и отключить allow transfer.

В начале, под существующим блоком options, добавьте блок ACL по имени trusted (с внутренними IP-адресами доверенных серверов). Это поместит ns1, ns2, host1 и host2 в список доверенных серверов.

В allow-query вместо localhost введите trusted.

В конец файла добавьте строку:

Затем нужно определить DNS-зоны.

Отредактируйте файл named.conf.local:

sudo chmod 755 /etc/named
sudo vi /etc/named/named.conf.local

Определите вторичные зоны, соответствующие зонам первичного DNS-сервера. Обратите внимание, что тип должен быть slave, файл не содержит пути, и в нем есть директива masters, которая должна указывать внутренний IP-адрес первичного DNS-сервера. Если вы определили несколько зон обратного просмотра на первичном DNS-сервере, обязательно укажите их все здесь.

Сохраните и закройте файл.

Чтобы проверить файлы на наличие ошибок, введите:

Если ошибок нет, запустите BIND:

sudo systemctl start named

Добавьте сервис в автозагрузку:

sudo systemctl enable named

Теперь у вас есть первичный и вторичный DNS-сервер. Пора настроить клиентские серверы.

4: Настройка DNS-клиентов

Прежде чем все ваши серверы из ACL trusted смогут запрашивать DNS-серверы, нужно настроить каждый из них для использования ns1 и ns2 в качестве серверов имен. Этот процесс зависит от ОС, но в большинстве дистрибутивов Linux для этого нужно добавить серверы имен в файл /etc/resolv.conf.

Клиенты CentOS

В CentOS, RedHat и Fedora Linux отредактируйте файл resolv.conf:

sudo vi /etc/resolv.conf

Добавьте следующие строки в начало файла, указав в них свои данные:

Сохраните и закройте файл.

Настройка клиента завершена.

Клиенты Ubuntu

На серверах Ubuntu и Debian Linux вы можете отредактировать файл head, связанный с resolv.conf:

sudo vi /etc/resolvconf/resolv.conf.d/head

Добавьте в файл следующие строки (указав свои данные).

Запустите resolvconf, чтобы сгенерировать новый файл resolv.conf.

sudo resolvconf -u

Настройка клиента завершена.

5: Тестирование клиентов

Используйте nslookup, чтобы проверить, могут ли ваши клиенты запрашивать серверы имен. Вы должны иметь возможность сделать это на всех клиентах, которые вы настроили и которые находятся в доверенном ACL.

Прямой просмотр

Теперь попробуем обратный просмотр.

Обратный просмотр

Чтобы протестировать обратный просмотр, запросите:

Команда должна вернуть такой вывод:

Теперь рассмотрим сохранение записей в зоне.

6: Поддержка DNS-записей

Итак, у вас есть рабочий внутренний DNS, и вам необходимо сохранить свои записи DNS, чтобы они точно отражали вашу серверную среду.

Добавление хоста в DNS

Всякий раз, когда вы добавляете хост в свою среду (в том же центре данных), вам нужно добавить его и в DNS. Вот как это делается.

Файл зоны прямого просмотра: добавьте запись «А» для нового хоста, увеличьте значение Serial.
Файл зоны обратного просмотра: добавьте запись PTR для нового хоста, увеличьте значение Serial.
Добавьте внутренний IP-адрес нового хоста в ACL trusted (named.conf).
Перезапустите BIND:

sudo systemctl reload named

Теперь ваш первичный сервер должен поддерживать новый хост.

Добавьте внутренний IP нового хоста в ACL trusted (named.conf).
Перезапустите BIND:

sudo systemctl reload named

Теперь ваш вторичный сервер должен поддерживать новый хост.

Чтобы настроить новый хост для поддержки DNS:

Настройте поддержку в файле /etc/resolv.conf.
Протестируйте работу хоста с помощью nslookup.

Удаление хоста из DNS

Если вы удалите хост из своей среды или просто хотите удалить его из DNS, просто удалите все данные о нем, которые вы добавили при настройке поддержки DNS.

Заключение

Теперь вы можете ссылаться на внутренние сетевые интерфейсы своих серверов по имени, а не по IP-адресу. Это упрощает настройку сервисов и приложений, поскольку вам больше не нужно запоминать IP-адреса, и файлы станет легче читать и понимать.

После настройки внутреннего DNS важно обеспечить DNS-серверам хорошую поддержку. Если они оба станут недоступными, ваши сервисы и приложения, которые полагаются на них, перестанут функционировать должным образом. Вот почему рекомендуется использовать в настройке DNS как минимум один вторичный сервер и поддерживать рабочие резервные копии всех серверов.

Читайте также: