{"id":1713,"date":"2017-08-06T15:11:29","date_gmt":"2017-08-06T13:11:29","guid":{"rendered":"http:\/\/miroslaw.borodziuk.eu\/?p=1713"},"modified":"2017-08-08T22:20:59","modified_gmt":"2017-08-08T20:20:59","slug":"serwer-dns-bind","status":"publish","type":"post","link":"http:\/\/miro.borodziuk.eu\/index.php\/2017\/08\/06\/serwer-dns-bind\/","title":{"rendered":"Serwer DNS Bind"},"content":{"rendered":"

Domain Name System\u00a0 (DNS) to drzewiasta struktura, kt\u00f3ra jest w Internecie standardowym rozwi\u0105zaniem do t\u0142umaczenia nazw domenowych na adresy IP host\u00f3w. Rozpoznawanie nazw (name resolution) to proces, kt\u00f3ry wykonuje serwer DNS. Rozpoznawanie nazw naprz\u00f3d (forward name resolution) to ustalanie adresu IP na podstawie nazwy domenowej , rozpoznawanie nazw od ty\u0142u (reverse name resolution) to ustalanie nazwy domenowej na podstawie adresu IP.\u00a0 DNS jest us\u0142ug\u0105 niezale\u017cn\u0105 od platformy i wspieran\u0105 przez ka\u017cdy system operacyjny.<\/p>\n

<\/p>\n

Przestrze\u0144 adresowa DNS (DNS name space) to hierarchiczna struktura wszystkich domen w Internecie. Korze\u0144 przestrzeni adresowej reprezentowany jest przez kropk\u0119. Poni\u017cej korzenia znajduj\u0105 si\u0119 domeny najwy\u017cszego poziomu (top-level domains – TLDs), takie jak .pl, .eu, .com czy .net.<\/p>\n

\"\"<\/p>\n

Domeny najwy\u017cszego poziomu mog\u0105 zawiera\u0107 domeny drugiego poziomu (second level domains) takie jak np. linux.pl. P\u00f3\u017aniej domeny mog\u0105 by\u0107 trzeciego poziomu jak np. news.linux.pl. Pe\u0142na nazwa domenowa hosta to FQDN (Fully Qualified Domain Name). Dzielenie domen na pod-domeny pozwala na zarz\u0105dzanie nimi przez inne grupy administrator\u00f3w. Taka po-domena musi zosta\u0144 zarejestrowana przez akredytowanego rejestratora domen, licencjonowanego przez Internet <\/i>Corporation for Assigned Names and Numbers <\/i>(ICANN).<\/p>\n

 <\/p>\n

Root serwery DNS.<\/span><\/p>\n

Na szczycie hierarchii DNS znajduj\u0105 si\u0119 root serwery, kt\u00f3re s\u0105 zarz\u0105dzane przez r\u00f3\u017cne organizacje autoryzowane przez ICANN. Aktualnie jest trzyna\u015bcie dzia\u0142aj\u0105cych root serwer\u00f3w z pewn\u0105 ilo\u015bci\u0105 mirror\u00f3w, kt\u00f3re maj\u0105 odci\u0105\u017ca\u0107 root serwery.\u00a0 Lista root serwer\u00f3w znajduje si\u0119 w pliku \/var\/named\/named.ca<\/code>, nale\u017c\u0105cym do pakietu bind<\/em>.<\/p>\n

