Kā instalēt un konfigurēt tikai kešatmiņu DNS serveris bez saistībām RHEL/CentOS 7


Vārdu serveru kešatmiņa, izmantojot ' Nav saistību ' (ir validējoša, rekursīva un kešatmiņā saglabāta DNS servera programmatūra), atpakaļ RHEL/CentOS 6.x (kur x ir versijas numurs), mēs izmantojām bind programmatūra DNS serveru konfigurēšanai.

Šajā rakstā mēs izmantosim nesaistīto kešatmiņas programmatūru, lai instalētu un konfigurētu DNS serveri RHEL/CentOS 7 sistēmās.

DNS kešatmiņas serveri tiek izmantoti, lai atrisinātu visus saņemtos DNS vaicājumus. Ja serveris saglabā vaicājumu kešatmiņā un nākotnē tie paši vaicājumi, kurus pieprasa klienti, pieprasījums tiks piegādāts no DNS ‘ nesaistītā ’ kešatmiņas, to var izdarīt milisekundēs, nekā pirmo reizi, kad tas tika atrisināts.

Kešatmiņa darbosies tikai kā aģents, lai atrisinātu klienta vaicājumu no jebkura ekspeditora. Kešatmiņas servera izmantošana samazinās tīmekļa lapu ielādes laiku, saglabājot kešatmiņas datu bāzi nesaistītā serverī.

Demonstrācijas nolūkos es izmantošu divas sistēmas. Pirmā sistēma darbosies kā galvenais (primārais) DNS serveris un otrā sistēma darbosies kā vietējais DNS klients.

Operating System   :    CentOS Linux release 7.0.1406 (Core)
IP Address	   :	192.168.0.50
Host-name	   :	ns.tecmintlocal.com
Operating System   :	CentOS 6
IP Address	   :	192.168.0.100
Host-name	   :	client.tecmintlocal.com

1. darbība: pārbaudiet sistēmas resursdatora nosaukumu un IP

1. Pirms kešatmiņā saglabātā DNS servera iestatīšanas pārliecinieties, vai esat savai sistēmai pievienojis pareizu resursdatora nosaukumu un konfigurējis pareizu statisko IP adresi, ja nav iestatīta sistēmas statiskā IP adrese.

2. Pēc pareiza resursdatora nosaukuma un statiskās IP adreses iestatīšanas tos var pārbaudīt, izmantojot šādas komandas.

# hostnamectl
# ip addr show | grep inet

2. darbība: nav saistību instalēšana un konfigurēšana

3. Pirms “Unbound” pakotnes instalēšanas mums jāatjaunina sistēma uz jaunāko versiju, pēc tam mēs varam instalēt nesaistīto pakotni.

# yum update -y
# yum install unbound -y

4. Pēc pakotnes instalēšanas izveidojiet nesaistītā konfigurācijas faila kopiju, pirms veicat izmaiņas oriģinālajā failā.

# cp /etc/unbound/unbound.conf /etc/unbound/unbound.conf.original

5. Pēc tam izmantojiet jebkuru no iecienītākajiem teksta redaktoriem, lai atvērtu un rediģētu konfigurācijas failu ‘unbound.conf’.

# vim /etc/unbound/unbound.conf

Kad fails ir atvērts rediģēšanai, veiciet šādas izmaiņas:

Meklējiet Interfeiss un iespējojiet interfeisu, kuru mēs izmantosim, vai, ja mūsu serverim ir vairākas saskarnes, mums ir jāiespējo interfeiss 0.0.0.0 .

Šeit mūsu servera IP bija 192.168.0.50 , tāpēc es šajā saskarnē izmantoju nesaistītu.

Interface 192.168.0.50

Meklējiet šo virkni un padariet to par ‘’.

do-ip4: yes
do-udp: yes
do-tcp: yes

Lai iespējotu žurnālu, pievienojiet mainīgo, kā norādīts zemāk, tas reģistrēs visas nesaistītās darbības.

logfile: /var/log/unbound

Iespējojiet šo parametru, lai paslēptu vaicājumus id.server un hostname.bind .

hide-identity: yes

Iespējojiet šo parametru, lai paslēptu vaicājumus version.server un version.bind .

hide-version: yes

Pēc tam meklējiet piekļuves kontrole , lai atļautu. Tas ļauj klientiem, kuriem ir atļauts vaicāt šim nesaistītajam serverim.

Šeit es izmantoju 0.0.0.0 , tas nozīmē, ka ikviens nosūta vaicājumu šim serverim. Ja mums ir jāatsakās no kāda tīkla diapazona vaicājuma, mēs varam noteikt, kurš tīkls ir jāatsaka no nesaistītiem vaicājumiem.

access-control: 0.0.0.0/0 allow

Piezīme. Atļaujas vietā mēs to varam aizstāt ar allow_snoop , tādējādi iespējojot dažus papildu parametrus, piemēram, dig , un tas atbalsta gan rekursīvos, gan nerekursīvos.

Pēc tam meklējiet nedrošs domēns . Ja mūsu domēns darbojas ar DNS sec atslēgām , mums ir jādefinē mūsu serveris, kas pieejams domēna nedrošībai . Šeit mūsu domēns tiks uzskatīts par nedrošu.

domain-insecure: "tecmintlocal.com

Pēc tam nomainiet pieprasītā vaicājuma ekspeditorus , kurus šis serveris neizpilda, tas pārsūtīs uz saknes domēnu (. ) un atrisinās vaicājumu.

forward-zone:
        name: "."
        forward-addr: 8.8.8.8
        forward-addr: 8.8.4.4

Visbeidzot, saglabājiet un aizveriet konfigurācijas failu, izmantojot wq!

