Cách cấu hình máy chủ Bind (DNS) để đáp ứng các yêu cầu internet


-1

Tôi mới sử dụng Bind vì vậy xin vui lòng tha thứ cho bất kỳ câu hỏi "ngớ ngẩn" nào. Tôi đã cấu hình Máy chủ Bind trên CentOS-7, Tên máy chủ CentOS-DC (10.64.33.115). Tôi cũng đã cấu hình 3 Khách hàng CentOS-7

  • CentOS-App-01 10.60.161.99
  • CentOS-DB-01 10.60.161.169
  • CentOS-Web-01 10.60.161.229

Mọi thứ giải quyết chính xác trong nội bộ.

Vấn đề phát sinh khi tôi thử duyệt Web. Tôi đã thêm địa chỉ giao nhận vào /etc/named.conf nhưng vẫn không thể duyệt web.

Dưới đây là tập tin /etc/named.conf của tôi

//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
// See the BIND Administrator's Reference Manual (ARM) for details about the
// configuration located in /usr/share/doc/bind-{version}/Bv9ARM.html

options {
    listen-on port 53 { 127.0.0.1; 10.64.33.115;}; ### Master DNS IP ###
        listen-on-v6 port 53 { ::1; };
        directory   "/var/named";
        dump-file   "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { localhost; 10.60.161.0/24; };
        allow-transfer  { localhost; 10.64.33.115; };

        /*
         - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
         - If you are building a RECURSIVE (caching) DNS server, you need to enable
           recursion.
         - If your recursive DNS server has a public IP address, you MUST enable access
           control to limit queries to your legitimate users. Failing to do so will
           cause your server to become part of large scale DNS amplification
           attacks. Implementing BCP38 within your network would greatly
           reduce such attack surface
        */
    recursion yes;
        allow-recursion {localhost; 10.60.161.0/24; };

        dnssec-enable yes;
        dnssec-validation yes;

        forwarders {
                10.73.240.235;
                152.62.196.10;
        };

    /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";

        pid-file "/run/named/named.pid";
        session-keyfile "/run/named/session.key";
};

logging {
    channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "CorkCompute.local" IN {
        type master;
        file "forward.CorkCompute";
        allow-update { none; } ;
};

zone "161.60.10" IN {
        type master;
        file "reverse.CorkCompute";
        allow-update { none; } ;
};


zone "." IN {
    type hint;
        file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

cảm ơn


Đọc các công cụ định dạng và cập nhật câu hỏi của bạn cho phù hợp. Điều này là không thể đọc được.
Sven

Tôi vừa định dạng lại nó cho anh ấy khi tôi thấy bình luận của bạn. :)
Tommiie

Cảm ơn các bạn, tôi sẽ cố gắng định dạng lại ngay bây giờ, chỉ cần xem qua URL được đăng bởi Sven
Jason

1
Bạn liệt kê 10.73.240.235như một giao nhận. Đó là một địa chỉ IP nội bộ để bạn cũng sở hữu máy chủ DNS đó phải không?
Tommiie

1
đó là chính xác Tom, 10.73.240.235 & 152.62.196.10 là Máy chủ DNS nội bộ. Nếu tôi sử dụng chúng làm Máy chủ DNS cho bất kỳ Khách hàng nào, truy cập internet là ổn. Nếu tôi đặt Máy chủ DNS trên Clisent thành 10.64.33.115 (CentOS-DC, chạy Bind) thì họ không thể truy cập internet. Nhưng, nslookup, đào, ping NAME, v.v ... hoạt động nội bộ
Jason

Câu trả lời:


0

Tôi đã xoay sở để tìm ra nó với sự giúp đỡ của một anh chàng Linux trong công việc. Mặc dù tôi đã cấu hình Forwarders, tôi đã không nói với máy chủ thực sự chuyển tiếp bất cứ thứ gì. Dưới đây là mã cập nhật

forwarders {
    10.73.240.235;
    152.62.196.10;
};
forward only;

Thật kỳ lạ, tôi mong rằng một khi bạn xác định các giao nhận, câu lệnh forwardsẽ được áp dụng với giá trị mặc định của nó first. Thay đổi forward firstthành forward onlykhông nên có tác động đến cấu hình của bạn.
Tommiie

-1

10.0.0.0/8 là dải IP dành riêng cho Networks Mạng sử dụng riêng '(RFCs 1918, 5735 và 6303). Điều tương tự là đối với các mạng 192.168.0.0/16 fnd 172.16.0.0/12. Địa chỉ này không được định tuyến qua internet và không thể truy cập trực tiếp từ các mạng bên ngoài.


Cảm ơn vì bình luận Kondybas nhưng tôi không tin sử dụng Địa chỉ IP riêng là nguyên nhân của vấn đề này. Tôi có thể duyệt internet từ các Khách hàng này khi sử dụng Máy chủ DNS tiêu chuẩn của công ty. Vấn đề chỉ xảy ra khi tôi sử dụng Máy chủ Bind làm nguồn DNS
Jason

@Jason Ok. Máy tính của bạn ở đâu đó bên ngoài mạng riêng của bạn và có địa chỉ IP 77,88,99.11. Có rất nhiều mạng và rất nhiều bộ định tuyến giữa máy tính của bạn và máy chủ liên kết được đặt trên đó. Làm thế nào máy tính của bạn có thể cho IP 10.64.33.115 bạn đã gán cho máy chủ của mình từ IP 10.64.33.115 Tôi đã gán cho máy chủ của mình trong mạng riêng của mình?
Kondybas

Xin chào Kondybas, nền tảng của tôi là kết nối mạng (Cisco). Từ quan điểm đó, mọi thứ là 100%. trong môi trường này, nếu tôi định cấu hình một trong các máy khách của mình với Máy chủ DNS hiện có (cũng nằm trên một mạng con khác), có thể duyệt internet. Vấn đề bắt đầu khi 10.64.33.115 được sử dụng làm Máy chủ DNS, tại thời điểm này, Khách hàng không thể duyệt internet nữa. Tôi tin rằng tôi cần phải cấu hình named.conf trên 10.64.33.115 với các địa chỉ giao nhận nhưng, ngay cả với cấu hình này, khách hàng vẫn không thể duyệt Web
Jason
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.