зона ограничение доступ
RUBSD.ORG МЕНЮ>ГЛАВНАЯ>КОНКУРС>FAQ>ФОРУМ>ДОКУМЕНТАЦИЯ>ТЕХ. ПОДДЕРЖКАСТАСТИКА 64.28.181.210 Браузер: Other.0 На сайте: 1 человек(а)УТИЛИТЫ DNS - настройка службы BIND FreeBSD .В настоящий момент назрел вопрос написать что то по DNS, но так как этот вопрос знаком мне самым узким образом я решил идти по пути наименьшего сопротивления зона ограничение доступ выложить для ознакомления главу 30 нашумевшей книги - "FreeBSD_администрирование: искусство_достижения_равновесия". Да простят мне авторы этот крамольный шаг.Появятся вопросы - буду писать комментарии. Я учился по другой книге, но эта показалась мне предельно простой, соответственно поддерживая стиль сайта - " простота зона ограничение доступ доступность " остановлюсь именно на этом варианте.Введение в систему BINDСистема BIND (сокращение от Berkeley Internet Name Domain) состоит из основной программы-демона (named), набора библиотек разрешения имен, позволяющих выполнять поиск имен, зона ограничение доступ ряда административных средств. Система BIND входит в состав ОС FreeBSD, хотя соответствующая служба зона ограничение доступ не включена по умолчанию.Структура системы доменных именСистема доменных имен (DNS) - это иерархический протокол, работающий по сети Internet аналогично протоколам маршрутизации. Несколько " корневых серверов ", географически распределенных по всей сети Internet для обеспечения надежности зона ограничение доступ избыточности, поддерживается корпорацией Network Solutions, Inc. зона ограничение доступ другими организациями. Каждое доменное имя(например, somewhere.com) строится в обратном порядке, начиная с корневой зоны, причем суффикс домена - com, org, net зона ограничение доступ т.д.- определяет верхний уровень иерархии, непосредственно после точки(.), обозначающей корневую зону. После каждого из суффиксов (которые обычно называют доменами верхнего уровня - top-level domains или TLD)следуют имена доменов, определяемые обычно не корневыми серверами, зона ограничение доступ отдельными хостами DNS в сети Internet. Например, служба DNS домена somewhere.com будет администрироваться сервером в его же сети (например, сервером nsl.somewhere.com). Этот сервер является " авторитетным " хостом DNS для данного домена. Центральный реестр, также поддерживаемый корпорацией Network Solutions, содержит записи обо всех таких доменах, так что корневые серверы могут предоставлять авторитетную информацию о соответствии их имен. Эти " записи хостов " задаются при настройке нового сервера имен: в корпорацию NetworkSolutions или одному из непосредственно связанных с ней регистраторов посылается соответствующая форма.Когда клиент обращается с запросом к службе DNS, он запрашивает сервер имен, сконфигурированный в ходе настройки стека протоколов TCP/IP, - обычно это сервер в той же сети. Если сервер не может ответить на запрос, он передает его серверу DNS более высокого уровня, если он доступен. Если же такого сервера нет, запрос направляется непосредственно корневым серверам.Корневые серверы сами не поддерживают никаких авторитетных данных службы DNS. Они содержат только записи хостов (мы будем называть их записями NS), которые указывают на авторитетные серверы имен в каждом домене. Корневые серверы возвращают запрашивающему ответ DNS, содержащий ссылку на авторитетный сервер имен домена, к которому обращался клиент. Этот сервер, в свою очередь, возвращает запрашиваемые данные DNS локальному серверу DNS, который передает ее клиенту.Локальный сервер DNS может сохранить результат поиска в своем кэше на период времени, указанный авторитетным сервером имен. Это ускоряет обработку запросов, позволяя локальным клиентам получать непосредственные ответы на свои запросы DNS от локального сервера, без передачи информации no Internet. Это, однако, означает, что изменения в записях DNS на авторитетном сервере DNS домена не будут доступны клиенту до завершения периода устаревания. До этого времени доступная клиенту информация DNS " заморожена " зона ограничение доступ потенциально неверна. Мы еще вернемся к проблеме кэширования информации зона ограничение доступ устаревания данных далее в этой главе.