a.root-servers.net. 198.41.0.4\r\nb.root-servers.net. 192.228.79.201\r\nc.root-servers.net. 192.33.4.12\r\nd.root-servers.net. 199.7.91.13\r\ne.root-servers.net. 192.203.230.10\r\nf.root-servers.net. 192.5.5.241\r\ng.root-servers.net. 192.112.36.4\r\nh.root-servers.net. 128.63.2.53\r\ni.root-servers.net. 192.36.148.17\r\nj.root-servers.net. 192.58.128.30\r\nk.root-servers.net. 193.0.14.129\r\nl.root-servers.net. 199.7.83.42\r\nm.root-servers.net. 202.12.27.33<\/pre>\n
Root serwery obs\u0142uguj\u0105 zapytania tylko dla domen najwy\u017cszego poziomu i dostarczaj\u0105 klientom adresy IP serwer\u00f3w odpowiedzialnych za dane domeny TLD.<\/p>\n
 <\/p>\n
Role jakie mog\u0105 pe\u0142ni\u0107 hosty w zwi\u0105zku DNS.<\/span><\/p>\n
Podstawowy serwer DNS – primary DNS server.\u00a0 Ma zwierzchni\u0105 rol\u0119 w domenie, utrzymuje oryginalne dane domeny.<\/p>\n
Zapasowy serwer DNS – secondary DNS server. R\u00f3wnie\u017c ma zwierzchni\u0105 rol\u0119 w domenie jednak jego dane s\u0105 kopiowane z serwera podstawowego. Taki serwer uruchamiany jest dla redundancji lub odci\u0105\u017cenia serwera podstawowego.<\/p>\n
Cachuj\u0105cy serwer DNS – caching DNS<\/i> server. Nie odgrywa zwierzchniej roli w domenie, jego dane kopiowane s\u0105 z serwera podstawowego lub zapasowego i caschowane w pami\u0119ci operacyjnej. <\/i><\/p>\n
Forwarduj\u0105cy serwer DNS – forward<\/em>ing DNS<\/i> server. Nie odgrywa zwierzchniej roli w domenie, przekazuje przychodz\u0105ce zapytania od klient\u00f3w do okre\u015blonego serwera DNS.<\/p>\n
Klient DNS – dns client. Host, kt\u00f3ry korzysta z serwer\u00f3w DNS do rozpoznawania nazw domenowych.<\/p>\n
 <\/p>\n
Typy konfiguracji serwer\u00f3w nazw.<\/span><\/p>\n
    \n
  • Autorytatywny (authoritative<\/em>) – zazwyczaj podstawowy lub zapasowy serwer DNS, kt\u00f3ry udziela odpowiedzi na wysy\u0142ane przez klient\u00f3w zapytania DNS odno\u015bnie jego domeny.<\/li>\n
  • Rekursywny (recursive<\/em>) – zazwyczaj serwer cachuj\u0105cy, kt\u00f3ry jest w stanie odpyta\u0107 dost\u0119pny dla\u00a0 niego serwer DNS aby rozwi\u0105za\u0107 nazw\u0119 domenow\u0105, kt\u00f3rej jeszcze nie ma jeszcze w cache’u.<\/li>\n<\/ul>\n
     <\/p>\n
    Strefy DNS i pliki stref.<\/span><\/p>\n
    Przestrze\u0144 adresowa, kt\u00f3r\u0105 zarz\u0105dza dany serwer DNS nazywana jest stref\u0105, a pliki z danymi nazywane s\u0105 plikami stref lub baz\u0105 danych strefy. Pliki stref zawieraj\u0105 dyrektywy i rekordy zasob\u00f3w. Dyrektywy kontroluj\u0105 zachowanie serwera DNS i instruuj\u0105 jak przeprowadza\u0107 okre\u015blone zadania lub stosowa\u0107 ustawienia specjalne dla strefy. Rekordy zasob\u00f3w opisuj\u0105 limity strefy i maj\u0105 zastosowanie dla indywidualnych host\u00f3w lub podmiot\u00f3w. Dyrektywy w pliku strefy zaczynaj\u0105 si\u0119 od znaku $, np. $INCLUDE (dodanie dodatkowego pliku strefy), $ORIGIN (dodanie nazwy domeny do prostej nazwy hosta) i $TTL (domy\u015blna wa\u017cno\u015b\u0107 ustawie\u0144 strefy w sekundach). Rekordy zasob\u00f3w przedstawia tabela poni\u017cej.<\/p>\n\n\n\n\n\n\n\n\n\n
