DNS HOGYAN
Nicolai Langfeldt (dns-howto[at]langfeldt.net), Jamie Norrish �s m�sok
v9.0, 2001.12.20
_________________________________________________________________
HOGYAN legy�nk r�vid id� alatt DNS-adminisztr�torok.
_________________________________________________________________
1. El�sz�
Kulcsszavak: DNS, BIND, BIND 4, BIND 8, BIND 9, named, dialup, PPP,
slip, ISDN, Internet, domain, name, resolution, hosts, caching.
Ez a dokumentum a Linux Dokument�ci�s Projekt r�sze.
1.1 Szerz�i jog
(C)opyright 1995-2001 Nicolai Langfeldt, Jamie Norrish & Co. Ne
v�ltoztasd a szerz�i jogi r�sz helyesb�t�se n�lk�l, terjeszd
szabadon, de tartsd meg a szerz�i jogi megjegyz�st.
1.2 K�sz�netnyilv�n�t�sok �s seg�ts�gk�r�s
Meg szeretn�m k�sz�nni mindenkinek, akit zavartam e HOGYAN olvas�s�val
(�k tudj�k), �s az �sszes olvas�nak, akik javaslataikat �s
megjegyz�seiket elk�ldt�k lev�lben.
Ez soha nem lesz egy v�gleges dokumentum; k�rlek, k�ldj egy levelet
probl�m�idr�l �s sikereidr�l. Ezzel jobb� teheted ezt a HOGYANt.
K�rlek, a megjegyz�seidet �s/vagy k�rd�seidet vagy a p�nzt k�ldd a
janl@langfeldt.net <janl@langfeldt.net> c�mre. Vagy vedd meg a DNS
k�nyvemet (a c�me "The Concise Guide to DNS and BIND", az
irodalomjegyz�kben megtal�lhat�k az ISBN sz�mok). Ha levelet k�ldesz,
�s szeretn�l v�laszt r�, k�rlek, mutass egy kis udvariass�got azzal,
hogy megbizonyosodsz r�la, hogy a v�laszc�m helyes �s m�k�dik.
K�rlek, olvasd el a [1]K�rd�sek �s v�laszok fejezetet, miel�tt �rsz
nekem. Egy m�sik dolog, hogy csak norv�g�l �s angolul �rtek.
Ez egy HOGYAN. 1995 �ta tartottam karban, az LDP r�szek�nt. 2000
folyam�n meg�rtam egy k�nyvet hasonl� t�rggyal. Szeretn�m elmondani,
hogy b�r ez a HOGYAN sok tekintetben olyan, mint egy k�nyv, ez nem a
letiszt�zott, piacra k�sz�tett k�nyvv�ltozat. Ezen HOGYAN olvas�i
seg�tettek annak felismer�s�ben, hogy mi az, amit neh�z meg�rteni a
DNS-r�l. Ez seg�tett a k�nyv meg�r�s�ban, de a k�nyv szint�n seg�tett
t�bbet gondolkodnom azon, hogy ennek a HOGYANnak mire van sz�ks�ge. A
HOGYAN hozta l�tre a k�nyvet. A k�nyv hozta l�tre e HOGYAN 3-as
v�ltozat�t. K�sz�netem a k�nyvkiad�nak, Que-nak, aki adott egy es�lyt
:-)
1.3 Aj�nl�s
Aj�nlom ezt a HOGYANt Anne Line Norheim Langfeldt-nek. B�r �
val�sz�n�leg soha sem fogja elolvasni, mert nem az a fajta l�ny.
1.4 Friss�tett v�ltozatok
Eme HOGYAN friss�tett v�ltozatait megtal�lhatod a
[2]http://langfeldt.net/DNS-HOWTO/ �s a [3]http://www.tldp.org/
oldalon is. Olvasd el azokat is, ha ez a dokumentum 9 h�napn�l
�regebb.
1.5 Magyar ford�t�s
A magyar ford�t�st [4]F�ri Zolt�n k�sz�tette (2003.05.06). A
lektor�l�st [5]Sz�jj�rt� L�szl� v�gezte el (2003.07.01). B�rmilyen
ford�t�ssal kapcsolatos �szrev�telt a [6]linuxhowto@sch.bme.hu c�mre
k�ldjetek. Eme dokumentum legfrissebb v�ltozata megtal�lhat� a
[7]Magyar Linux Dokument�ci�s Projekt honlapj�n.
2. Bevezet�s
Mi ez, �s mi nem
A DNS a Domain Name Server (Domain N�v Szerver). A DNS �talak�tja a
g�pneveket IP c�mekk�, amellyel minden h�l�zati g�p rendelkezik. A
nevet c�mm�, �s a c�met n�vv� ford�tja (vagy "mappeli", ahogy a
zsargon h�vja), �s m�g egy�b feladatokat is ell�t. Ez a HOGYAN azt
dokument�lja, hogyan defini�ljunk ilyen megfeleltet�seket Unix
rendszer haszn�lat�val, p�r Linux-specifikus dologgal egy�tt.
A mappel�s egy egyszer� megfeleltet�s k�t dolog k�z�tt, ez esetben
egy g�pn�v, p�ld�ul /ftp.linux.org/, �s a g�p IP sz�ma (vagy c�me),
199.249.150.4 k�z�tt. A DNS szint�gy tartalmazza a m�sik ir�ny�
megfeleltet�st is IP sz�mb�l g�pn�vv�; ennek neve "ford�tott
megfeleltet�s" (reverse mapping).
A DNS, a beavatatlanok sz�m�ra (ez vagy te ;-), a h�l�zati
adminisztr�ci� egyik legk�d�sebb ter�lete. Szerencs�re a DNS val�j�ban
nem ilyen neh�z. Ez a HOGYAN megpr�b�l egy p�r dolgot vil�gosabb�
tenni. Le�rja egy egyszer� DNS n�vszerver fel�ll�t�s�t, kezdve egy
csak gyors�t�t�ras szerverrel, �s folytatva egy tartom�ny sz�m�ra egy
els�dleges DNS szerver fel�ll�t�s�val. Bonyolultabb be�ll�t�sokhoz
�tn�zheted ezen dokumentum [8]K�rd�sek �s v�laszok fejezet�t. Ha az
nincs le�rva ott, el kell olvasnod a Val�di Dokument�ci�t. Az
[9]utols� fejezetben visszat�rek r�, mit is tartalmaz ez a Val�di
Dokument�ci�.
Miel�tt belekezdesz, be kell �ll�tanod a g�pedet, hogy be tudj r�, �s
ki tudj r�la telnetelni, �s siker�lj�n mindenf�le h�l�zati
kapcsolatokat l�trehozni, valamint k�l�n�sen fontos, hogy k�pes legy�l
a telnet 127.0.0.1 parancsot kiadni, �s a saj�t g�pedet el�rni
(pr�b�ld ki most!). Kiindul�sk�nt sz�ks�ged lesz m�g j�, m�k�d�
/etc/nsswitch.conf/, /etc/resolv.conf/ �s /etc/hosts/ �llom�nyokra is,
b�r funkci�jukat nem fogom itt elmagyar�zni. Ha m�g nincs mindez
be�ll�tva �s nem m�k�dik, a Networking-HOWTO (H�l�zatok-HOGYAN)
�s/vagy a Networking-Overview-HOWTO (H�l�zatok-�ttekint�s-HOGYAN)
elmagyar�zza, hogyan kell ezeket be�ll�tani. Olvasd el �ket.
Amikor azt mondom "a te g�ped", arra a g�pre gondolok, amelyiken a
DNS-t pr�b�lod be�ll�tani, �s nem ak�rmelyik m�sik g�pet, amely a
h�l�zati k�rnyezetedben megtal�lhat�.
Felt�telezem, hogy nem vagy olyan t�zfal m�g�tt, amely blokkolja a
n�vlek�rdez�seket. Ha m�gis, k�l�nleges be�ll�t�sokra lesz sz�ks�ged -
l�sd a [10]K�rd�sek �s v�laszok fejezetet.
A n�vszolg�ltat�st UNIX alatt a named program v�gzi. Ez r�sze a "BIND"
csomagnak, mely fejleszt�s�t a The Internet Software Consortium
koordin�lja. A named programot tartalmazza a legt�bb Linux
disztrib�ci�, �s �ltal�ban /usr/sbin/named programk�nt van telep�tve,
a csomag k�sz�t�j�nek h�bortj�t�l f�gg� kis- vagy nagybet�s BIND
csomagb�l.
Ha van egy named programod, val�sz�n�leg haszn�lhatod; ha nincs,
beszerezhetsz egyet a Linux ftp oldalr�l, vagy let�ltheted a legutols�
�s legnagyszer�bb forr�sk�dot az [11]ftp://ftp.isc.org/isc/bind9/
webhelyr�l. Ez a HOGYAN a 9-es verzi�j� BIND-r�l sz�l. A HOGYAN
r�gebbi v�ltozatai, a 4-es �s 8-as verzi�j� BIND-r�l, m�g mindig
el�rhet�k a [12]http://langfeldt.net/DNS-HOWTO/ honlapon, abban az
esetben, ha 4-es vagy 8-as verzi�j� BIND-et haszn�lsz (mell�kesen, ezt
a HOGYANt is megtal�lhatod ott). Ha a named k�zik�nyv oldala (man
page) a named.conf �llom�nyr�l besz�l (a legeslegv�g�n, a FILES
(�LLOM�NYOK) fejezetben), 8-as BIND-ed van; ha named.boot �llom�nyr�l
van sz�, 4-es BIND-ed van. Ha 4-esed van, �s tudatosan a biztons�gra
t�rekszel, t�nyleg friss�tened kell a 8-as BIND legfrissebb
v�ltozat�ra. Most.
A DNS egy h�l�zati szint� adatb�zis. Vigy�zz, mit raksz bele. Ha
szemetet raksz bele, te �s m�sok is szemetet fognak kinyerni bel�le.
Tartsd DNS-ed rendben �s konzisztensen, �s egy j� szolg�ltat�st fogsz
kapni. Tanuld meg haszn�lni, adminisztr�lni, megkeresni hib�it, �s egy
�jabb j� rendszergazda leszel, aki megv�di a h�l�zatot att�l, hogy
"megfek�dj�n" a f�lremenedzsel�s miatt.
Tipp: K�sz�ts biztons�gi m�solatot az �sszes �llom�nyr�l, amelynek
megv�ltoztat�s�ra utas�talak, ha m�r megvannak, �gy ha esetleg semmi
sem m�k�dik, visszajuthatsz a r�gi, m�k�d� �llapotba.
2.1 M�s n�vszerver megval�s�t�sok
Ezt a fejezetet Joost van Baal �rta.
K�l�nb�z� csomagok l�teznek DNS szerver telep�t�shez a g�pedre. Van a
BIND csomag ( [13]http://www.isc.org/products/BIND/); a megval�s�t�s,
amir�l ez a HOGYAN sz�l. Ez a legn�pszer�bb n�vszerver mindenfel�,
�s szerte az Interneten a n�vszolg�ltat� g�peinek d�nt� t�bbs�g�n ezt
haszn�lj�k, �s az 1980-as �vek �ta fejlesztik. A BSD licenc felt�telei
szerint haszn�lhat�. Mivel ez a legn�pszer�bb programcsomag, egy
csom� dokument�ci� �s tud�sanyag tal�lhat� a BIND-r�l mindenfel�.
Azonban biztons�gi probl�m�k voltak vele.
Azt�n van a djbdns ( [14]http://djbdns.org/), egy viszonylag �j DNS
csomag, amelyet Daniel J. Bernstein k�sz�tett, aki a qmail programot
is �rta. Ez egy nagyon modul�ris k�szlet: k�l�nb�z� kis programok
gondoskodnak a k�l�nb�z� feladatokr�l, amit egy n�vszervernek
kezelnie kell. A biztons�g szempontj�nak figyelembe v�tel�vel
tervezt�k. Egy egyszer�bb z�na-�llom�ny form�tumot haszn�l, �s
�ltal�noss�gban egyszer�bb be�ll�tani. Azonban, mivel kev�sb� ismert,
a helyi guru nem biztos, hogy seg�thet vele kapcsolatban. Sajnos ez a
szoftver nem ny�lt forr�sk�d�. A szerz� hirdet�se a
[15]http://cr.yp.to/djbdns/ad.html honlapon tal�lhat�.
Hogy DJB szoftvere t�nyleg fejl�d�s-e a r�gi alternat�v�kkal szemben,
sok vita t�rgy�t k�pezi. Az ISC csapata otthont ad egy besz�lget�snek
(vagy ink�bb any�z�snak?) a BIND kontra djbdns-r�l a
[16]http://www.isc.org/ml-archives/bind-users/2000/08/msg01075.html
honlapon.
3. A felold�, gyors�t�t�ras n�vszerver
Az els� ugr�s a DNS be�ll�t�shoz. Nagyon hasznos bet�rcs�z�s,
k�bel-modemes, ADSL �s hasonl� felhaszn�l�k sz�m�ra.
A Red Hat �s a Red Hat-hoz kapcsol�d� disztrib�ci�k eset�n ezen HOGYAN
els� fejezet�hez hasonl� gyakorlati eredm�ny �rhet� el a bind,
bind-utils �s caching-nameserver csomagok telep�t�s�vel. Ha Debiant
haszn�lsz, egyszer�en csak telep�tsd a bind (vagy a bind9 csomagot,
mivel jelenleg a BIND 9-est nem t�mogatja a Debian Stable (potato)) �s
a bind-doc csomagot. Persze csak ezen csomagok telep�t�s�vel nem
tanulsz annyit, mint e HOGYAN olvas�s�val. Sz�val telep�tsd a
csomagokat, azut�n olvass tov�bb, �s ellen�rizd az �ltaluk telep�tett
�llom�nyokat.
A gyors�t�t�ras n�vszerver megtal�lja a v�laszt a n�vlek�rdez�sekre,
�s megjegyzi a v�laszt a legk�zelebbi alkalomig, amikor sz�ks�ged lesz
r�. Ez jelent�sen le fogja r�vid�teni a v�rakoz�si id�t a k�vetkez�
alkalommal, k�l�n�sen ha lass� a kapcsolatod.
El�sz�r sz�ks�ged lesz egy /etc/named.conf nev� �llom�nyra
(Debianban: /etc/bind/named.conf). Ez bet�lt�dik amikor a named
elindul. Egyel�re csak ezt kell tartalmaznia:
_________________________________________________________________
// Konfigur�ci�s �llom�ny kiz�r�lag gyors�t�t�ras n�vszerver sz�m�ra
//
// A HOGYAN ezen v�ltozata tartalmazhat a sor elej�n sz�k�z�ket
// tartalmaz� sorokat ebben �s m�s �llom�nyokban. El kell t�vol�tanod
// a sz�k�z�ket, hogy bizonyos dolgok m�k�djenek.