ЗоныСистема BIND позволяет определять зоны - логические группы IP-адресов зона ограничение доступ имен хостов, существующие на определенном уровне иерархии имен DNS. Например, com. - это зона в корневой зоне (.), зона ограничение доступ somewhere.com, - это зона, существующая в зоне com. Обратите внимание, что имена зон всегда завершаются точкой, обозначающей корневую зону, - это является существенным при создании собственных файлов зон! Под-домены - это зоны, управляемые отдельными серверами доменных имен; например, cluster.somewhere.com. - это зона, в которую может входить несколько машин. Фактически она может иметь столько дальнейших подразделов, сколько захочет сконфигурировать администратор. Эти зоны обеспечивают прямой поиск имен в системе DNS, или сопоставление именам IP-адресов.Обратный поиск имен в системе DNS, или сопоставление IP-адресам имен хостов, также осуществляется по зонам. Поскольку система DNS зона ограничение доступ IP-адреса ведут свое начало от проекта ARPAnet зона ограничение доступ не претерпели с тех пор принципиальных структурных изменений, имя зоны обратного поиска DNS имеет вид CCC.BBB.AAA.m-addr.arpa. Это имя состоит из IP-адреса, записанного в обратном порядке, с добавлением суффикса .in-addr.arpa. Например, сеть 64.41.131.* будет определяться зоной 131.41.64.in-addr.arpa.Каждая зона, которой управляет ваш сервер имен, должна быть определена в файле зоны - форматированном наборе определений, сопоставляющих имена хостов зоны IP-адресам (или наоборот). Файл зоны также содержит параметры, определяющие характеристики зоны, в частности период устаревания кэша. Файлы зоны - наиболее важная часть конфигурации службы DNS; они будут подробно рассмотрены далее в этой главе.Файлы зона ограничение доступ программы системы BINDПоскольку система BIND встроена в ОС FreeBSD, не придется беспокоиться по поводу ее установки или проверки наличия необходимых файлов в соответствующих местах. Не помешает, однако, знать, какие программы задействованы в работе сервера имен зона ограничение доступ где придется изменять конфигурацию./usr/sbin/named. Собственно демон сервера имен. Он прослушивает порт 53, ожидая поступления запросов поиска системы DNS,/usr/sbin/ndc. Программа управления демоном сервера имен. Она используется для запуска, останова, перезагрузки зона ограничение доступ контроля сервера имен./etc/namedb. Все файлы конфигурации зона ограничение доступ файлы текущего состояния системы BIND, включая файлы определения зон, находятся в этом каталоге (или в созданных администратором подкаталогах)./etc/namedb/named.conf. Основной файл конфигурации системы BIND. Из него система BIND " узнает ", какими доменами управлять зона ограничение доступ как работать с каждым из них.Включение демона сервера именВключение системы BIND в ОС FreeBSD - самая простая часть ее конфигурирования. Необходимо только, как зона ограничение доступ для любой другой рассмотренной ранее встроенной службы FreeBSD, добавить следующую строку в файл /etc/rc.conf:named_enable="YES"Если эта опция установлена, демон named автоматически запускается при загрузке операционной системы. Для запуска демона без перезагрузки используется программа ndc:# ndc startnew pid is 12717Теперь сервер должен работать. Но это только самое начало процесса конфигурирования системы BIND.Запуск системы BIND в " песочнице "Как утверждалось в главе 27, иногда имеет смысл (из соображений защиты) запускать определенные службы в среде, которую называют " песочницей ", - отдельной структуре каталогов, не содержащей ничего лишнего, так что извне кажется, будто именно она зона ограничение доступ представляет всю файловую систему. В случае службы FTP эта структура называлась " тюрьмой измененного корневого каталога "("chroot jail"). Фактический корневой каталог файловой системы изменялся так, что сервер зона ограничение доступ создаваемые им процессы не могли выйти за пределы отведенной им структуры каталогов выше определенной точки. Система BIND поддерживает такую же возможность, но в большинстве документации эту среду называют " песочницей " (" sandbox "), зона ограничение доступ не" тюрьмой ". Принцип организации среды, однако, - тот же.