[2] BIND – sieć zewnętrzna

27 maja 2020 Wyłączono przez Adam [zicherka] Nogły

[1] Zainstaluj BIND’a.

[root@lsr01vm ~]# dnf install bind bind-utils

[2] Skonfigurujemy teraz BIND’a do obsługi sieci zewnętrznej. Adresy sieci zewnętrznej to [192.168.1.0/24], nazwa domeny to [zicher.lab].  Ustaw zmieniane parametry według Twojej potrzeby/sieci.
Wiem, że te adresy należą do puli adresów prywatnych, jednak użyjemy ich tutaj jako adresy rutowalne i widziane w sieci Internet.

[root@lsr01vm ~]# mcedit /etc/named.conf
...
...
options {
# zmień ( listen all )
listen-on port 53 { any; };
# zmień jeśli potrzebujesz (jeśli nie potrzebujesz IPv6, ustaw [none])
listen-on-v6 { any; };
directory       "/var/named";
dump-file       "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
secroots-file   "/var/named/data/named.secroots";
recursing-file  "/var/named/data/named.recursing";
# zmień aby móc otrzymywać zapytania z wszystkich hostów
allow-query     { any; };
# zakres sieci pozwoli na transfer strefy do klientów
# dodaj drugi serwer DNS jeśli istnieje
allow-transfer  { localhost; };
...
...
# zmień, aby nie zezwalać rekursywnym zapytaniom
# serwer odpowiada tylko na strefy wpisane tutaj
recursion no;

dnssec-enable yes;
dnssec-validation yes;

managed-keys-directory "/var/named/dynamic";

pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";

/* https://fedoraproject.org/wiki/Changes/CryptoPolicy */
include "/etc/crypto-policies/back-ends/bind.config";
};

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};

zone "." IN {
type hint;
file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

# dodaj strefę dla Twojej sieci oraz nazwę domeny
zone "zicher.lab" IN {
type master;
file "zicher.lab.wan";
allow-update { none; };
};
zone "1.168.192.in-addr.arpa" IN {
type master;
file "1.168.192.db";
allow-update { none; };
};

# jeśli nie używasz IPv6 i nie chcesz logować ruchu IPv6 możesz zmienić ustawienie
# ustaw BIND'a do używania tylko IPv4
[root@lsr01vm ~]# mcedit /etc/sysconfig/named
# dodaj na końcu
OPTIONS="-4"

# Jak zapisać adresy w sekcji[*.*.*.*.in-addr.arpa], zapisz Twój adres sieci w sposób jak poniżej
# zakres 10.0.0.0/24
# adres sieci => 10.0.0.0
# zasięg sieci => 10.0.0.0 - 10.0.0.255
# tak zapisz plik => 0.0.10.in-addr.arpa

# zakres 192.168.1.0/24
# adres sieci => 192.168.1.0
# zasięg sieci192.168.1.0 - 192.168.1.255
# tak zapisz plik => 1.168.192.in-addr.arpa