//
// Figyelem, az �llom�nynevek �s a k�nyvt�rak nevei k�l�nb�zhetnek, �m
// a l�nyegi tartalmuknak hasonl�nak kell lenni�k.
options {
directory "/var/named";
// E sor enged�lyez�se seg�thet, ha t�zfalon kereszt�l kell
// �tmenned, �s a dolog nem m�k�dik. De val�sz�n�leg besz�lned
// kell a t�zfal adminisztr�tor�val.
// query-source port 53;
};
controls {
inet 127.0.0.1 allow { localhost; } keys { rndc_key; };
};
key "rndc_key" {
algorithm hmac-md5;
secret "c3Ryb25nIGVub3VnaCBmb3IgYSBtYW4gYnV0IG1hZGUgZm9yIGEgd29tYW4K";
};
zone "." {
type hint;
file "root.hints";
};
zone "0.0.127.in-addr.arpa" {
type master;
file "pz/127.0.0";
};
_________________________________________________________________
A Linux disztrib�ci�s csomagok elt�r� �llom�nyneveket haszn�lhatnak
minden egyes, itt eml�tett �llom�nyt�pusra; azonban k�zel ugyanazt
fogj�k tartalmazni.
A "directory" sor megmondja a named programnak, hol keresse az
�llom�nyokat. Minden ezut�n megnevezett �llom�ny ehhez lesz
viszony�tva. Teh�t a pz egy k�nyvt�r a /var/named alatt, azaz
megegyezik a /var/named/pz k�nyvt�rral. A /var/named a helyes
k�nyvt�r, a Linux F�jlrendszer Szabv�ny alapj�n.
A /var/named/root.hints �llom�ny is megeml�t�dik benne. A
/var/named/root.hints �llom�nynak ezt kell tartalmaznia:
_________________________________________________________________
;
; Nyit� megjegyz�sek lehetnek itt, ha m�r megvan ez az �llom�nyod.
; Ha nem, ne agg�dj.
;
; A kezd� sz�k�z�kr�l a sorok elej�n: t�vol�tsd el �ket!
; A sornak egy ;-vel, .-tal vagy bet�vel kell kezd�dni�k, nem sz�k�zzel.
;
. 6D IN NS A.ROOT-SERVERS.NET.
. 6D IN NS B.ROOT-SERVERS.NET.
. 6D IN NS C.ROOT-SERVERS.NET.
. 6D IN NS D.ROOT-SERVERS.NET.
. 6D IN NS E.ROOT-SERVERS.NET.
. 6D IN NS F.ROOT-SERVERS.NET.
. 6D IN NS G.ROOT-SERVERS.NET.
. 6D IN NS H.ROOT-SERVERS.NET.
. 6D IN NS I.ROOT-SERVERS.NET.
. 6D IN NS J.ROOT-SERVERS.NET.
. 6D IN NS K.ROOT-SERVERS.NET.
. 6D IN NS L.ROOT-SERVERS.NET.
. 6D IN NS M.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET. 6D IN A 198.41.0.4
B.ROOT-SERVERS.NET. 6D IN A 128.9.0.107
C.ROOT-SERVERS.NET. 6D IN A 192.33.4.12
D.ROOT-SERVERS.NET. 6D IN A 128.8.10.90
E.ROOT-SERVERS.NET. 6D IN A 192.203.230.10
F.ROOT-SERVERS.NET. 6D IN A 192.5.5.241
G.ROOT-SERVERS.NET. 6D IN A 192.112.36.4
H.ROOT-SERVERS.NET. 6D IN A 128.63.2.53
I.ROOT-SERVERS.NET. 6D IN A 192.36.148.17
J.ROOT-SERVERS.NET. 6D IN A 198.41.0.10
K.ROOT-SERVERS.NET. 6D IN A 193.0.14.129
L.ROOT-SERVERS.NET. 6D IN A 198.32.64.12
M.ROOT-SERVERS.NET. 6D IN A 202.12.27.33
_________________________________________________________________
Ez az �llom�ny �rja le a f� n�vszervereket a vil�gban. A szerverek
id�r�l id�re v�ltoznak, �s friss�teni kell �ket most �s k�s�bb
is. A [17]Karbantart�s fejezetben olvashatsz ezek naprak�szen
tart�s�r�l.
A k�vetkez� r�sz a named.conf �llom�nyban a zone (z�na). Haszn�lat�t
egy k�s�bbi fejezetben fogom elmagyar�zni; most csak nevezz�k el ezt
az �llom�nyt 127.0.0-nak a pz alk�nyvt�rban. (�jfent, k�rlek t�vol�tsd
el a sor eleji sz�k�z�ket, ha kiv�god �s beilleszted ezt.)
_________________________________________________________________
$TTL 3D
@ IN SOA ns.linux.bogus. hostmaster.linux.bogus. (
1 ; Serial
8H ; Refresh
2H ; Retry
4W ; Expire
1D) ; Minimum TTL
NS ns.linux.bogus.
1 PTR localhost.
_________________________________________________________________
A key �s a control r�szek azt hat�rozz�k meg, hogy a named programod
t�volr�l ir�ny�that� az rndc programmal ha egy helyi �llom�sr�l
kapcsol�dik, ekkor egy k�dolt titkos kulccsal azonos�tja mag�t. Ez a
kulcs olyan, mint egy jelsz�. Az rndc m�k�d�s�hez az /etc/rndc.conf
�llom�nynak meg kell egyeznie ezzel:
_________________________________________________________________
key rndc_key {
algorithm "hmac-md5";
secret "c3Ryb25nIGVub3VnaCBmb3IgYSBtYW4gYnV0IG1hZGUgZm9yIGEgd29tYW4K";
};
options {
default-server localhost;
default-key rndc_key;
};
_________________________________________________________________
Amint l�tod, a secret bejegyz�sek megegyeznek. Ha az rndc programot
egy m�sik g�pr�l szeretn�d haszn�lni, a k�t g�p egym�shoz
viszony�tott rendszeridej�nek 5 percen bel�l kell lennie. Ehhez
aj�nlom az ntp (xntpd �s ntpdate) szoftvert.
�s most, sz�ks�ged lesz egy ehhez hasonl� /etc/resolv.conf �llom�nyra:
(�jfent: T�vol�tsd el a sz�k�z�ket!)
_________________________________________________________________
search altartom�ny.a-te-tartom�nyod.edu a-te-tartom�nyod.edu
nameserver 127.0.0.1
_________________________________________________________________
A "search" sor hat�rozza meg, milyen tartom�nyban t�rt�njen a keres�s
az �llom�sok ut�n, amelyekhez kapcsol�dni akarsz. A "nameserver" sor
hat�rozza meg a n�vszervered c�m�t, ebben az esetben a saj�t g�pedet,
mert ez az, ahol a named programod fut (a 127.0.0.1 c�m helyes, nem
sz�m�t, ha a g�pednek van egy m�sik c�me is). Ha t�bb n�vszervert
akarsz felsorolni, rakd mindegyiket egy-egy "nameserver" sorba.
(Megjegyz�s: A named soha nem olvassa el ezt az �llom�nyt, a named
programot haszn�l� felold� teszi ezt. Megjegyz�s 2: N�h�ny resolv.conf
�llom�nyban a "domain" sort tal�lod. Ez helyes, de ne haszn�ld a
"search" �s a "domain" kulcssz�t is egyszerre, csak az egyik�k fog
m�k�dni.)
Annak bemutat�s�ra, hogy ez az �llom�ny mit csin�l: Ha az �gyf�l
megpr�b�lja kikeresni a foo-t, akkor a
foo.altartom�ny.a-te-tartom�nyod.edu-t pr�b�lja el�sz�r, majd a
foo.a-te-tartom�nyod.edu-t, �s v�g�l a foo-t. Ne akarj t�l sok
tartom�nyt rakni a keres�sorba, mivel mindet v�gigkeresni id�t vesz
ig�nybe.
A p�lda felt�telezi, hogy az altartom�ny.a-te-tartom�nyod.edu
tartom�nyba tartozol. A keres�sornak nem szabad tartalmaznia a
legfels� tartom�nyodat (TLD - Top Level Domain), ebben az esetben az
"ed�-t. Ha gyakran kell kapcsol�dnod m�sik tartom�nyban lev�
�llom�sokhoz, hozz�adhatod azt a tartom�nyt a keres�sorhoz, �gy: (Ne
felejtsd el elt�vol�tani a sz�k�z�ket a sor elej�n, ha vannak)
_________________________________________________________________
search altartom�ny.a-te-tartom�nyod.edu a-te-tartom�nyod.edu m�sik-tartom�ny.co
m
_________________________________________________________________
�s �gy tov�bb. Nyilv�nval�an val�di tartom�nyneveket kell helyett�k
beraknod. K�rlek figyeld meg a tartom�nynevek v�g�n a pontok hi�ny�t.
Ez fontos!
3.1 A named ind�t�sa
Mindezek ut�n itt az id� a named ind�t�s�ra. Ha bet�rcs�z�s
kapcsolatot haszn�lsz, el�sz�r csatlakozz. Most ind�tsd a named-et,
vagy a boot szkript futtat�s�val: /etc/init.d/named start, vagy a
named-et k�zvetlen�l: /usr/sbin/named. Ha kipr�b�ltad a BIND el�z�
verzi�it, val�sz�n�leg az ndc-t haszn�ltad. A BIND 9-ben ezt az rndc
program v�ltotta fel, ami t�volr�l vez�relheti a named-et, de m�r nem
tudja a named-et ind�tani. Ha megn�zed a rendszer�zenetek
napl��llom�ny�t (�ltal�ban /var/log/messages, a Debianban
/var/log/daemon, meg lehet m�g keresni a /var/log egy m�sik
�llom�ny�ban is), mialatt ind�tod a named-et (ezt a tail -f
/var/log/messages-el teheted meg), valami ilyesmit kell l�tnod:
(a \-el v�gz�d� sorok a k�vetkez� sorban folytat�dnak)
Dec 23 02:21:12 lookfar named[11031]: starting BIND 9.1.3
Dec 23 02:21:12 lookfar named[11031]: using 1 CPU
Dec 23 02:21:12 lookfar named[11034]: loading configuration from \
'/etc/named.conf'
Dec 23 02:21:12 lookfar named[11034]: the default for the \
'auth-nxdomain' option is now 'no'
Dec 23 02:21:12 lookfar named[11034]: no IPv6 interfaces found
Dec 23 02:21:12 lookfar named[11034]: listening on IPv4 interface lo, \
127.0.0.1#53
Dec 23 02:21:12 lookfar named[11034]: listening on IPv4 interface eth0, \
10.0.0.129#53
Dec 23 02:21:12 lookfar named[11034]: command channel listening on \
127.0.0.1#953
Dec 23 02:21:13 lookfar named[11034]: running
Ha b�rmilyen hiba�zenet megjelenik, akkor ott hiba van. A named
megnevezi az �llom�nyt, amit �pp olvas. Menj vissza, �s ellen�rizd le
az �llom�nyt. Ind�tsd �jb�l a named-et, ha megjav�tottad.
Most letesztelheted a be�ll�t�sodat. Hagyom�nyosan az nslookup
haszn�latos erre. Napjainkban azonban m�r a dig aj�nlott:
$ dig -x 127.0.0.1
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26669
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;1.0.0.127.in-addr.arpa. IN PTR
;; ANSWER SECTION:
1.0.0.127.in-addr.arpa. 259200 IN PTR localhost.
;; AUTHORITY SECTION:
0.0.127.in-addr.arpa. 259200 IN NS ns.linux.bogus.
;; Query time: 3 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 02:26:17 2001
;; MSG SIZE rcvd: 91
Ha ilyen �zeneteket kapt�l, akkor m�k�dik. Rem�lj�k. Ha b�rmi
teljesen elt�r�t kapsz, menj vissza, �s ellen�rizz le mindent.
Minden alkalommal, amikor megv�ltoztatsz egy �llom�nyt, futtasd az
rndc reload parancsot.
Most m�r beadhatsz egy lek�rdez�st. Pr�b�lj meg valami hozz�d k�zeli
g�pet. A pat.uio.no k�zel van hozz�m, az Osl�i Egyetemen:
$ dig pat.uio.no
; <<>> DiG 9.1.3 <<>> pat.uio.no
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15574
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 0
;; QUESTION SECTION:
;pat.uio.no. IN A
;; ANSWER SECTION:
pat.uio.no. 86400 IN A 129.240.130.16
;; AUTHORITY SECTION:
uio.no. 86400 IN NS nissen.uio.no.
uio.no. 86400 IN NS nn.uninett.no.
uio.no. 86400 IN NS ifi.uio.no.
;; Query time: 651 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 02:28:35 2001
;; MSG SIZE rcvd: 108
Ez�ttal a dig megk�rte a named-et, hogy keresse meg a pat.uio.no
g�pet. Az pedig kapcsol�dott a root.hints �llom�nyodban lev� egyik
n�vszerver g�phez, �s lek�rdezte az �tvonal�t onnan. Eltarthat egy
r�pke pillanatig, m�g megkapod az eredm�nyt, mivel v�gig kell keresnie
az �sszes tartom�nyt, amit a /etc/resolv.conf-ban megnevezt�l.
Ha m�g egyszer lek�rdezed ugyanazt, ezt kapod:
$ dig pat.uio.no
; <<>> DiG 8.2 <<>> pat.uio.no
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3
;; QUERY SECTION:
;; pat.uio.no, type = A, class = IN
;; ANSWER SECTION:
pat.uio.no. 23h59m58s IN A 129.240.130.16
;; AUTHORITY SECTION:
UIO.NO. 23h59m58s IN NS nissen.UIO.NO.
UIO.NO. 23h59m58s IN NS ifi.UIO.NO.
UIO.NO. 23h59m58s IN NS nn.uninett.NO.
;; ADDITIONAL SECTION:
nissen.UIO.NO. 23h59m58s IN A 129.240.2.3
ifi.UIO.NO. 1d23h59m58s IN A 129.240.64.2
nn.uninett.NO. 1d23h59m58s IN A 158.38.0.181
;; Total query time: 4 msec
;; FROM: lookfar to SERVER: default -- 127.0.0.1
;; WHEN: Sat Dec 16 00:23:09 2000
;; MSG SIZE sent: 28 rcvd: 162
Ahogy azt nyilv�nval�an l�thatod, ez�ttal ez sokkal gyorsabb volt, 4
ms a kor�bbi t�bb, mint f�l m�sodperccel ellent�tben. A v�lasz benne
volt a gyors�t�t�rban. A gyors�t�t�rban l�v� eredm�nyekn�l es�ly van
arra, hogy m�r elavult, de az eredeti szerverek befoly�solhatj�k azt
az id�t, am�g a let�rolt v�laszok �rv�nyesk�nt lesznek nyilv�ntartva.
V�g�l is nagy a val�sz�n�s�g arra, hogy a kapott v�lasz �rv�nyes.