Типичное конфигурирование " песочницы " состоит в создании подкаталога sandbox в каталоге /etc/namedb зона ограничение доступ запуске демона named так, что он ограничивает себя только этим каталогом. Поэтому, если демон named будет взломан (что вполне возможно, поскольку уязвимые места в версиях системы BIND находят зона ограничение доступ по сей день), ущерб будет нанесен только соответствующему каталогу. Создайте каталог /etc/named/sandbox зона ограничение доступ измените его владельца зона ограничение доступ права доступа так, чтобы он принадлежал непривилегированному пользователю зона ограничение доступ группе bind:# chown -R bind:bind /etc/namedb/sandbox# chmod -R 750 /etc/namedb/sandboxЗатем создайте подкаталоги /etc зона ограничение доступ /var/run в каталоге sandbox. Скопируйте файл /etc/localtime в каталог /etc/namedb/sandbox/etc. Сервер будет записывать во время выполнения файлы в каталог /var/run, зона ограничение доступ ему необходим файл mealtime для обработки последовательных значений из файлов зон зона ограничение доступ для правильной регистрации дат.# mkdir /etc/namedb/sandbox/etc# ср /etc/localtime /etc/namedb/sandbox/etc# mkdir -p /etc/namedb/sandbox/var/runНаконец, добавьте следующую строку в файл /etc/rc.conf:named_flags="-u bind -g bind -t /etc/namedb/sandbox"Учтите: если для управления демоном named используется программа ndc (как будет показано в этой главе) зона ограничение доступ демон работает в "песочнице", придется использовать опцию -с. Команды будут иметь следующий вид:# ndc -с /etc/namedb/sandbox/var/run/ndc startУчтите также, что для записи демоном named журнала в файл, последний должен быть в каталоге sandbox.Файл конфигурации системы BIND (named.conf)Чтобы от сервера имен был толк, убедитесь, находится ли он в нужном месте по отношению к клиентам зона ограничение доступ остальной части сети, с учетом ее топологии, зона ограничение доступ правильно ли он сконфигурирован для взаимодействия с другими серверами имен. Неправильная конфигурация сервера имен может привести к постоянному обмену информацией между ним зона ограничение доступ корневыми серверами в безуспешных попытках согласовать данные. Файл /etc/namedb/named.conf необходимо правильно построить, зона ограничение доступ для этого - хорошо понимать.К счастью, система BIND версии 8 (включается в ОС FreeBSD вскоре, вероятно, ее заменит BIND версии 9) существенно упрощает многие таинственные моменты конфигурирования сервера имен, обычно присутствовавшие в первых версиях системы (до версии 4 включительно).Система BIND 8, сразу заменившая BIND 4, добавила множество возможностей конфигурирования, одновременно избавив от большого количества избыточных или плохо продуманных элементов. В листинге 30.1 представлен простой файл named.conf, позволяющий понять используемый синтаксис зона ограничение доступ структуру файла конфигурации.Листинг 30.1. Пример файла /etc/namedb/named.conf/* * Пример файла конфигурации системы BIND 8*/logging {category lame-servers { null; };category cname { null; };};options {directory "/etc/namedb";};zone "somewhere.com" {type master;file "somewhere.com";);zone "131.41.64.in-addr.arpa" {type master;file "131.41.64.in-addr.arpa";};zone "elsewhere.com" {type slave;file "slave/elsewhere.com";masters { 113.125.2.145; };};zone "." {type hint;file "named.boot";};zone "0.0.127.in-addr.arpa" {type master;file "localhost.rev";};zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.INT" {type master;file "localhost.rev" ;};Как видно из листинга, файл конфигурации состоит из нескольких блоков (или"операторов") с синтаксисом в стиле языка С, включающих подоператоры в фигурных скобках ({}). Все поддерживаемые операторы перечислены зона ограничение доступ описаны на странице справочного руководства named.conf. Чаше всего используются операторы options, controls, logging зона ограничение доступ zone.Комментарии в файле named.conf также задаются в стиле языка С; однострочные комментарии начинаются двумя косыми (//), зона ограничение доступ блочные комментарии имеют синтаксис: /* комментарий */. Поддерживаются также комментарии в стиле командного интерпретатора (начинающиеся символом #).Файл named.conf, входящий в стандартную поставку ОС FreeBSD, включает как операторы, представленные в листинге 30.1, так зона ограничение доступ ряд других. В нем также много справочной информации в виде комментариев, описывающих использование каждого оператора.При любом изменении в файле named.conf или каком-либо из файлов зон (которые будут рассмотрены далее в этой главе) необходимо перезапустить демон named с помощью программы ndc:# ndc reloadReload initiated.