6. Pēc iepriekš minētās konfigurācijas veikšanas tagad pārbaudiet, vai failā unbound.conf nav kļūdu, izmantojot šo komandu.

# unbound-checkconf /etc/unbound/unbound.conf

7. Pēc faila pārbaudes bez kļūdām varat droši restartēt nesaistīto pakalpojumu un iespējot to sistēmas startēšanas laikā.

# systemctl start unbound.service
# sudo systemctl enable unbound.service

3. darbība: pārbaudiet DNS kešatmiņu lokāli

8. Tagad ir pienācis laiks pārbaudīt mūsu DNS kešatmiņu, veicot “urbt” (vaicājumu) vienu “india.com” domēnu. Vispirms domēna ‘india.com’ komandas rezultāti ‘urbt’ prasīs dažas milisekundes, un pēc tam veiciet otru treniņu un norādiet Vaicājuma laiks , kas nepieciešams abiem treniņiem.

drill india.com @192.168.0.50

Vai redzējāt iepriekš redzamajā izvadā, pirmais vaicājums tika atrisināts gandrīz 262 ms , un otrajam vaicājumam domēna ( india.com ).

Tas nozīmē, ka pirmais vaicājums tiek saglabāts kešatmiņā mūsu DNS kešatmiņā, tāpēc, kad mēs otro reizi izpildām “drill”, vaicājums tiek piegādāts no mūsu vietējās DNS kešatmiņas, tādējādi mēs varam uzlabot vietņu ielādes ātrumu.

4. solis: Iztīriet Iptables un pievienojiet Firewalld kārtulas

9. Mēs nevaram vienlaikus izmantot gan iptables, gan firewalld vienā mašīnā, ja mēs abi darīsim, būs pretrunā viens ar otru, tādējādi laba ideja būs noņemt ipables noteikumus. Lai noņemtu vai izskalotu iptables, izmantojiet šo komandu.

# iptables -F

10. Pēc neatgriezeniskas iptables kārtulu noņemšanas tagad neatgriezeniski pievienojiet DNS pakalpojumu ugunsmūra sarakstā.

# firewall-cmd --add-service=dns
# firewall-cmd --add-service=dns --permanent

11. Pēc DNS pakalpojumu noteikumu pievienošanas uzskaitiet noteikumus un apstipriniet.

# firewall-cmd --list-all

5. darbība: Pārvaldība un problēmu novēršana nav saistību

12. Lai iegūtu pašreizējo servera statusu, izmantojiet šādu komandu.

# unbound-control status

13. Ja jūs vēlaties, lai teksta failā būtu DNS kešatmiņas informācija, varat to novirzīt uz kādu failu, izmantojot zemāk esošo komandu izmantošanai nākotnē.

 # unbound-control dump_cache > /tmp/DNS_cache.txt

14. Lai atjaunotu vai importētu kešatmiņu no izgāztā faila, varat izmantot šādu komandu.

# unbound-control dump_cache < /tmp/DNS_cache.txt

15. Lai pārbaudītu, vai konkrēto adresi ir atrisinājuši mūsu ekspeditori nesaistītajā kešatmiņas serverī, izmantojiet zemāk esošo komandu.

# unbound-control lookup google.com

16. Dažreiz, ja mūsu DNS kešatmiņas serveris neatbildēs uz mūsu vaicājumu, pa to laiku mēs varam izmantot kešatmiņas skalošanu, lai noņemtu tādu informāciju kā A , AAA , NS , SO , CNAME , MX , PTR utt. Ieraksti no DNS kešatmiņas. Mēs varam noņemt visu informāciju, izmantojot flush_zone , tādējādi tiks noņemta visa informācija.

# unbound-control flush linux-console.net
# unbound-control flush_zone tecmintlocal.com

17. Lai pārbaudītu, kuri uzbrucēji pašlaik tiek izmantoti, lai atrisinātu.

# unbound-control list_forwards

6. darbība: klienta puses DNS konfigurācija

18. Šeit kā klienta mašīnu esmu izmantojis CentOS 6 serveri, šīs mašīnas IP ir 192.168.0.100 un es izmantošu savu nesaistīto DNS servera IP (ti, primārais DNS) tā saskarnes konfigurācijā.

Piesakieties klienta mašīnā un iestatiet Primārā DNS servera IP uz mūsu nesaistītā servera IP.

Palaidiet iestatīšanas komandu un tīkla pārvaldniekā TUI izvēlieties tīkla konfigurāciju.

Pēc tam izvēlieties DNS konfigurāciju, ievietojiet nesaistītā DNS servera IP kā Primārais DNS , bet šeit es esmu izmantojis gan Primārais , gan Sekundārais , jo man nav neviena cita DNS servera.

Primary DNS	: 192.168.0.50
Secondary DNS	: 192.168.0.50

Noklikšķiniet uz Labi -> Saglabāt un iziet -> Iziet .

19. Pēc primārās un sekundārās DNS IP adrešu pievienošanas ir pienācis laiks restartēt tīklu, izmantojot šādu komandu.

# /etc/init.d/network restart

20. Tagad ir laiks piekļūt jebkurai vietnei no klienta datora un pārbaudīt, vai kešatmiņa nav saistītajā DNS serverī.

# elinks aol.com
# dig aol.com

Secinājums

Iepriekš mēs izmantojām DNS kešatmiņas servera iestatīšanu, izmantojot iesiešanas paketi RHEL un CentOS sistēmās. Tagad mēs esam redzējuši, kā iestatīt DNS kešatmiņas serveri, izmantojot nesaistītu pakotni. Ceru, ka tas vaicājuma pieprasījumu atrisinās ātrāk nekā iesiešanas paka.