3.2 N�vfelold�s
Minden oper�ci�s rendszer, ami a C API szabv�nyt alkalmazza,
rendelkezik a gethostbyname �s a gethostbyaddr h�v�sokkal. Ezek
k�l�nb�z� forr�sokb�l szerezhetik be az inform�ci�t. Hogy melyik
forr�sb�l szerzik ezt be, az Linux (�s egyes Unix) rendszereken az
/etc/nsswitch.conf �llom�nyban van be�ll�tva. Ez egy hossz� �llom�ny,
amely megadja mely �llom�nyokb�l vagy adatb�zisokb�l szerezhet�k be
k�l�nb�z� adatt�pusok. �ltal�ban hasznos megjegyz�seket tartalmaz a
fejl�c�ben, melyeket k�r�ltekint�en olvass el. Ezut�n keresd meg a
"hosts:" kulcssz�val kezd�d� sort; �gy kell kin�znie:
_________________________________________________________________
hosts: files dns
_________________________________________________________________
(Eml�kszel m�g a sz�k�z�kre a sor elej�n? Nem akarom �jra
megeml�teni.)
Ha nincs "hosts:" kulcssz�val kezd�d� sor, sz�rd be a fentieket.
Ezek a sorok azt jelentik, hogy a programoknak el�sz�r a /etc/hosts
�llom�nyban kell keresni�k, majd leellen�rzik a DNS-t a resolv.conf
�llom�ny alapj�n.
3.3 Gratul�lok
Most m�r tudod, hogyan kell be�ll�tani a gyors�t�t�ras named-et. Bonts
egy s�rt, tejet, vagy b�rmit, amivel �nnepelni szeretsz.
4. Tov�bb�t�s (forwarding)
Nagy, j�l szervezett, egyetemi vagy Internet szolg�ltat�i (ISP)
h�l�zatokban n�ha megfigyelheted, hogy a h�l�zati szakemberek a DNS
szerverek tov�bb�t�i hierarchi�j�t hozt�k l�tre, ami seg�t a bels�
h�l�zati terhel�s cs�kkent�s�ben, �s a k�ls� szerverek�n �gyszint�n.
Nem k�nny� megtudni, hogy egy ilyen h�l�zatban vagy-e. De ha a
h�l�zati szolg�ltat�d DNS szerver�t "tov�bb�t�k�nt" haszn�lod, a
lek�rdez�sekre adott reakci�kat gyorsabb� teheted, �s cs�kkentheted a
forgalmat a h�l�zatodon. Ez a te n�vszervered lek�rdez�seinek az ISP
n�vszervere fel� t�rt�n� tov�bb�t�s�val m�k�dik. Minden egyes
alkalommal, amikor ilyen t�rt�nik, az ISP n�vszerver�nek nagy
gyors�t�t�r�ba ny�lsz bele, �gy felgyors�tva a lek�rdez�seket,
n�vszerverednek pedig nem kell mindent mag�nak v�geznie. Ha modemet
haszn�lsz ez nagy el�ny lehet. A p�lda kedv��rt t�telezz�k fel, hogy
a h�l�zati szolg�ltat�dnak k�t n�vszervere van amiket haszn�lni
akarsz, 10.0.0.1 �s 10.1.0.1 IP c�mekkel. Ebben az esetben a
named.conf �llom�nyodba, az "options" kulcssz�val kezd�d� r�szbe
sz�rd be ezeket a sorokat:
_________________________________________________________________
forward first;
forwarders {
10.0.0.1;
10.1.0.1;
};
_________________________________________________________________
Van m�g egy sz�p tr�kk a tov�bb�t�kat haszn�l� bet�rcs�z�s g�pek
sz�m�ra, amely a [18]K�rd�sek �s v�laszok fejezetben van le�rva.
Ind�tsd �jra a n�vszerveredet, �s teszteld a dig-el. M�g mindig
rendben kell m�k�dnie.
5. Egy egyszer� tartom�ny
Hogyan kell fel�ll�tani a saj�t tartom�nyodat?
5.1 De el�sz�r egy kis sz�raz elm�let
Mindenekel�tt: elolvastad az �sszes cuccot ez el�tt, ugye? Erre
sz�ks�g van.
Miel�tt t�nyleg elkezdj�k ezt a fejezetet, k�zz�teszek egy kis
elm�letet, �s egy p�ld�t, hogyan m�k�dik a DNS. �s te el fogod
olvasni, mert az j� neked. Ha nem akarod, legal�bb fusd �t nagyon
gyorsan. Fejezd be a fut�st, ha oda �rsz, hogy minek kell a named.conf
�llom�nyodba ker�lnie.
A DNS egy hierarchikus, fa strukt�r�j� rendszer. A tetej�t "."-nak
�rj�k �s "gy�k�r"-nek (root) ejtik, ahogy az megszokott a fa-t�pus�
adatstrukt�r�kn�l. A . alatt sz�mos legfels�bb szint� tartom�ny (TLD
- Top Level Domain) van; a legismertebbek az ORG, COM, EDU �s a NET,
de m�g sok m�s is van. �pp�gy mint a f�nak, ennek is van gy�kere �s
el�gazik. Ha van egy kis sz�m�t�stechnikai h�ttered, a DNS-t, mint egy
keres�f�t azonos�thatod, �s megtal�lhatod a csom�pontokat, az �gakat
�s a cs�csokat. A pontok a csom�pontok, a cs�csok a neveken vannak.
Egy g�p keres�sekor a lek�rdez�s rekurz�v m�don halad a hierarchi�ban,
a gy�k�rt�l kiindulva. Ha a prep.ai.mit.edu c�m�t akarod megtal�lni,
a n�vszerverednek el kell kezdenie valahol. A gyors�t�t�rban val�
keres�ssel kezdi. Ha ebben megvan a v�lasz mert kor�bban elt�rolta,
azonnal v�laszolni fog, ahogy ezt a legut�bbi fejezetben l�ttuk. Ha
nem tudja, megn�zi milyen k�zeli v�laszt tud adni a keresett n�vhez,
�s felhaszn�l b�rmilyen inform�ci�t, amit m�r elt�rolt. A legrosszabb
esetben nincs m�s tal�lata, csak a n�v "."-ja (gy�kere), �s a
f�szerverekhez kell fordulni. El fogja t�vol�tani a baloldali
r�szeket, egyenk�nt ellen�rizve, hogy tud-e valamit az ai.mit.edu.
tartom�nyr�l, ut�na a mit.edu.-r�l, ut�na az edu.-r�l, �s ha nem,
ut�na a .-r�l, mert ez volt a hints �llom�nyban. Ezut�n megk�rdezi a .
szervert a prep.ai.mit.edu tartom�nyr�l. Ez a . szerver nem fogja
tudni a v�laszt, de seg�teni fog a szerverednek a saj�t m�dj�n egy
hivatkoz�s megad�s�val, amellyel megmondja, hol keressen ink�bb. Ezek
a hivatkoz�sok a szerveredet v�g�l ahhoz a n�vszerverhez vezetik,
amelyik tudja a v�laszt. Most ezt fogom bemutatni. A +norec azt
jelenti, hogy a dig egy nem-rekurz�v lek�rdez�st v�gez, �gy a
rekurzi�t magunknak kell elv�gezn�nk. A t�bbi opci� a dig folyamat
cs�kkent�s�re vannak, �gy ez nem fog t�bb oldalon �t futni:
$ ;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 980
;; flags: qr ra; QUERY: 1, ANSWER: 0, AUTHORITY: 13, ADDITIONAL: 0
;; AUTHORITY SECTION:
. 518400 IN NS J.ROOT-SERVERS.NET.
. 518400 IN NS K.ROOT-SERVERS.NET.
. 518400 IN NS L.ROOT-SERVERS.NET.
. 518400 IN NS M.ROOT-SERVERS.NET.
. 518400 IN NS A.ROOT-SERVERS.NET.
. 518400 IN NS B.ROOT-SERVERS.NET.
. 518400 IN NS C.ROOT-SERVERS.NET.
. 518400 IN NS D.ROOT-SERVERS.NET.
. 518400 IN NS E.ROOT-SERVERS.NET.
. 518400 IN NS F.ROOT-SERVERS.NET.
. 518400 IN NS G.ROOT-SERVERS.NET.
. 518400 IN NS H.ROOT-SERVERS.NET.
. 518400 IN NS I.ROOT-SERVERS.NET.
Ez egy hivatkoz�s. Ez csak egy fel�gyeleti r�szt ("Authority section")
hoz l�tre nek�nk, v�lasz r�szt ("Answer section") pedig nem. A saj�t
n�vszerver�nk egy n�vszerverhez k�ld tov�bb. V�lasszunk ki
v�letlenszer�en egyet:
$ dig +norec +noques +nostats +nocmd prep.ai.mit.edu. @D.ROOT-SERVERS.NET.
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58260
;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 3, ADDITIONAL: 3
;; AUTHORITY SECTION:
mit.edu. 172800 IN NS BITSY.mit.edu.
mit.edu. 172800 IN NS STRAWB.mit.edu.
mit.edu. 172800 IN NS W20NS.mit.edu.
;; ADDITIONAL SECTION:
BITSY.mit.edu. 172800 IN A 18.72.0.3
STRAWB.mit.edu. 172800 IN A 18.71.0.151
W20NS.mit.edu. 172800 IN A 18.70.0.160
Ez azonnal a MIT.EDU szerverhez k�ld minket. �jra v�lasszuk ki egyet
v�letlenszer�en:
$ dig +norec +noques +nostats +nocmd prep.ai.mit.edu. @BITSY.mit.edu.
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29227
;; flags: qr ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4
;; ANSWER SECTION:
prep.ai.mit.edu. 10562 IN A 198.186.203.77
;; AUTHORITY SECTION:
ai.mit.edu. 21600 IN NS FEDEX.ai.mit.edu.
ai.mit.edu. 21600 IN NS LIFE.ai.mit.edu.
ai.mit.edu. 21600 IN NS ALPHA-BITS.ai.mit.edu.
ai.mit.edu. 21600 IN NS BEET-CHEX.ai.mit.edu.
;; ADDITIONAL SECTION:
FEDEX.ai.mit.edu. 21600 IN A 192.148.252.43
LIFE.ai.mit.edu. 21600 IN A 128.52.32.80
ALPHA-BITS.ai.mit.edu. 21600 IN A 128.52.32.5
BEET-CHEX.ai.mit.edu. 21600 IN A 128.52.32.22
Ez�ttal kapunk egy "ANSWER SECTION"-t, �s v�laszt a k�rd�s�nkre. Az
"AUTHORITY SECTION" azt az inform�ci�t tartalmazza, hogy mely
szervereket k�rdezz�k legk�zelebb az ai.mit.edu-r�l. �gy, k�vetkez�
alkalommal amikor az ai.mit.edu nevekr�l k�v�ncsiskodsz, k�zvetlen�l
�ket k�rdezheted. A named inform�ci�t gy�jt�tt a mit.edu-r�l is, �gy
legk�zelebb ha a www.mit.edu lek�rdez�se fordul el�, sokkal k�nnyebb
lesz majd megv�laszolni a k�rd�st.
�gy a .-t�l kezd�d�en a hivatkoz�sok alapj�n megtal�ltuk az egym�s
ut�ni n�vszervereket, a tartom�nyn�v minden egyes szintj�hez. Ha a
saj�t DNS szerveredet haszn�ltad volna mindezen szerverek helyett, a
named-ed term�szetesen elt�rolta volna mindezt az inform�ci�t amit a
kutakod�s sor�n tal�lt, �s egy ideig nem kellene �jra lek�rdeznie.
A fa-anal�gi�ban minden "." a n�vben egy el�gaz�si pont, �s minden
r�sz a "."-ok k�z�tt az egyes �gak nevei a f�n. A fa bej�r�sakor
fogjuk a nevet amit keres�nk (prep.ai.mit.edu), megk�rdezve a gy�keret
(.) vagy b�rmelyik szervert a gy�k�rt�l a prep.ai.mit.edu fel�,
amelyikr�l van inform�ci�nk a gyors�t�t�rban. Ha a gyors�t�t�r el�ri
kapacit�s�nak hat�rait, a rekurz�v felold� a k�ls� szervereket
k�rdezi le, k�vetve a hivatkoz�sokat (�leket) tov�bb a n�vben.
Valamivel kevesebbet besz�lt�nk r�la, de �ppoly fontos az in-addr.arpa
tartom�ny. Ez is �pp �gy szervezett, mint a "k�z�ns�ges" tartom�nyok.
Az in-addr.arpa lehet�v� teszi sz�munkra, hogy megkapjuk az �llom�s
nev�t, ha megvan a c�me. Egy fontos dolog, amit meg kell jegyezni,
hogy az IP c�mek ford�tott sorrendben vannak �rva az in-addr.arpa
tartom�nyban. Ha egy g�pnek a c�me: 198.186.203.77, a named a keres�st
a 77.203.168.198.in-addr.arpa-ra v�gzi, �pp�gy, ahogy azt a
prep.ai.mi.edu-ra tette. P�lda: Ha nem tal�lsz egyetlen tal�lati
bejegyz�st a gyors�t�t�rban csak a "."-ot, k�rdezz le egy f�szervert,
az m.root-servers.net valamelyik m�sik f�szerverhez ir�ny�t. A
b.root-servers.net k�zvetlen�l a bitsy.mit.edu tartom�nyhoz ir�ny�t.
Onnan m�r k�pes leszel leszedni.
5.2 A saj�t tartom�nyunk
Most k�vetkezik a saj�t tartom�nyunk meghat�roz�sa. A linux.bogus
tartom�nyt fogjuk l�trehozni, �s megadjuk a g�peket benne. Egy
teljesen hamis tartom�nynevet haszn�lok, hogy biztos ne zavarjunk
senkit Ott Kint.
M�g egy dolog, miel�tt elkezdj�k: Nem minden karakter megengedett a
g�pnevekben. Az angol �b�c� bet�ire vagyunk korl�tozva: a-z, �s a 0-9
sz�mok �s a "-" (k�t�jel) karakter. Tartsd magad ezekhez a
karakterekhez (a 9-es BIND nem fog hib�san m�k�dni, ha megszeged ezt
a szab�lyt, de a 8-as BIND igen). A kis- �s nagybet�k egyform�k a DNS
sz�m�ra, teh�t a pat.uio.no megegyezik a Pat.UiO.No-val.
M�r elkezdt�k ezt a r�szt a named.conf-ban ezzel a sorral:
_________________________________________________________________
zone "0.0.127.in-addr.arpa" {
type master;
file "pz/127.0.0";
};
_________________________________________________________________
K�rlek, vedd �szre a "." hi�ny�t a tartom�nynevek v�g�n ebben az
�llom�nyban. Azt jelenti, hogy mi most a 0.0.127.in-addr.arpa z�n�t
fogjuk megadni, hogy mi vagyunk a mesterszerver sz�m�ra, �s hogy a
pz/127.0.0 �llom�nyban van t�rolva. M�r be�ll�tottuk ezt az �llom�nyt:
_________________________________________________________________
$TTL 3D
@ IN SOA ns.linux.bogus. hostmaster.linux.bogus. (
1 ; Serial
8H ; Refresh
2H ; Retry
4W ; Expire
1D) ; Minimum TTL
NS ns.linux.bogus.