    Rekord<\/span><\/td>\nOpis<\/span><\/td>\n<\/tr>\n
    A lub AAAA<\/span><\/td>\nRekord adresu, okre\u015bla adres IPv4 lub IPv6 jaki ma by\u0107 mapowany dla nazwy hosta.<\/td>\n<\/tr>\n
    CNAME<\/span><\/td>\nRekord nazwy kanonicznej (canonical name), przyporz\u0105dkowuje alias dla nazwy rzeczywistej.<\/td>\n<\/tr>\n
    MX<\/span><\/td>\nRekord poczty. Wskazuje na list\u0119 serwer\u00f3w poczty obs\u0142uguj\u0105cych dan\u0105 domen\u0119.<\/td>\n<\/tr>\n
    NS<\/span><\/td>\nRekord serwera nazw. Okre\u015bla nazw\u0119 autorytatywnego serwera nazw.<\/td>\n<\/tr>\n
    PTR<\/span><\/td>\nRekord wska\u017anika. Wskazuje na r\u00f3\u017cne lokalizacje w przestrzeni nazw. Zazwyczaj jest u\u017cywany dla reverse DNS.<\/td>\n<\/tr>\n
    SOA<\/span><\/td>\nRekord Start Of Authority. Definiuje kluczowy autorytatyene dane takie\u00a0 jak podstawowy serwer DNS, adres email administratora oraz:<\/p>\n
    Serial<\/em> – ile razy pliku strefy by\u0142 aktualizowany.<\/p>\n
    Refresh<\/em> – czas po jaki zapasowe serwery DNS b\u0119d\u0105 pobiera\u0107 aktualizacj\u0119 strefy.<\/p>\n
    Retry<\/em> – czas przez jaki zapasowe serwery b\u0119d\u0105 czeka\u0107 przed ponownym pobraniem aktualizacji strefy.<\/p>\n
    Expiry<\/em> – czas po jakim zapasowe serwery ustawi\u0105 stref\u0119 jako nie autorytatywn\u0105 je\u017celi nie mog\u0105 skontaktowa\u0107 si\u0119 z podstawowym serwerem nazw.<\/p>\n
    Minimum<\/em> – czas przez jaki serwery nazw cashuj\u0105 dane strefy.<\/p>\n
    Warto\u015bci mog\u0105 by\u0107 podane w sekundach (domy\u015blne), minutach (M), godzinach (H), dniach (D) lub tygodniach (W). Znakiem komentarza jest \u015brednik ;. Domena na samym pocz\u0105tku wskazuje na domen\u0119, kt\u00f3ra jest w\u0142a\u015bcicielem strefy. Znak @ wskazuje na warto\u015b\u0107 zmiennej $ORIGIN. IN przed SOA wskazuje na rekord Internet.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
    Przyk\u0142adowy plik strefy:<\/p>\n
    $TTL 86400                                         [24h, czas trzymania danych w cachu]\r\n$ORIGIN example.com                                [Nazwa domeny] \r\n@ IN SOA server1.example.com. root.examle.com. (   [Znak @ zast\u0119puj\u0119 nazw\u0119 domeny]\r\n0 ;  serial                                        [0 aktualizacji tego pliku]\r\n1D;  refresh                                       \r\n1H ; retry\r\n1W ; expire\r\n3H); minimum\r\n           IN    NS       server1.example.com.     [Nazwa serwera DNS]\r\nserver1    IN    A        192.168.0.110            [IP serwera DNS]\r\n           IN    MX   8   server1.example.com.     [Serwer poczty dla domeny. Im mniejsza liczba MX tym wi\u0119kszy priorytet]\r\n\r\nserver1    IN    A        192.168.0.110            [IP serwera poczty]\r\n           IN    MX   9   server2.example.com.     [Nazwa drugiego serwera poczty]\r\nserver2    IN    A        192.168.0.120            [IP drugiego serwera poczty]<\/pre>\n
    Wszystkie pliki strefy s\u0105 utrzymywane na podstawowym serwerze DNS.<\/p>\n
     <\/p>\n
    Domy\u015blny plik konfiguracyjny \/etc\/named.conf<\/code>.<\/span><\/p>\n