1 PTR localhost.
_________________________________________________________________
K�rlek, vedd �szre a "."-ot a teljes tartom�nynevek v�g�n ebben az
�llom�nyban, ellent�tben a fenti named.conf �llom�nnyal. Egyesek
szeretnek minden z�na�llom�nyt az //$ORIGIN direkt�v�val kezdeni, de
ez felesleges. Egy z�na�llom�ny eredete (ahov� a DNS hierarchi�ban
tartozik) a named.conf �llom�ny z�na fejezet�ben van meghat�rozva;
ebben az esetben ez a 0.0.127.in-addr.arpa.
Ez a "z�na�llom�ny" 3 "er�forr�sbejegyz�st" (RR - resource record)
tartalmaz: egy SOA RR-t, egy NS RR-t �s egy PTR RR-t. A SOA a
Jogosults�g Kezdet�nek a r�vid�t�se (SOA - Start Of Authority). A "@"
egy speci�lis jel ami az eredetet jelenti, �s mivel a "tartom�ny"
oszlop ezen �llom�ny eset�n az 0.0.127.in-addr-arpa-t tartalmazza, az
els� sor val�j�ban ezt jelenti:
0.0.127.in-addr.arpa. IN SOA ...
Az NS a N�vszerver RR. Itt nincs "@" a sor elej�n; mag�t�l �rtet�d�,
mivel az el�z� sor egy "@"-el kezd�d�tt. Ez megtakar�t egy kis
g�pel�st. Teh�t az NS sort �gy is lehet �rni:
0.0.127.in-addr.arpa. IN NS ns.linux.bogus
Ez megmondja a DNS-nek, melyik g�p a 0.0.127.in-addr.arpa tartom�ny
n�vszervere, ez az ns.linux.bogus. Az "ns" egy szokv�nyos n�v a
n�vszerverek sz�m�ra, �pp�gy, mint a web szerverek eset�ben, amiknek
szokv�nyosan www.valami a nev�k. A n�v b�rmi lehet.
V�g�l a PTR (Tartom�ny N�v Mutat�) bejegyz�s megmondja, hogy a
0.0.127.in-addr.arpa alh�l�zat 1-es c�m�n, azaz a 127.0.0.1 c�men
tal�lhat� g�p neve localhost.
A SOA bejegyz�s a bevezet� az �sszes z�na�llom�nyhoz, �s pontosan
egynek kell lennie minden egyes z�na�llom�nyban, a tetej�n (de a $TTL
direkt�va ut�n). Ez le�rja a z�n�t, honnan sz�rmazik (egy
ns.linux.bogus nev� g�pr�l), ki felel�s annak tartalm��rt
(hostmaster@linux.bogus, a saj�t e-mail c�medet kell ide�rnod), melyik
v�ltozat� z�na�llom�ny ez (serial: 1), �s egy�b, a gyors�t�t�raz�ssal
�s a m�sodlagos DNS szerverekkel kapcsolatos dolgokat. A marad�k
mez�k (refresh - friss�t�s, retry - �jrapr�b�lkoz�s, expire - lej�rat
�s minimum) tekintet�ben haszn�ld az ebben a HOGYANban haszn�lt
sz�mokat, �s nem lesz baj. A SOA el� j�n egy k�telez� sor, a $TTL 3D.
Rakd bele az �sszes z�na�llom�nyodba.
Most ind�tsd �jra a named-et (rndc stop; named) �s haszn�ld a dig-et
�gyesked�sed megvizsg�l�s�hoz. A -x ford�tott lek�rdez�st k�r:
$ dig -x 127.0.0.1
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30944
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;1.0.0.127.in-addr.arpa. IN PTR
;; ANSWER SECTION:
1.0.0.127.in-addr.arpa. 259200 IN PTR localhost.
;; AUTHORITY SECTION:
0.0.127.in-addr.arpa. 259200 IN NS ns.linux.bogus.
;; Query time: 3 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:02:39 2001
;; MSG SIZE rcvd: 91
Sz�val ez gondoskodik arr�l, hogy a 127.0.0.1-b�l localhost-ot
kapjunk; rendben. Most a f� c�lunk, a linux.bogus tartom�ny
�rdek�ben, sz�rjunk be egy �j "zone" r�szt a named.conf �llom�nyba:
_________________________________________________________________
zone "linux.bogus" {
type master;
notify no;
file "pz/linux.bogus";
};
_________________________________________________________________
Figyeld meg �jb�l a named.conf �llom�nyban a tartom�nyn�v v�g�n a "."
hi�ny�t.
A linux.bogus z�na�llom�nya berakunk n�mi teljesen val�tlan adatot:
_________________________________________________________________
;
; Zone file for linux.bogus
;
; The full zone file
;
$TTL 3D
@ IN SOA ns.linux.bogus. hostmaster.linux.bogus. (
199802151 ; serial, todays date + todays serial #
8H ; refresh, seconds
2H ; retry, seconds
4W ; expire, seconds
1D ) ; minimum, seconds
;
NS ns ; Inet Address of name server
MX 10 mail.linux.bogus ; Primary Mail Exchanger
MX 20 mail.friend.bogus. ; Secondary Mail Exchanger
;
localhost A 127.0.0.1
ns A 192.168.196.2
mail A 192.168.196.4
_________________________________________________________________
K�t dolgot meg kell jegyezni a SOA bejegyz�sr�l. Az
ns.linux.bogus-nak egy "A" bejegyz�ssel rendelkez� val�di g�pnek kell
lennie. Nem megengedett az SOA bejegyz�sben eml�tett g�phez CNAME
bejegyz�st rendelni. A nev�nek nem kell "ns"-nek lennie, b�rmely val�s
g�p neve lehet. Az ezt k�vet� hostmaster.linux.bogus-t
hostmaster@linux.bogus-nak kell olvasni. Ennek egy olyan lev�lc�mnek
kell lennie, amelyet a DNS-t karbantart� szem�ly, vagy szem�lyek
gyakran olvasnak. B�rmely, a tartom�nnyal kapcsolatos lev�l az itt
megadott c�mre lesz elk�ldve. A n�vnek nem kell "hostmaster"-nek
lennie, lehet ez a rendes e-mail c�med, de a "hostmaster" e-mail c�m
l�tez�se sokszor szint�n elv�r�s.
Egy �j RR t�pus tal�lhat� ebben az �llom�nyban, az MX, vagy a Mail
eXchanger (lev�lkiszolg�l�) RR. Ez megmondja a levelez�rendszereknek,
hova legyen k�ldve a valaki@linux.bogus-nak c�mzett lev�l, n�v szerint
a mail.linux.bogus-nak, vagy a mail.friend.bogus-nak. A sz�m minden
g�p neve el�tt az adott MX RR priorit�sa. A legkisebb sz�mmal (10)
rendelkez� RR az, amelyik, ha lehets�ges a levelet kapni fogja. Ha ez
nem siker�l, a levelet el lehet k�ldeni egy magasabb sz�mmal
rendelkez�nek, egy m�sodlagos lev�lkezel�nek, azaz a
mail.friend.bogus-nak, amelynek a priorit�sa itt 20.
T�lts�k be a tartom�nyokat �jb�l az rndc reload futtat�s�val.
Vizsg�ljuk meg az eredm�nyeket a dig-el:
$ dig any linux.bogus
; <<>> DiG 9.1.3 <<>> any linux.bogus
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55239
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 1, ADDITIONAL: 1
;; QUESTION SECTION:
;linux.bogus. IN ANY
;; ANSWER SECTION:
linux.bogus. 259200 IN SOA ns.linux.bogus. \
hostmaster.linux.bogus. 199802151 28800 7200 2419200 86400
linux.bogus. 259200 IN NS ns.linux.bogus.
linux.bogus. 259200 IN MX 20 mail.friend.bogus.
linux.bogus. 259200 IN MX 10 mail.linux.bogus.linux.bogus.
;; AUTHORITY SECTION:
linux.bogus. 259200 IN NS ns.linux.bogus.
;; ADDITIONAL SECTION:
ns.linux.bogus. 259200 IN A 192.168.196.2
;; Query time: 4 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:06:45 2001
;; MSG SIZE rcvd: 184
Alapos vizsg�lat ut�n egy hib�t fogsz tal�lni. A
linux.bogus. 259200 IN MX 10 mail.linux.bogus.linux.bogus.
sor teljesen rossz. Ennek �gy kellene kin�znie:
linux.bogus. 259200 IN MX 10 mail.linux.bogus.
Sz�nd�kosan hib�t v�tettem, �gyhogy tanulhatsz bel�le :-)
Beletekintve a z�na�llom�nyba ezt a sort tal�ljuk:
MX 10 mail.linux.bogus ; Primary Mail Exchanger
Hi�nyzik egy pont. Vagy a "linux.bogus"-ban t�l sok van. Ha egy g�pn�v
a z�na�llom�nyban nem v�gz�dik pontra, az eredete hozz�ad�dik a
v�g�hez, a megdupl�zott linux.bogus.linux.bogus-t eredm�nyezve. Sz�val
vagy
_________________________________________________________________
MX 10 mail.linux.bogus. ; Primary Mail Exchanger
_________________________________________________________________
vagy
_________________________________________________________________
MX 10 mail ; Primary Mail Exchanger
_________________________________________________________________
a helyes. �n az ut�bbi v�ltozatot prefer�lom, kevesebbet kell g�pelni.
Vannak olyan BIND szak�rt�k, akik nem �rtenek egyet ezzel, �s vannak
olyanok akik igen. Egy z�na�llm�nyban a tartom�nyt vagy ki kell �rni,
�s "."-al lez�rni, vagy egy�ltal�n nem kell meghat�rozni, mely esetben
az eredet lesz az alap�rtelmez�s.
Ki kell hangs�lyoznom, hogy a named.conf �llom�nyban nem kell "."-nak
lennie a tartom�nynevek ut�n. El sem b�rod k�pzelni, h�ny esetben
kavarta �ssze a dolgokat a t�l sok vagy t�l kev�s pont, �s hozta ki az
�rd�g�t az emberekb�l.
Sz�val, kifejtve �rveimet itt van az �j z�na�llom�ny, n�mi extra
inform�ci�val kieg�sz�tve:
_________________________________________________________________
;
; Zone file for linux.bogus
;
; The full zone file
;
$TTL 3D
@ IN SOA ns.linux.bogus. hostmaster.linux.bogus. (
199802151 ; serial, todays date + todays serial #
8H ; refresh, seconds
2H ; retry, seconds
4W ; expire, seconds
1D ) ; minimum, seconds
;
TXT "Linux.Bogus, your DNS consultants"
NS ns ; Inet Address of name server
NS ns.friend.bogus.
MX 10 mail ; Primary Mail Exchanger
MX 20 mail.friend.bogus. ; Secondary Mail Exchanger
localhost A 127.0.0.1
gw A 192.168.196.1
TXT "The router"
ns A 192.168.196.2
MX 10 mail
MX 20 mail.friend.bogus.
www CNAME ns
donald A 192.168.196.3
MX 10 mail
MX 20 mail.friend.bogus.
TXT "DEK"
mail A 192.168.196.4
MX 10 mail
MX 20 mail.friend.bogus.
ftp A 192.168.196.5
MX 10 mail
MX 20 mail.friend.bogus.
_________________________________________________________________
A CNAME (Canonical NAME - kanonikus N�V) egy m�dszer t�bb n�v
megad�s�ra egy g�p sz�m�ra. �gy a www egy �ln�v az ns sz�m�ra. A CNAME
bejegyz�s haszn�lata egy kicsit k�t�rtelm�. A legbiztosabb azt a
szab�lyt k�vetni, hogy egy MX, CNAME vagy SOA bejegyz�s soha nem
hivatkozhat egy CNAME bejegyz�sre, csak egy "A" bejegyz�ssel
rendelkez� valamire hivatkozhatnak, teh�t megengedhetetlen a
_________________________________________________________________
foobar CNAME www ; NEM!
_________________________________________________________________
de helyes a
_________________________________________________________________
foobar CNAME ns ; IGEN!
_________________________________________________________________
T�lts�k be az �j adatb�zist az rndc reload futtat�s�val, amely a named
�llom�nyainak �jb�li beolvas�s�t eredm�nyezi.
$ dig linux.bogus axfr
; <<>> DiG 9.1.3 <<>> linux.bogus axfr
;; global options: printcmd
linux.bogus. 259200 IN SOA ns.linux.bogus. hostmaster.linu
x.bogus. 199802151 28800 7200 2419200 86400
linux.bogus. 259200 IN NS ns.linux.bogus.
linux.bogus. 259200 IN MX 10 mail.linux.bogus.
linux.bogus. 259200 IN MX 20 mail.friend.bogus.
donald.linux.bogus. 259200 IN A 192.168.196.3
donald.linux.bogus. 259200 IN MX 10 mail.linux.bogus.
donald.linux.bogus. 259200 IN MX 20 mail.friend.bogus.
donald.linux.bogus. 259200 IN TXT "DEK"
ftp.linux.bogus. 259200 IN A 192.168.196.5
ftp.linux.bogus. 259200 IN MX 10 mail.linux.bogus.
ftp.linux.bogus. 259200 IN MX 20 mail.friend.bogus.
gw.linux.bogus. 259200 IN A 192.168.196.1
gw.linux.bogus. 259200 IN TXT "The router"
localhost.linux.bogus. 259200 IN A 127.0.0.1
mail.linux.bogus. 259200 IN A 192.168.196.4
mail.linux.bogus. 259200 IN MX 10 mail.linux.bogus.
mail.linux.bogus. 259200 IN MX 20 mail.friend.bogus.
ns.linux.bogus. 259200 IN MX 10 mail.linux.bogus.
ns.linux.bogus. 259200 IN MX 20 mail.friend.bogus.
ns.linux.bogus. 259200 IN A 192.168.196.2
www.linux.bogus. 259200 IN CNAME ns.linux.bogus.
linux.bogus. 259200 IN SOA ns.linux.bogus. hostmaster.linu
x.bogus. 199802151 28800 7200 2419200 86400
;; Query time: 41 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:12:31 2001
;; XFR size: 23 records
Ez j�. Amint l�tod, egy kicsit �gy n�z ki, mint a z�na�llom�ny maga.
Ellen�rizz�k, mit mond egyed�l a www-re:
$ dig www.linux.bogus
; <<>> DiG 9.1.3 <<>> www.linux.bogus
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16633
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;www.linux.bogus. IN A
;; ANSWER SECTION:
www.linux.bogus. 259200 IN CNAME ns.linux.bogus.
ns.linux.bogus. 259200 IN A 192.168.196.2
;; AUTHORITY SECTION:
linux.bogus. 259200 IN NS ns.linux.bogus.
;; Query time: 5 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:14:14 2001
;; MSG SIZE rcvd: 80
M�s sz�val a www.linux.bogus val�di neve ns.linux.bogus, �s tov�bbi
inform�ci�t is ad neked amivel rendelkezik az ns-r�l, elegend�t a
hozz� val� csatlakoz�shoz, ha egy program lenn�l.
Most vagyunk f�l�ton
5.3 A ford�tott z�na
Most m�r a programok �t tudj�k alak�tani a linux.bogus-ban a neveket
c�mekk�, amelyekhez csatlakozni tudnak. De sz�ks�g van egy ford�tott
z�n�ra is, olyanra, amely lehet�v� teszi a DNS sz�m�ra a c�mek
�talak�t�s�t nevekk�. Ezt a nevet rengeteg k�l�nb�z� t�pus� szerver
(FTP, IRC, WWW �s m�sok) haszn�lja annak eld�nt�s�re, hogy akar-e
veled kommunik�lni vagy nem, �s ha igen, tal�n m�g arra is, hogy
milyen priorit�st kapj�l. Az Internet �sszes szolg�ltat�s�nak teljes
el�r�s�hez a ford�tott z�na sz�ks�ges.
Rakd be ezt a named.conf �llom�nyba:
_________________________________________________________________
zone "196.168.192.in-addr.arpa" {
type master;
notify no;
file "pz/192.168.196";
};
_________________________________________________________________
Ez pontosan ugyanaz, mint a 0.0.127.in-arpa-val, �s a tartalmuk is
hasonl�:
_________________________________________________________________
$TTL 3D
@ IN SOA ns.linux.bogus. hostmaster.linux.bogus. (
199802151 ; Serial, todays date + todays serial
8H ; Refresh
2H ; Retry
4W ; Expire
1D) ; Minimum TTL
NS ns.linux.bogus.
1 PTR gw.linux.bogus.
2 PTR ns.linux.bogus.
3 PTR donald.linux.bogus.
4 PTR mail.linux.bogus.
5 PTR ftp.linux.bogus.
_________________________________________________________________
Most �jra t�ltsd be a named-et (rndc reload), �s vizsg�ld meg a
munk�dat a dig-el �jra:
_________________________________________________________________
$ dig -x 192.168.196.4
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58451
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; QUESTION SECTION:
;4.196.168.192.in-addr.arpa. IN PTR
;; ANSWER SECTION:
4.196.168.192.in-addr.arpa. 259200 IN PTR mail.linux.bogus.
;; AUTHORITY SECTION:
196.168.192.in-addr.arpa. 259200 IN NS ns.linux.bogus.
;; ADDITIONAL SECTION:
ns.linux.bogus. 259200 IN A 192.168.196.2
;; Query time: 4 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:16:05 2001
;; MSG SIZE rcvd: 107
_________________________________________________________________
teh�t j�nak n�z ki, szedj�k ki az eg�szet, hogy azt is megvizsg�ljuk:
_________________________________________________________________
$ dig 196.168.192.in-addr.arpa. AXFR
; <<>> DiG 9.1.3 <<>> 196.168.192.in-addr.arpa. AXFR
;; global options: printcmd
196.168.192.in-addr.arpa. 259200 IN SOA ns.linux.bogus. \
hostmaster.linux.bogus. 199802151 28800 7200 2419200 86400
196.168.192.in-addr.arpa. 259200 IN NS ns.linux.bogus.
1.196.168.192.in-addr.arpa. 259200 IN PTR gw.linux.bogus.
2.196.168.192.in-addr.arpa. 259200 IN PTR ns.linux.bogus.
3.196.168.192.in-addr.arpa. 259200 IN PTR donald.linux.bogus.
4.196.168.192.in-addr.arpa. 259200 IN PTR mail.linux.bogus.
5.196.168.192.in-addr.arpa. 259200 IN PTR ftp.linux.bogus.
196.168.192.in-addr.arpa. 259200 IN SOA ns.linux.bogus. \
hostmaster.linux.bogus. 199802151 28800 7200 2419200 86400
;; Query time: 6 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:16:58 2001
;; XFR size: 9 records
_________________________________________________________________
J�l n�z ki! Ha kimeneted nem ilyen, akkor keresd a hiba�zeneteket a
syslog-ban, az els� fejezetben, [19]A named ind�t�sa fejezetben
elmagyar�ztam, hogyan tedd ezt.
5.4 Int� szavak
Van p�r dolog, amit itt k�zre kell adnom. A fenti p�ld�ban haszn�lt IP
sz�mok a "mag�nh�l�zatok" egyik blokkj�b�l lettek v�ve, azaz nyilv�nos
haszn�latuk az Interneten nem megengedett. �gy h�t biztons�gos a
haszn�latuk egy HOGYAN egy p�ld�j�ban. A m�sik dolog a notify no; sor.
Ez megmondja a named-nek, hogy ne �rtes�tse a m�sodlagos (slave)
szerver�t, amikor az egyik z�na�llom�nya friss�lt. A 8-as �s k�s�bbi
BIND-ben a named �rtes�theti a z�na�llom�nyban az NS bekezd�sben
felsorolt t�bbi szervert, amikor a z�na friss�lt. Ez �gyes dolog
rendes m�k�d�skor. De k�s�rletez�sek eset�n ennek a lehet�s�gnek
kikapcsolva kell lennie - nem akarjuk, hogy a k�s�rlet megkavarja az
Internetet, ugye?
�s persze, ez a tartom�ny er�sen hamis, �s �pp�gy a c�mek benne. Egy
val�di tartom�ny val�s p�ld�j��rt n�zd meg a k�vetkez� f�fejezetet.
5.5 Mi�rt nem m�k�dnek a ford�tott lek�rdez�sek?
Van egy p�r norm�lis k�r�lm�nyek k�z�tt n�vlek�rdez�sekkel
elker�lhet� "csapda", amellyel gyakran tal�lkozni ford�tott z�n�k
be�ll�t�s�n�l. Miel�tt folytatod, sz�ks�ged lesz a ford�tott
lek�rdez�sek m�k�d�s�re a saj�t n�vszervereden. Ha ez nincs �gy, menj
vissza, �s jav�tsd ki miel�tt folytatod.
A ford�tott lek�rdez�sek k�t hib�j�r�l fogok sz�lni, ahogy azok a
h�l�zaton k�v�lr�l l�tsz�dnak:
A ford�tott z�na nincs deleg�lva
Ha egy h�l�zati szolg�ltat�t�l egy h�l�zati c�mtartom�nyt �s egy
tartom�nynevet k�rsz, a tartom�nyn�v rendes esetben deleg�lva van,
mint egy mag�t�l �rtet�d� dolog. A deleg�l�s az az �sszeragaszt� NS
bejegyz�s, amely seg�t eljutnod az egyik n�vszervert�l a m�sikig,
ahogy ez a sz�raz elm�leti fejezetben el lett magyar�zva. Elolvastad,
ugye? Ha a ford�tott z�n�d nem m�k�dik, menj vissza, �s olvasd el.
Most.
A ford�tott z�n�nak szint�n deleg�lva kell lennie. Ha a 192.168.196-os
h�l�zatot kapod a linux.bogus tartom�nnyal a szolg�ltat�dt�l, be kell
rakniuk az NS bejegyz�st a ford�tott z�n�d sz�m�ra �pp�gy, mint a
tov�bb�t� z�n�d sz�m�ra. Ha k�veted a l�ncolatot az in-addr.arpa-t�l
felfel� a h�l�zatodig, val�sz�n�leg szakad�st tal�lsz majd a l�ncban,
a legink�bb val�sz�n�, hogy a szolg�ltat�dn�l. Miut�n megtal�ltad a
szakad�st a l�ncolatban, vedd fel a kapcsolatot a szolg�ltat�ddal, �s
k�rd meg �ket a hiba kijav�t�s�ra.
Egy oszt�lyon k�v�li alh�l�zatod van
Ez egy kiss� bonyolultabb t�ma, de az oszt�lyon k�v�li alh�l�zatok
nagyon elterjedtek manaps�g, �s val�sz�n�leg egy ilyened van, ha egy
kis c�g vagy.
Az oszt�lyon k�v�li alh�l�zatok azok, amik az Internetet manaps�g
�ltetik. N�h�ny �vvel ezel�tt sok volt a h�h� az IP c�mek
fogyatkoz�sa miatt. A b�lcs emberek az IETF-n�l (Internet Engineering
Task Force, �k tartj�k m�k�d�sben az Internetet) �sszedugt�k a
fej�ket, �s megoldott�k a probl�m�t. Bizonyos �ron. Az �r ott
mutatkozik, hogy egy "C" alh�l�zatn�l kisebbet kapsz, �s bizonyos
dolgok nem m�k�dhetnek. K�rlek n�zd �t az [20]Ask Mr. DNS (K�rdezd
DNS urat) cikket egy j� magyar�zat�rt, �s hogy hogyan kezeld ezt.
Elolvastad? Nem fogom elmagyar�zni, sz�val k�rlek olvasd el.
A probl�ma els� r�sze az, hogy az ISP-dnek �rtenie kell a Mr. DNS
�ltal le�rt technik�t. Nem minden kis ISP-nek van hozz��rt� dolgoz�ja
ehhez. Ha �gy van, lehet, hogy el kell nekik magyar�znod, �s
kitart�nak kell lenned. De el�sz�r l�gy biztos benne, hogy te �rted
;-). Ezut�n be fognak �ll�tani egy rendes ford�tott z�n�t a
szerver�k�n, melynek helyess�g�t megvizsg�lhatod a dig-el.
A probl�ma m�sodik �s egyben utols� r�sze az, hogy meg kell �rtened a
technik�t. Ha nem vagy biztos benne, menj vissza, �s olvass r�la
ism�t. Ezut�n be�ll�thatod a saj�t oszt�lyon k�v�li ford�tott z�n�dat
�gy, ahogy azt az Ask Mr. DNS le�rja.
Lapul egy m�sik csapda is itt. A (nagyon) r�gi felold�k nem lesznek
k�pesek k�vetni a CNAME tr�kk�t a felold�si l�ncban, �s nem lesznek
k�pesek ford�tva feloldani a g�pedet. Ez egy szolg�ltat�s eset�ben
helytelen hozz�f�r�si oszt�ly hozz�rendel�s�t, a hozz�f�r�s
megtagad�s�t vagy ezekhez hasonl�t eredm�nyezhet. Ha egy ilyen
szolg�ltat�sba �tk�z�l, az egyetlen megold�s (amir�l �n tudok) az
ISP-d sz�m�ra az, hogy belerakja a PTR bejegyz�sedet k�zvetlen�l az �
tr�kk�s oszt�lyon k�v�li z�na�llom�nyukba a tr�kk�s CNAME bejegyz�s
helyett.
Bizonyos ISP-k m�s m�dokat fognak aj�nlani ennek kezel�s�re, �gymint
Web-alap� �rlapokat a ford�tott hozz�rendel�s megad�s�hoz, vagy m�s
autom�gikus rendszereket.
5.6 M�sodlagos (slave) szerverek
Amint helyesen be�ll�tottad a z�n�idat az els�dleges (master)
szerveren, fel kell �ll�tanod legal�bb egy m�sodlagos (slave)
szervert. A m�sodlagos szerverek a robusztuss�g miatt sz�ks�gesek. Ha
az els�dleges le�ll, az emberek ott kint a h�l�n m�g mindig k�pesek
lesznek inform�ci�t kapni a tartom�nyodr�l a szolg�t�l. A
m�sodlagosnak olyan messze kell lennie t�led, amennyire csak
lehets�ges. Az al�bbi dolgok k�z�l az els�dlegesnek �s a
m�sodlagosnak min�l kevesebben kellene osztozniuk: �ramell�t�s, LAN,
ISP, v�ros �s orsz�g. Ha ez mind m�s az els�dleges �s a m�sodlagos
eset�ben, egy t�nyleg j� m�sodlagos szervert tal�lt�l.
A m�sodlagos szerver egyszer�en egy olyan n�vszerver, amely a
z�na�llom�nyokat lem�solja az els�dlegesr�l. Ekk�pp �ll�thatod be:
_________________________________________________________________
zone "linux.bogus" {
type slave;
file "sz/linux.bogus";
masters { 192.168.196.2; };
};
_________________________________________________________________
Az adatok m�sol�s�ra a z�na�tvitel nev� mechanizmust haszn�lj�k. A
z�na�tvitelt az SOA bejegyz�sed ir�ny�tja:
_________________________________________________________________
@ IN SOA ns.linux.bogus. hostmaster.linux.bogus. (
199802151 ; serial, todays date + todays serial #
8H ; refresh, seconds
2H ; retry, seconds
4W ; expire, seconds
1D ) ; minimum, seconds
_________________________________________________________________
Egy z�na csak akkor ker�l �tvitelre, ha a sorozatsz�ma (serial) az
els�dleges szerveren nagyobb, mint a m�sodlagoson. Friss�t�si
intervallumonk�nt (refresh) a m�sodlagos szerver le fogja
ellen�rizni, hogy az els�dleges friss�lt-e. Ha az ellen�rz�s nem
hoz eredm�nyt (mert az els�dleges nem el�rhet�), �jrapr�b�lja a
megadott intervallumonk�nt (retry). Ha az ellen�rz�sek a lej�rati
id�szak (expire) alatt sem hoznak eredm�nyt, a m�sodlagos szerver el
fogja t�vol�tani a z�n�t az �llom�nyrendszer�b�l, �s nem lesz t�bb�
szerver sz�m�ra.
6. Alapvet� biztons�gi be�ll�t�sok
Jamie Norrish
A konfigur�ci�s opci�k be�ll�t�sa a probl�m�k val�sz�n�s�g�nek
cs�kkent�se �rdek�ben.
Van n�h�ny egyszer� l�p�s amelyet megtehetsz, ezek biztons�gosabb�
teszik a szerveredet, �s esetlegesen cs�kkentik a terhel�s�t is. Az
itt bemutatott anyag nem t�bb, mint egy kiindul�si pont; ha �rdekelt
vagy a biztons�gban (�s �gy kellene lennie), k�rlek tanulm�nyozz �t
m�s forr�smunk�kat is a h�l�zaton (l�sd az [21]utols� fejezetet).
A k�vetkez� be�ll�t�si direkt�v�k fordulnak el� a named.conf
�llom�nyban. Az options r�szben tal�lhat� direkt�v�k az �sszes z�n�ra
vonatkoznak. Ha a zone bejegyz�sben fordul el�, csak arra a z�n�ra
vonatkozik. Egy zone bejegyz�s fel�l�rja az options bejegyz�st.