    options {\r\nlisten-on port 53 { 127.0.0.1; };                          \/\/ Port i IP, na kt\u00f3rym nas\u0142uchuje serwer\r\nlisten-on-v6 port 53 { ::1; };\r\ndirectory \"\/var\/named\";                                    \/\/ Katalog, w kt\u00f3rym uruchomiany jest named\r\ndump-file \"\/var\/named\/data\/cache_dump.db\";                 \/\/ Po\u0142o\u017cenie pliku z cache.\r\nstatistics-file \"\/var\/named\/data\/named_stats.txt\";         \/\/ Po\u0142o\u017cenie pliku ze statystykami\r\nmemstatistics-file \"\/var\/named\/data\/named_mem_stats.txt\";  \/\/ Plik ze statystykami zu\u017cycia pami\u0119ci.\r\nallow-query { localhost; };                                \/\/ Lista host\u00f3w, kt\u00f3re mo\u017ce obs\u0142ugiwa\u0107 serwer.\r\n\r\nrecursion yes;                                             \/\/ Serwer b\u0119dzie pracowa\u0142 jako serwer rekursywny.\r\n\r\ndnssec-enable yes;                                         \/\/ Dyrektywa zwi\u0105zana z bezpiecze\u0144stwem DNS.\r\ndnssec-validation yes;                                     \/\/ Dyrektywa zwi\u0105zana z bezpiecze\u0144stwem DNS.\r\n\r\n\/* Path to ISC DLV key *\/\r\nbindkeys-file \"\/etc\/named.iscdlv.key\";\r\n\r\nmanaged-keys-directory \"\/var\/named\/dynamic\";\r\n\r\npid-file \"\/run\/named\/named.pid\";\r\nsession-keyfile \"\/run\/named\/session.key\";\r\n};\r\n\r\nlogging {\r\nchannel default_debug {\r\nfile \"data\/named.run\";\r\nseverity dynamic;\r\n};\r\n};\r\n\r\nzone \".\" IN {\r\ntype hint;\r\nfile \"named.ca\";\r\n};\r\n\r\ninclude \"\/etc\/named.rfc1912.zones\";                      \/\/ Plik strefy.\r\ninclude \"\/etc\/named.root.key\";<\/pre>\n
    Plik domy\u015blnie skonfigurowany jest dla serwera DNS cache-only. Komentarze w tym pliku zaczynaj\u0105 si\u0119 od znak\u00f3w \/\/ lub mog\u0105 by\u0107 w bloku \/* *\/ tak jak w j\u0119zyku C\/C++. Opcje globalne definiowane s\u0105 w sekcji options,\u00a0 opcje indywidualnego poziomu definiowane s\u0105 wewn\u0105trz sekcji zone. Opcje indywidualnych stref nadpisuj\u0105 opcje globalne.<\/p>\n
     <\/p>\n
    Domy\u015blny plik strefy <\/span>\/etc\/named.rfc1912.zones.<\/span><\/code><\/p>\n
    Domy\u015blnie plik ten dostarcza tylko stref\u0119 dla lokalhosta. Ka\u017cdy blok w tym pliku wskazuje na odpowiedni plik strefy w katalogu \/var\/named<\/code>: named.empty, named.localhost<\/code> oraz named.loopback<\/code>.<\/p>\n
    zone \"localhost.localdomain\" IN {\r\ntype master;\r\nfile \"named.localhost\";\r\nallow-update { none; };\r\n};\r\n\r\nzone \"localhost\" IN {\r\ntype master;\r\nfile \"named.localhost\";\r\nallow-update { none; };\r\n};\r\n\r\nzone \"1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa\" IN {\r\ntype master;\r\nfile \"named.loopback\";\r\nallow-update { none; };\r\n};\r\n\r\nzone \"1.0.0.127.in-addr.arpa\" IN {\r\ntype master;\r\nfile \"named.loopback\";\r\nallow-update { none; };\r\n};\r\n\r\nzone \"0.in-addr.arpa\" IN {\r\ntype master;\r\nfile \"named.empty\";\r\nallow-update { none; };\r\n};<\/pre>\n
     <\/p>\n
    Pakiety i logi w RHEL zwi\u0105zane z BIND.<\/span><\/p>\n