6.1 A z�na�tvitelek korl�toz�sa
Annak �rdek�ben, hogy a m�sodlagos szervere(i)d k�pes legyen
v�laszolni a tartom�nyodra vonatkoz� lek�rdez�sekre, k�peseknek kell
lenni�k �thozni a z�nainform�ci�t az els�dleges szerveredr�l. Nagyon
sokan szeretn�nek szint�n �gy cselekedni. Ez�rt korl�tozd a
z�na�tvitelt az allow-transfer opci� haszn�lat�val, felt�telezve, hogy
192.168.1.4 az ns.friend.bogus c�me, �s hozz�adva saj�t magadat
hibakeres�si c�lb�l:
_________________________________________________________________
zone "linux.bogus" {
allow-transfer { 192.168.1.4; localhost; };
};
_________________________________________________________________
A z�na�tvitelek korl�toz�s�val biztos�tod, hogy az egyetlen el�rhet�
inform�ci� az, amit az emberek k�zvetlen�l k�rdeznek - senki sem
k�rdezheti le csak �gy be�ll�t�sod �sszes r�szlet�t.
6.2 V�dekez�s az "�tejt�s" ellen
Legel�sz�r kapcsolj ki minden lek�rdez�st, ami nem az �ltalad
birtokolt tartom�nyokra ir�nyul, kiv�ve a bels�/helyi g�peidr�l
indul�kat. Ez nem csak a DNS szervered rosszindulat� kihaszn�l�s�t
el�zi meg, de cs�kkenti szervered felesleges haszn�lat�t is.
_________________________________________________________________
options {
allow-query { 192.168.196.0/24; localhost; };
};
zone "linux.bogus" {
allow-query { any; };
};
zone "196.168.192.in-addr.arpa" {
allow-query { any; };
};
_________________________________________________________________
Tov�bb� kapcsold ki a rekurz�v lek�rdez�seket, kiv�ve a bels�/helyi
g�pekt�l. Ez cs�kkenti a gyors�t�t�r-m�rgez�ses t�mad�sok es�ly�t
(amikor hamis adatokkal t�mik a szerveredet).
_________________________________________________________________
options {
allow-recursion { 192.168.196.0/24; localhost; };
};
_________________________________________________________________
6.3 A named futtat�sa nem-root-k�nt
Egy j� �tlet a named-et a root-t�l k�l�nb�z� felhaszn�l�k�nt
futtatni, �gy ha felt�rik a cracker �ltal szerzett jogok a lehet�
legkorl�tozottabbak. El�sz�r l�tre kell hoznod egy felhaszn�l�t ami
alatt a named fusson, majd m�dos�tani b�rmely �ltalad haszn�lt, a
named-et ind�t� init szkriptet. Az �j felhaszn�l�nevet �s csoportot a
named-nek az -u �s -g kapcsol�k seg�ts�g�vel add meg.
P�ld�ul: Debian GNU/Linux 2.2-ben m�dos�tanod kell a /etc/init.d/bind
szkriptet, hogy tartalmazza a k�vetkez� sort (ahol a named
felhaszn�l� m�r l�tre lett hozva):
_________________________________________________________________
start-stop-daemon --start --quiet --exec /usr/sbin/named -- -u named
_________________________________________________________________
Ugyanez megtehet� a Red Hat-al �s m�s disztrib�ci�kkal is.
Dave Lugo le�rt egy biztons�gos kett�s chroot be�ll�t�st, amely a
[22]http://www.etherboy.com/dns/chrootdns.html honlapon tal�lhat�, ez
m�g biztons�gosabb� teheti a g�pet, amelyen a named-et futtatod.
7. Egy val�di tartom�ny-p�lda
Ahol bemutatunk n�h�ny igazi z�na�llom�nyt
A felhaszn�l�k javasolt�k, hogy illesszem be egy m�k�d� tartom�ny
val�s p�ld�j�t is, mint szeml�ltet� p�ld�t.
E p�ld�t David Bullock enged�ly�vel a LAND-5-t�l haszn�lom. Ezek az
�llom�nyok 1996. szeptember 24.-�n voltak aktu�lisak, �s ezut�n
szerkesztettem �t �ket, hogy megfeleljenek a 8-as BIND megk�t�seinek
�s kiterjeszt�s-haszn�lat�nak. Sz�val az amit l�tsz, k�l�nb�zik egy
kicsit att�l, amit a LAND-5 n�vszerverek lek�rdez�sekor tal�lsz.
7.1 /etc/named.conf (vagy /var/named/named.conf)
Itt tal�lhat�k az els�dleges szerver z�nafejezetei a k�t sz�ks�ges
ford�tott z�na sz�m�ra: a 127.0.0 h�l�zat �pp�gy, mint a LAND-5
206.6.177-es alh�l�zata, �s az els�dleges sor a land-5 land5.com
tov�bb�t� z�n�ja sz�m�ra. Figyeld meg, hogy az �llom�nyok pz nev�
k�nyvt�rba val� pakol�sa helyett, ahogy �n ezt ebben a HOGYANban
teszem, � a zone nev� k�nyvt�rba rakja �ket.
_________________________________________________________________
// Boot file for LAND-5 name server
options {
directory "/var/named";
};
controls {
inet 127.0.0.1 allow { localhost; } keys { rndc_key; };
};
key "rndc_key" {
algorithm hmac-md5;
secret "c3Ryb25nIGVub3VnaCBmb3IgYSBtYW4gYnV0IG1hZGUgZm9yIGEgd29tYW4K";
};
zone "." {
type hint;
file "root.hints";
};
zone "0.0.127.in-addr.arpa" {
type master;
file "zone/127.0.0";
};
zone "land-5.com" {
type master;
file "zone/land-5.com";
};
zone "177.6.206.in-addr.arpa" {
type master;
file "zone/206.6.177";
};
_________________________________________________________________
Ha ezt berakod a named.conf �llom�nyodba k�s�rletez�s c�lj�b�l, K�RLEK
rakd be a "notify no;"-t a k�t land-5 z�na zone fejezet�be, hogy
elker�lj�k az �tk�z�seket.
7.2 /var/named/root.hints
Tartsd szem el�tt, hogy ez az �llom�ny dinamikus, �s az itt k�zz�tett
v�ltozat r�gi. Jobban teszed ha egy �jabbat haszn�lsz, amint azt m�r
kor�bban elmagyar�ztam.
_________________________________________________________________
; <<>> DiG 8.1 <<>> @A.ROOT-SERVERS.NET.
; (1 server found)
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10
;; flags: qr aa rd; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13
;; QUERY SECTION:
;; ., type = NS, class = IN
;; ANSWER SECTION:
. 6D IN NS G.ROOT-SERVERS.NET.
. 6D IN NS J.ROOT-SERVERS.NET.
. 6D IN NS K.ROOT-SERVERS.NET.
. 6D IN NS L.ROOT-SERVERS.NET.
. 6D IN NS M.ROOT-SERVERS.NET.
. 6D IN NS A.ROOT-SERVERS.NET.
. 6D IN NS H.ROOT-SERVERS.NET.
. 6D IN NS B.ROOT-SERVERS.NET.
. 6D IN NS C.ROOT-SERVERS.NET.
. 6D IN NS D.ROOT-SERVERS.NET.
. 6D IN NS E.ROOT-SERVERS.NET.
. 6D IN NS I.ROOT-SERVERS.NET.
. 6D IN NS F.ROOT-SERVERS.NET.
;; ADDITIONAL SECTION:
G.ROOT-SERVERS.NET. 5w6d16h IN A 192.112.36.4
J.ROOT-SERVERS.NET. 5w6d16h IN A 198.41.0.10
K.ROOT-SERVERS.NET. 5w6d16h IN A 193.0.14.129
L.ROOT-SERVERS.NET. 5w6d16h IN A 198.32.64.12
M.ROOT-SERVERS.NET. 5w6d16h IN A 202.12.27.33
A.ROOT-SERVERS.NET. 5w6d16h IN A 198.41.0.4
H.ROOT-SERVERS.NET. 5w6d16h IN A 128.63.2.53
B.ROOT-SERVERS.NET. 5w6d16h IN A 128.9.0.107
C.ROOT-SERVERS.NET. 5w6d16h IN A 192.33.4.12
D.ROOT-SERVERS.NET. 5w6d16h IN A 128.8.10.90
E.ROOT-SERVERS.NET. 5w6d16h IN A 192.203.230.10
I.ROOT-SERVERS.NET. 5w6d16h IN A 192.36.148.17
F.ROOT-SERVERS.NET. 5w6d16h IN A 192.5.5.241
;; Total query time: 215 msec
;; FROM: roke.uio.no to SERVER: A.ROOT-SERVERS.NET. 198.41.0.4
;; WHEN: Sun Feb 15 01:22:51 1998
;; MSG SIZE sent: 17 rcvd: 436
_________________________________________________________________
7.3 /var/named/zone/127.0.0
Csak az alapok, a k�telez� SOA bejegyz�s, �s a bejegyz�s, mely a
127.0.0.1-et a localhost-hoz rendeli. Mindkett� sz�ks�ges. Semmi
m�snak nem kell lennie ebben az �llom�nyban. Val�sz�n�leg soha nem
lesz friss�tve, hacsak a n�vszervered vagy a rendszergazda c�me nem
v�ltozik meg.
_________________________________________________________________
$TTL 3D
@ IN SOA land-5.com. root.land-5.com. (
199609203 ; Serial
28800 ; Refresh
7200 ; Retry
604800 ; Expire
86400) ; Minimum TTL
NS land-5.com.
1 PTR localhost.
_________________________________________________________________
Ha egy v�letlenszer�en kiv�lasztott BIND telep�t�sre r�n�zel, azt
fogod tal�lni, hogy a $TTL sor hi�nyzik. Ezt azel�tt nem haszn�lt�k,
�s csak a 8.2-es BIND kezdett el figyelmeztetni a hi�ny�ra. A 9-es
BIND-hez sz�ks�ges a $TTL.
7.4 /var/named/zone/land-5.com
Itt l�tjuk a k�telez� SOA bejegyz�st, a sz�ks�ges NS bejegyz�seket.
L�thatjuk, hogy van egy m�sodlagos n�vszervere az ns2.psi.net-en. Ez
az ahogy lennie kell, mindig legyen egy telephelyen k�v�li m�sodlagos
szervered tartal�kk�nt. L�thatjuk azt is, hogy van neki egy land-5
nev� els�dleges g�pe is, amely gondoskodik sok k�l�nb�z� Internet
szolg�ltat�sr�l, �s azt, hogy ezt CNAME-ekkel csin�lta (egy m�sik
lehet�s�g az "A" bejegyz�sek haszn�lata).
Amint azt a SOA bejegyz�sb�l l�thatod, a z�na�llom�ny eredete a
land-5.com, a kapcsolattart� szem�ly a root@land-5.com. A hostmaster
egy m�sik gyakran haszn�lt c�m a kapcsolattart� szem�ly sz�m�ra. A
sorozatsz�m a szok�sos ����hhnn form�tumban van, a mai sorozatsz�m
hozz�ad�s�val; ez val�sz�n�leg a z�na�llom�ny hatodik v�ltozata 1996.
szeptember 20.-�n. Jegyezd meg, hogy a sorozatsz�mnak monoton
n�vekv�nek kell lennie, itt csak egy sz�mjegy jelzi a mai
sorozatsz�mot, �gy 9 szerkeszt�s ut�n v�rnia kell holnapig, miel�tt
�jra szerkesztheti az �llom�nyt. Szokd meg a k�t sz�mjegy haszn�lat�t.
_________________________________________________________________
$TTL 3D
@ IN SOA land-5.com. root.land-5.com. (
199609206 ; serial, todays date + todays serial #
8H ; refresh, seconds
2H ; retry, seconds
4W ; expire, seconds
1D ) ; minimum, seconds
NS land-5.com.
NS ns2.psi.net.
MX 10 land-5.com. ; Primary Mail Exchanger
TXT "LAND-5 Corporation"
localhost A 127.0.0.1
router A 206.6.177.1
land-5.com. A 206.6.177.2
ns A 206.6.177.3
www A 207.159.141.192
ftp CNAME land-5.com.
mail CNAME land-5.com.
news CNAME land-5.com.
funn A 206.6.177.2
;
; Workstations
;
ws-177200 A 206.6.177.200
MX 10 land-5.com. ; Primary Mail Host
ws-177201 A 206.6.177.201
MX 10 land-5.com. ; Primary Mail Host
ws-177202 A 206.6.177.202
MX 10 land-5.com. ; Primary Mail Host
ws-177203 A 206.6.177.203
MX 10 land-5.com. ; Primary Mail Host
ws-177204 A 206.6.177.204
MX 10 land-5.com. ; Primary Mail Host
ws-177205 A 206.6.177.205
MX 10 land-5.com. ; Primary Mail Host
; {Many repetitive definitions deleted - SNIP}
ws-177250 A 206.6.177.250
MX 10 land-5.com. ; Primary Mail Host
ws-177251 A 206.6.177.251
MX 10 land-5.com. ; Primary Mail Host
ws-177252 A 206.6.177.252
MX 10 land-5.com. ; Primary Mail Host
ws-177253 A 206.6.177.253
MX 10 land-5.com. ; Primary Mail Host
ws-177254 A 206.6.177.254
MX 10 land-5.com. ; Primary Mail Host
_________________________________________________________________
Ha megvizsg�lod a land-5 n�vszerver�t, azt tal�lod, hogy a g�pnevek
ws_sz�m alak�ak. A 4-es BIND-t�l kezd�d�en a named elkezdte
szigor�tani a megk�t�seket, hogy milyen karakterek szerepelhetnek a
g�pnevekben. �gy ez a 8-as BIND-el egy�ltal�n nem m�k�dik, �s �n
kicser�ltem a "-"-re (k�t�jel) a "_"-t (al�h�z�s) ebben a HOGYANban.
De ahogy azt kor�bban eml�tettem, a 9-es BIND nem er�lteti m�r ezt a
megk�t�st.
A m�sik figyelemre m�lt� dolog az, hogy a munka�llom�soknak nincs
egyedi nev�k, hanem csak egy el�tagot k�vet az IP utols� k�t r�sze.
Egy ilyen megszok�s haszn�lata jelent�sen leegyszer�s�theti a
karbantart�st, de egy kicsit szem�lytelennek t�nhet, �s l�nyeg�ben
bossz�s�g forr�sa lehet az �gyfeleid sz�m�ra.
L�tjuk azt is, hogy a funn.land-5.com egy �ln�v a land-5.com sz�m�ra,
de egy "A", �s nem egy CNAME bejegyz�s haszn�lat�val.
7.5 /var/named/zone/206.6.177
Megjegyz�seket ezen �llom�nyra lentebb teszek.
_________________________________________________________________
$TTL 3D
@ IN SOA land-5.com. root.land-5.com. (
199609206 ; Serial
28800 ; Refresh
7200 ; Retry
604800 ; Expire
86400) ; Minimum TTL
NS land-5.com.
NS ns2.psi.net.
; Servers
;
1 PTR router.land-5.com.
2 PTR land-5.com.
2 PTR funn.land-5.com.
;
; Workstations
;
200 PTR ws-177200.land-5.com.
201 PTR ws-177201.land-5.com.
202 PTR ws-177202.land-5.com.
203 PTR ws-177203.land-5.com.
204 PTR ws-177204.land-5.com.
205 PTR ws-177205.land-5.com.
; {Many repetitive definitions deleted - SNIP}
250 PTR ws-177250.land-5.com.
251 PTR ws-177251.land-5.com.
252 PTR ws-177252.land-5.com.
253 PTR ws-177253.land-5.com.
254 PTR ws-177254.land-5.com.
_________________________________________________________________
A ford�tott z�na a be�ll�t�s azon r�sze, mely a legt�bb fejt�r�st
okozhatja. Ezt arra haszn�ljuk, hogy megtal�ljuk a g�pnevet, ha megvan
a g�p c�me. P�lda: te egy FTP szerver vagy �s kapcsolatokat fogadsz el
FTP kliensekt�l. Mivel te egy norv�g FTP szerver vagy, t�bb
kapcsolatot szeretn�l fogadni norv�giai �s m�s skandin�v �llamokbeli
kliensekt�l, �s kevesebbet a vil�g t�bbi r�sz�r�l. Ha kapcsolat
�rkezik egy klienst�l, a C f�ggv�nyk�nyvt�r k�pes neked megmondani a
csatlakoz� g�p IP c�m�t, mert a kliens IP sz�m�t tartalmazza az �sszes
csomag, amely �tj�tt a h�l�zaton. Most megh�vhatsz egy gethostbyaddr
nev� f�ggv�nyt, mely kikeresi az adott IP sz�m� kliens nev�t. A
gethostbyaddr meg fogja k�rdezni a DNS szervert, amely ezut�n
kereszt�lmegy a DNS-en a g�pet keresve. T�telezz�k fel, hogy a
klienskapcsolat a ws-177200.land-5.com-t�l j�n. Az IP sz�m, amit a C
k�nyvt�r �tad az FTP szervernek, a 206.6.177.200. A g�p nev�nek
kital�l�s�hoz meg kell tal�lnunk a 200.177.6.206.in-addr-arpa-t. A DNS
szerver el�sz�r meg fogja tal�lni az arpa. szervereket, majd
megtal�lja az in-addr.arpa szervereket, k�vetve a ford�tott sorrendet
a 206-on, majd a 6-on kereszt�l, v�g�l legutolj�ra megtal�lva a
LAND-5-n�l a szervert a 177.6.206.in-addr-arpa z�na sz�m�ra. Amelyt�l
v�g�l megkapja a v�laszt, hogy a 200.177.6.206.in-addr.arpa sz�m�ra a
"PTR ws-177200.land-5.com" bejegyz�s�nk van, ami azt jelenti, hogy a /
206.6.177.200-hoz tartoz� n�v a ws-177200.land.com.
Az FTP szerver el�nyben r�szes�ti a skandin�v orsz�gok, azaz a *.no,
*.se, *.dk fel�l �rkez� kapcsolatokat, a ws-177200.land-5.com
egy�rtelm�en nem tartozik k�z�j�k, �s a szerver a kapcsolatot egy
alacsonyabb s�vsz�less�ggel �s kevesebb klienskapcsolati lehet�s�ggel
rendelkez� kapcsolati oszt�lyba sorolja. Ha nem lenne ford�tott
megfeleltet�se a 206.2.177.200-nak az in-addr.arpa z�na �ltal, a
szerver k�ptelen lenne megtal�lni a nevet, �s a 206.2.177.200-nek a
*.no, *.se �s *.dk-val val� �sszehasonl�t�sa alapj�n kell d�ntenie,
melyek k�z�l egyik sem fog egyezni, s�t m�g meg is tagadhatja a
kapcsolatot a besorol�s hi�nya miatt.
P�ran azt fogj�k mondani neked, hogy a ford�tott lek�rdez�sek
hozz�rendel�se csak szerverek eset�n fontos, vagy egy�ltal�n nem
fontos. Nem �gy van: sok ftp, news, IRC, s�t m�g n�h�ny http (WWW)
szerver nem fognak kapcsolatot fogadni olyan g�pekt�l, melyek nev�t
k�ptelenek megtal�lni. �gy h�t a ford�tott hozz�rendel�s val�j�ban
k�telez�.
8. Karbantart�s
�zemben tart�s.
Van egy karbantart�si feladat, melyet meg kell tenned a named-eken - a
futtat�son k�v�l. Ez pedig a root.hints �llom�ny naprak�szen tart�sa.
A legegyszer�bb m�d a dig haszn�lata. El�sz�r futtasd a dig-et
argumentumok n�lk�l, akkor megkapod a root.hints-et a saj�t szervered
alapj�n. Ezut�n k�rdezd le a felsorolt f�szerverek egyik�t a dig
@rootserver paranccsal. �szre fogod venni, hogy a kimenet sz�rnyen
hasonl� a root.hints �llom�nyhoz. Mentsd el egy �llom�nyba (dig
@e.root-servers.net . ns > root.hints.new), �s cser�ld le a r�gi
root.hints �llom�nyt vele.
Ne felejtsd el �jra bet�lteni a named-et a gyors�t�t�r-�llom�ny
cser�je ut�n.
Al Longyear elk�ldte nekem ezt a szkriptet, mely automatikusan
futtathat� a root.hints friss�t�se �rdek�ben. Telep�ts egy crontab
bejegyz�st, hogy havonta egyszer lefusson, �s el is felejtheted. A
szkript felt�telezi, hogy a levelez�sed m�k�dik, �s hogy a
"hostmaster" c�m meg van adva. Meg kell hackelned, hogy illeszkedjen a
be�ll�t�saidhoz.
_________________________________________________________________
#!/bin/sh
#
# Update the nameserver cache information file once per month.
# This is run automatically by a cron entry.
#
# Original by Al Longyear
# Updated for BIND 8 by Nicolai Langfeldt
# Miscelanious error-conditions reported by David A. Ranch
# Ping test suggested by Martin Foster
# named up-test suggested by Erik Bryer.
#
(
echo "To: hostmaster <hostmaster>"
echo "From: system <root>"
# Is named up? Check the status of named.
case `rndc status 2>&1` in
*refused*)
echo "named is DOWN. root.hints was NOT updated"
echo
exit 0
;;
esac
PATH=/sbin:/usr/sbin:/bin:/usr/bin:
export PATH
# NOTE: /var/named must be writable only by trusted users or this script
# will cause root compromise/denial of service opportunities.
cd /var/named 2>/dev/null || {
echo "Subject: Cannot cd to /var/named, error $?"
echo
echo "The subject says it all"
exit 1
}
# Are we online? Ping a server at your ISP
case `ping -qnc 1 some.machine.net 2>&1` in
*'100% packet loss'*)
echo "Subject: root.hints NOT updated. The network is DOWN."
echo
echo "The subject says it all"
exit 1
;;
esac
dig @e.root-servers.net . ns >root.hints.new 2> errors
case `cat root.hints.new` in
*NOERROR*)
# It worked
:;;
*)
echo "Subject: The root.hints file update has FAILED."
echo
echo "The root.hints update has failed"
echo "This is the dig output reported:"
echo
cat root.hints.new errors
exit 1
;;
esac
echo "Subject: The root.hints file has been updated"
echo
echo "The root.hints file has been updated to contain the following
information:"
echo
cat root.hints.new
chown root.root root.hints.new
chmod 444 root.hints.new
rm -f root.hints.old errors
mv root.hints root.hints.old
mv root.hints.new root.hints
rndc restart
echo
echo "The nameserver has been restarted to ensure that the update is complete.
"
echo "The previous root.hints file is now called
/var/named/root.hints.old."
) 2>&1 | /usr/lib/sendmail -t
exit 0
_________________________________________________________________
N�h�nyan k�z�letek felfigyelhettek r�, hogy a root.hints �llom�ny
el�rhet� ftp-vel az Internic-r�l is. K�rlek, ne haszn�ld az ftp-t a
root.hints friss�t�s�hez, a fentebb eml�tett m�dszer sokkal
bar�ts�gosabb a h�l�zat �s az Internic sz�m�ra.
9. �t�ll�s 9-es BIND-re
A 9-es BIND terjeszt�s - �s az el�re elk�sz�tett v�ltozatok szint�n -
tartalmaz egy migration nev� dokumentumot, amely megjegyz�seket
tartalmaz azt illet�en, hogy hogyan �lljunk �t 8-as BIND-r�l 9-es
BIND-re. A dokumentum nagyon l�nyegre t�r�. Ha bin�ris csomagokat
telep�tett�l, feltehet�en valahol a /usr/share/doc/bind*-ban vagy a
/usr/doc/bind*-ban van t�rolva.
Ha 4-es BIND-et futtatsz, a migration-4to9 dokumentumot ugyanazon a
helyen tal�lhatod.
10. K�rd�sek �s v�laszok
K�rlek olvasd �t ezt a fejezetet, miel�tt �rsz nekem.
1. A named-em egy named.boot �llom�nyt akar
Rossz HOGYANt olvasol. K�rlek n�zd meg ezen HOGYAN r�gebbi
v�ltozat�t, amely a 4-es BIND-r�l sz�l, a
[23]http://langfeldt.net/DNS-HOWTO/ c�men.
2. Hogy haszn�lhatom egy t�zfal m�g�l?
Seg�ts�g: forward only;. Sz�ks�ged lehet m�g a
_____________________________________________________________
query-source port 53;
_____________________________________________________________
sorra a named.conf �llom�ny "options" r�sz�n bel�l, ahogy az a
p�ld�nak bemutatott [24]A felold�, gyors�t�t�ras n�vszerver
fejezetben javasoltam.
3. Mit tegyek, hogy a DNS k�rbeforogjon egy szolg�ltat�s el�rhet�
c�mein, mondjuk a www.busy.site-on, hogy terhel�seloszt� vagy
valami hasonl� hat�st �rjek el?
Csin�lj t�bb A bejegyz�st a www.busy.site sz�m�ra, �s 4.9.3-as
vagy k�s�bbi BIND-et haszn�lj. Ekkor a BIND round-robin rendszer
alapj�n fogja szolg�ltatni a v�laszokat. Ez nem fog m�k�dni a
BIND kor�bbi v�ltozataival.
4. DNS-t akarok be�ll�tani egy (z�rt) bels� h�l�zaton. Mit
csin�ljak?
Kihagyod a root.hints �llom�nyt, �s csak a z�na�llom�nyokat
k�sz�ted el. Ez azt is jelenti, hogy nem kell �lland�an
�tbaigaz�t� �llom�nyokat let�ltened.
5. Hogyan kell be�ll�tani egy m�sodlagos (slave) n�vszervert?
Ha az els�dleges szerver c�me 127.0.0.1, egy ehhez hasonl� sort
sz�rsz be a m�sodlagos szervered named.conf �llom�ny�ba:
_____________________________________________________________
zone "linux.bogus" {
type slave;
file "sz/linux.bogus";
masters { 127.0.0.1; };
};
_____________________________________________________________
T�bb k�l�nb�z� els�dleges szervert is felsorolhatsz a masters
list�n bel�l, ";"-vel (pontosvessz�) elv�lasztva, melyekr�l a
z�na lem�solhat�.
6. Futtatni akarom a BIND-et, amikor nem vagyok kapcsol�dva a
h�l�zathoz.
N�gy lehet�s�g van:
+ A 8/9-es BIND-re vonatkoz�an, Adam L.Rice ezt a levelet
k�ldte nekem arr�l, hogyan futtassuk f�jdalommentesen a DNS-t
egy bet�rcs�z�s g�pen:
A BIND �jabb v�ltozatain�l felfedeztem, hogy ez a kavar�s az
�llom�nyokkal t�bb� nem sz�ks�ges. Van egy "forward" (tov�bb�t�s) direkt�va
a "forwarders" (tov�bb�t�k) direkt�va mellett, amely a haszn�latukat ellen�rzi
.
Az alap be�ll�t�s a "forward first" (el�sz�r tov�bb�tsd), amely
legel�sz�r megk�rdezi a tov�bb�t�k mindegyik�t, �s ezut�n pr�b�lja
a rendes megk�zel�t�st, azaz a munka saj�t kez� elv�gz�s�t, ha ez nem siker�l.
Ezzel a gethostbyname() norm�l viselked�s�se szokatlanul hossz� id�t
vesz ig�nybe, amikor a kapcsolat nincs meg. De ha a "forward only" (csak
tov�bb�tsd) van be�ll�tva, akkor a BIND feladja ha nem kap v�laszt a
tov�bb�t�kt�l, �s a gethostbyname() azonnal visszat�r. Enn�lfogva nincs
sz�ks�g b�v�szmutatv�nyokra az /etc k�nyvt�rban lev� �llom�nyokkal, �s a szer
ver �jraind�t�s�ra.
Az �n esetemben, csak hozz�adtam a
forward only;
forwarders { 193.133.58.5; };
sorokat a named.conf �llom�nyom options { } fejezet�hez. Nagyon sz�pen
m�k�dik. Ennek egyetlen h�tr�nya az, hogy degrad�lja a DNS szoftver
egy hihetetlen�l szofisztik�lt r�sz�t egy buta gyors�t�t�rr�. Bizonyos
m�rt�kben, �n csak egy buta gyors�t�t�rat szeretn�k futtatni a DNS
helyett, de �gy t�nik, nincs egy ilyen fajta el�rhet� szoftver Linuxra.
+ Ezt a levelet Ian Clark-t�l <ic@deakin.edu.au> kaptam, amiben
az � m�dszer�t magyar�zza erre:
Named-et futtatok itt a "Masquerading" g�pemen. Van k�t root.hints
�llom�nyom, az egyik neve root.hints.real, amely a val�di f�szerver-
neveket tartalmazza, a m�sik� root.hints.fake, amely ezt tartalmazza:
----
; root.hints.fake
; this file contains no information
----
Ha kapcsolat n�lk�li �zemm�dba megyek �t, �tm�solom a root.hints.fake
�llom�nyt a root.hints-be, �s �jraind�tom a named-et.
Ha kapcsol�dom, �tm�solom a root.hints.real-t a root.hints-be, �s
�jraind�tom a named-et.
Illetve ezt az ip-down �s az ip-up teszi meg.
Amikor el�sz�r v�gzek egy lek�rdez�st kapcsolat n�lk�l egy olyan
tartom�nyn�vre, amelyr�l a named nem tudja a r�szleteket, egy ilyen bejegyz�st
rak a messages-be:
Jan 28 20:10:11 hazchem named[10147]: No root nameserver for class IN
amivel egy�tt tudok �lni.
Ez biztosan m�k�dik sz�momra. Haszn�lhatom a n�vszervert a helyi
g�pek eset�ben, amikor a Net �ll, a k�ls� tartom�nynevekhez tartoz�
id�t�ll�p�si k�sleltet�s n�lk�l, �s mikor a H�l�n vagyok, a k�ls�
tartom�nynevekre vonatkoz� lek�rdez�sek rendben m�k�dnek
Peter Denison azonban �gy v�lte, Ian nem ment el el�g
messzire. Ezt �rja:
Kapcsol�dva) szolg�ltatja az elt�rolt (�s helyi h�l�zati) bejegyz�seket azon
nal
a nem gyors�t�t�razott bejegyz�sek eset�n, tov�bb�tja az ISP n�vszerverem fel�
Kapcsolat n�lk�l) kiszolg�lja a helyi h�l�zati lek�rdez�seket azonnal
m�s lek�rdez�sek eset�n **azonnal** hib�t ad
A f� gyors�t�t�ras �llom�ny cser�j�nek �s a lek�rdez�sek tov�bb�t�s�nak
kombin�ci�ja nem m�k�dik.
�gy h�t, (a helyi Linux Felhaszn�l�k Csoportj�val val� n�mi konzult�ci� ut�n)
k�t named-et �ll�tottam be a k�vetkez� m�don:
named-online: tov�bb�t az ISP n�vszervere fel�
mester a helyi h�l�zati z�na sz�m�ra
mester a helyi h�l�zati ford�tott z�na sz�m�ra (1.168.192.in-ad
dr.arpa)
mester a 0.0.127.in-addr.arpa sz�m�ra
a 60053-as porton figyel
named-offline: nincs tov�bb�t�s
"�l" f� gyors�t�t�ras �llom�ny
szolga a 3 helyi z�na sz�m�ra (a mester a 127.0.0.1:60053)
a 61053-as porton figyel
�s kombin�ltam ezt a port-tov�bb�t�ssal, hogy az 53-as portot elk�ldje a 61053-
ra, ha
kapcsolat n�lk�l vagyok, �s a 60053-ra, ha csatlakoztam. (Az �j netfilter csoma
got
haszn�lom 2.3.18 alatt, de a r�gi (ipchains) m�dszernek is m�k�dnie kell.)
Figyelem, ez nem fog pikk-pakk m�k�dni, mivel van egy apr� hiba a 8.2-es
BIND-ben, melyet m�r jelentettem a fejleszt�knek, hogy megakad�lyozza egy m�so
dlagos szerver
l�trehoz�s�t az els�dlegessel megegyez� IP c�men (m�g ha k�l�n porton is). Ez
egy
egyszer� foltoz�s, �s rem�lem, nemsok�ra beleker�l.
+ Kaptam inform�ci�t arr�l is Karl-Max Wanger-t�l, hogyan hat
egym�sra a BIND az NFS-el �s a portmapper-rel egy
nagyobbr�szt kapcsolat n�lk�li g�pen:
Futtatni szoktam a saj�t named-emet az �sszes g�pemen, melyek csak
alkalmilag csatlakoznak az Internetre modemen kereszt�l. A n�vszerver
csak gyors�t�t�rk�nt m�k�dik, nincs jogosults�gi ter�lete, �s minden�rt
a root.cache �llom�nyban lev� n�vszervereket k�rdezi vissza. Ahogy az a
Slackware-n�l megszokott, az nfsd �s a mountd el�tt van ind�tva.
Egyik g�pemmel (egy Libretto 30-as notebookal) az volt a probl�m�m,
hogy n�ha fel tudtam csatolni egy m�sik, a helyi LAN-omra csatlakozott
rendszerr�l, de nagyobbr�szt ez nem m�k�d�tt. Ugyanez volt a jelens�g,
f�ggetlen�l att�l, hogy PLIP-et, egy PCMCIA ethernet k�rty�t vagy soros
eszk�z�n kereszt�li PPP-t haszn�ltam.
N�mi tal�lgat�s �s k�s�rletez�s ut�n azt fedeztem fel, hogy
a named minden bizonnyal belerond�t az nfsd �s mountd regisztr�ci�s folyamat�ba
,
amit indul�skor a portmapper-rel kell elv�gezni�k (Ezeket a d�monokat
szok�s szerint bootol�skor ind�tom). A named ind�t�sa az nfsd �s a mountd
ut�n teljesen semleges�tette ezt a probl�m�t.
Mivel nincsenek v�rhat� h�tr�nyai az ilyen m�dos�tott boot szekvenci�nak,
aj�nlom, hogy mindenki tegyen �gy az esetleges gondok elker�l�se v�gett.
7. Hol t�rolja a gyors�t�t�ras n�vszerver a gyors�t�t�r�t? Van r�
b�rmi m�d, hogy ellen�rizzem a gyors�t�t�r m�ret�t?
A gyors�t�t�r teljes m�rt�kben a mem�ri�ban van t�rolva, soha nem
ker�l ki�r�sra a lemezre. Valamennyiszer lel�v�d a named-et, a
gyors�t�t�r elveszik. A gyors�t�t�r semmilyen m�don nem
ellen�rizhet�, a named gondozza n�h�ny egyszer� szab�ly
alapj�n, �s ennyi. Nem ellen�rizheted a gyors�t�t�rat, vagy annak
m�ret�t semmilyen m�don �s semmik�pp. Ha akarod, "kijav�thatod"
ezt a named hackel�s�vel. Ez azonban nem aj�nlott.
8. Lementi a named a gyors�t�t�rat az �jraind�t�sok k�z�tt?
Megcsin�lhatom, hogy �gy legyen?
Nem, a named nem menti le, ha meghal. Ez azt jelenti, hogy a
gyors�t�t�rat �jra fel kell �p�teni minden alkalommal, amikor
lel�v�d �s �jraind�tod a named-et. Nincs m�d r�, hogy r�vedd a
named-et, hogy lementse gyors�t�t�r�t egy �llom�nyba. Ha akarod,
"kijav�thatod" ezt a named hackel�s�vel. Ez azonban nem aj�nlott.
9. Hogyan szerezhetek be egy tartom�nyt? Fel akarom �ll�tani
(p�ld�ul) a linux-rules.net nev� tartom�nyomat. Hogyan tehetem
meg, hogy az �ltalam k�v�nt tartom�nyt hozz�m rendelj�k?
K�rlek l�pj kapcsolatba a h�l�zati szolg�ltat�ddal. �k k�pesek
lesznek seg�teni neked. K�rlek vedd figyelembe, hogy a vil�g
legt�bb r�sz�n p�nzt kell fizetned egy tartom�ny�rt.
10. Hogyan tehetem biztons�goss� a DNS szerveremet? Hogyan �ll�thatok
be felosztott DNS-t?
Mindkett� halad� t�ma. A
[25]http://www.etherboy.com/dns/chrootdns.html honlap sz�l r�luk.
Nem fogom ezeket a t�m�kat tov�bb magyar�zni itt.
11. Hogyan v�lhatok k�pzettebb DNS adminn�?
Dokument�ci� �s eszk�z�k.
L�tezik Val�di Dokument�ci�. Azonnal olvashat� (online) �s nyomtatott.
Ezek k�z�l n�h�ny elolvas�sa k�vetelm�ny a kezd� DNS adminb�l egy
halad� adminn� v�l�shoz.
Meg�rtam a The Concise Guide to DNS and BIND (Nicolai Langfeldt, �n)
k�nyvet, kiadta a Que (ISBN 0-7897-2273-9). A k�nyv hasonlatos ehhez a
HOGYANhoz, csak r�szletesebb, �s mindenb�l sokkal t�bb van benne. Le
van ford�tva lengyelre is, �s DNS i BIND kiadva a Helion �ltal (
[26]http://helion.pl/ksiazki/dnsbin.htm, ISBN 83-7197-446-9). Most van
negyedik kiad�sban a DNS and BIND Cricket Liu-t�l �s P. Albitz-t�l az
O'Reilly & Associates gondoz�s�ban (ISBN 0-937175-82-X,
el�szeretettel nevezve a Cricket k�nyvnek). Egy m�sik k�nyv a Linux
DNS Server Administration, Craig Hunt-t�l, a Sybex kiad�s�ban (ISBN
0782127363), m�g nem olvastam el. Egy m�sik k�vetelm�ny a k�pzett DNS
adminisztr�tor sz�m�ra a Zen and the Art of Motorcycle Maintenance
Robert M. Pirsig-t�l.
Megtal�lhatod a k�nyvemet azonnal olvashat� form�ban (online), m�s
k�nyvek tonn�ival egy�tt, amelyek elektronikusan el�rhet�k mint
el�fizet�ses szolg�ltat�s a [27]http://safari.informit.com/ honlapon.
Van m�g anyag a [28]http://www.dns.net/dnsrd/ (DNS Resources
Directory), [29]http://www.isc.org/bind.html c�men; Egy GYIK, egy
referencia k�zik�nyv (az ARM-nak szint�n benne kell lennie a BIND
disztrib�ci�ban) �pp�gy, mint pap�rok �s protokoll defin�ci�k, �s DNS
hackek (ezeket, �s a legt�bb, ha nem az �sszes, lentebb eml�tett
RFC-t, szint�n tartalmazza a DNS disztrib�ci�). T�bbs�g�t nem
olvastam. A [30]news:comp.protocols.tcp-ip.domains h�rcsoport a
DNS-r�l sz�l. Ezekhez ad�d�an van egy p�r RFC a DNS-r�l, a
legfontosabbak val�sz�n�leg az itt felsoroltak. Azok, melyeknek van
BCP (Best Current Practice - Legjobb Jelenlegi Gyakorlat) sz�ma,
er�sen aj�nlottak.
/RFC 2671/ P. Vixie, Extension Mechanisms for DNS (EDNS0) 1999
augusztus. (DNS kiterjeszt�si mechanizmusok)
/RFC 2317/
BCP 20, H. Eidnes et. al. Classless IN-ADDR.ARPA delegation,
1998 m�rcius. (Oszt�lyon k�v�li IN-ADDR.ARPA deleg�l�s) Ez a
CIDR-r�l sz�l, vagy az oszt�lyon k�v�li alh�l�zatok ford�tott
lek�rdez�s�r�l.
/RFC 2308/
M. Andrews, Negative Caching of DNS Queries, 1998 m�rcius. (A
DNS lek�rdez�sek negat�v gyors�t�t�raz�sa) A negat�v
gyors�t�t�raz�sr�l �s a $TTL z�na�llom�ny direkt�v�r�l.
/RFC 2219/
BCP 17, M. Hamilton and R. Wright, Use of DNS Aliases for
Network Services, 1997 okt�ber. (A DNS �lnevek haszn�lata
h�l�zati szolg�ltat�sok c�lj�ra) A CNAME haszn�lat�r�l.
/RFC 2182/
BCP 16, R. Elz et. al., Selection and Operation of Secondary
DNS Servers, 1997 j�lius. (A m�sodlagos DNS szerverek
kiv�laszt�sa �s m�k�dtet�se)
/RFC 2052/
A. Gulbrandsen, P. Vixie, A DNS RR for specifying the location
of services (DNS SRV), October 1996 (Egy DNS RR a
szolg�ltat�sok helymeghat�roz�s�ra)
/RFC 1918/
Y. Rekhter, R. Moskowitz, D. Karrenberg, G. de Groot, E. Lear,
Address Allocation for Private Internets, 1996.02.29.
(C�mlefoglal�s mag�n Internetek sz�m�ra)
/RFC 1912/
D. Barr, Common DNS Operational and Configuration Errors,
1996.02.28. (Gyakori �zemeltet�si �s be�ll�t�si DNS hib�k)
/RFC 1912 Errors/
B. Barr /Errors in RFC 1912. (Hib�k az RFC 1912-ben/ Csak a
[31]http://www.cis.ohio-state.edu/~barr/rfc1912-errors.html
c�men �rhet� el.
/RFC 1713/
A. Romao, Tools for DNS debugging, 1994.11.03. (A DNS
hibakeres�s eszk�zei)
/RFC 1712/
C. Farrell, M. Schulze, S. Pleitner, D. Baldoni, DNS Encoding
of Geographical Location, 1994.11.01. (A f�ldrajzi helyek
DNS-be k�dol�sa)
/RFC 1183/
R. Ullmann, P. Mockapetris, L. Mamakos, C. Everhart, New DNS RR
Definitions, 1990.10.08. (�j DNS RR meghat�roz�sok)
/RFC 1035/
P. Mockapetris, Domain names - implementation and
specification, 1987.11.01. (Tartom�nynevek - implement�ci� �s
specifik�ci�)
/RFC 1034/
P. Mockapetris, Domain names - concepts and facilities,
1987.11.01. (Tartom�nynevek - fogalmak �s lehet�s�gek)
/RFC 1033/
M. Lottor, Domain administrators operations guide, 1987.1.01.
(Tartom�ny-adminisztr�torok �zemeltet�i �tmutat�ja)
/RFC 1032/
M. Stahl, Domain administrators guide, 1987.11.01.
(Tartom�ny-adminisztr�torok �tmutat�ja)
/RFC 974/
C. Partridge, Mail routing and the domain system, 1986.01.01.
(Lev�ltov�bb�t�s �s a tartom�nyrendszer)
References
1. file://localhost/home/dacas/temp/DNS-HOWTO-hu.html#qanda
2. http://langfeldt.net/DNS-HOWTO/
3. http://www.tldp.org/
4. mailto:zfuri@avaya.com_NO_SPAM
5. mailto:laca@janus.gimsz.sulinet.hu_NO_SPAM
6. mailto:linuxhowto@sch.bme.hu_NO_SPAM
7. http://tldp.fsf.hu/index.html
8. file://localhost/home/dacas/temp/DNS-HOWTO-hu.html#qanda
9. file://localhost/home/dacas/temp/DNS-HOWTO-hu.html#bigger
10. file://localhost/home/dacas/temp/DNS-HOWTO-hu.html#qanda
11. ftp://ftp.isc.org/isc/bind9/
12. http://langfeldt.net/DNS-HOWTO/
13. http://www.isc.org/products/BIND/
14. http://djbdns.org/
15. http://cr.yp.to/djbdns/ad.html
16. http://www.isc.org/ml-archives/bind-users/2000/08/msg01075.html
17. file://localhost/home/dacas/temp/DNS-HOWTO-hu.html#maint
18. file://localhost/home/dacas/temp/DNS-HOWTO-hu.html#qanda
19. file://localhost/home/dacas/temp/DNS-HOWTO-hu.html#starting
20. http://www.acmebw.com/askmrdns/00007.htm
21. file://localhost/home/dacas/temp/DNS-HOWTO-hu.html#bigger
22. http://www.etherboy.com/dns/chrootdns.html
23. http://langfeldt.net/DNS-HOWTO/
24. file://localhost/home/dacas/temp/DNS-HOWTO-hu.html#caching
25. http://www.etherboy.com/dns/chrootdns.html
26. http://helion.pl/ksiazki/dnsbin.htm
27. http://safari.informit.com/
28. http://www.dns.net/dnsrd/
29. http://www.isc.org/bind.html
30. news:comp.protocols.tcp-ip.domains
31. http://www.cis.ohio-state.edu/~barr/rfc1912-errors.html