Использование перенаправляющего сервераВозвращаясь к представленной на рис. 30.1 топологии, заметим, что перенаправляющим сервером (forwarder) называют сервер имен в сети"верхнего" уровня - сети, более близкой к корневым серверам, позволяющей запрашивать из нее информацию системы DNS. (Учтите, что доступ к серверу имен может быть ограничен, как будет показано в дальнейшем.) В качестве перенаправляющего сервера для системы FreeBSD, работающей как сервер имен домашней сети, лучше всего использовать сервер имен поставщика услуг Internet. Если ваша машина не может сама ответить на запрос DNS-информации, она запрашивает ее у корневых серверов (указанных в файле /etc/namedb/named.root). Это требует времени зона ограничение доступ передачи дополнительных пакетов по сети.На самом деле не обязательно всем получать авторитетные ответы. В большинстве случаев вполне допустимо работать с неавторитетной DNS-информацией, например, поступающей от кэширующего сервера имен:# nslookup www.freebsd.org ns.somewhere.comServer: ns.somewhere.comAddress: 64.41.131.172Non-authoritative answer:Name: freefall.freebsd.orgAddress: 216.136.204.21Aliases: www.freebsd.orgКонфигурирование системы FreeBSD для обращения к одному или нескольким перенаправляющим серверам позволяет ей воспользоваться кэшем сервера имен верхнего уровня, зона ограничение доступ не извлекать авторитетные данные в ответ на каждый запрос. Недостатком (как уже было сказано) является "замороженность" данных в кэше на период, продолжительность которого задается в файле зон авторитетного сервера (этот период часто составляет несколько дней). На рис. 30.2 представлен путь DNS-запроса при использовании перенаправляющего сервера. Основную работу выполняет перенаправляющий сервер, строящий свой кэш по результатам собственных запросов зона ограничение доступ при выполнении запросов своих клиентов. Использующему его серверу DNS нижнего уровня необходимо только запросить перенаправляющий сервер, сокращая время выполнения запроса зона ограничение доступ объем передаваемой информации.Чтобы обеспечить использование перенаправляющего сервера, замените адрес 127.0.0.1 в блоке forwarders оператора options IP-адресом сервера имен верхнего уровня (127.0.0.1, адрес локального хоста, тут не поможет) зона ограничение доступ уберите символы комментариев /* зона ограничение доступ */ в начале зона ограничение доступ конце блока./*forwarders {127.0.0.1; };*/Можно задавать сколько угодно перенаправляющих серверов - демон named обратится к каждому из них, прежде чем сдаться зона ограничение доступ запросить корневые серверы. Можно также убрать комментарий с оператора forward only в блоке options, чтобы демон named при обработке всех запросов обращался только к перенаправляющим серверам. Демон обращается за DNS-информацией к перенаправляющим серверам, пока не окажется, что они недоступны или не работают - тогда выполняются полные запросы к корневым серверам. Если установлена опция forward only, запросов к корневым серверам не будет.Конфигурации главного зона ограничение доступ подчиненного сервераКаждый блок зоны определяет домен или поддомен, который будет администрироваться вашей машиной с ОС FreeBSD. Чаще всего блок зоны определяет домен вида somewhere.com:zone "somewhere.com" {type master;file "somewhere.com";};Абсолютно необходимо в этом блоке только имя домена или поддомена (без завершающей точки, которая обычно указывается в имени зоны), оператор type, определяющий тип конфигурации для домена (главная или подчиненная), зона ограничение доступ имя файла, содержащего информацию зоны. Давайте разберемся, как действует сервер имен, будучи главным или подчиненным в определенной зоне.Подоператор type может задавать значения master, slave, stub, forward или hint. Чаще всего используются значения master (главный) зона ограничение доступ slave (подчиненный); остальные - только в специальных случаях, которые мы вскоре рассмотрим.Тип зоны master означает, что сервер является авторитетным для зоны - содержит главную копию файла зоны, определяющую соответствия имени адресов, которые будут распространяться по сети Internet. Причем эта копия должна изменяться только вручную, но изменения в ней будут учтены в кэше DNS всех остальных серверов имен, как только существующая там информация устареет.Подчиненная зона (slave) - это копия главной зоны; ее файл зоны является производным от файла зоны главного сервера. Подчиненные серверы могут давать авторитетные ответы на запросы DNS. Блок подчиненной зоны выглядит следующим образом:zone "elsewhere.com" {type slave;file "slave/elsewhere.com";masters { 113.125.2.145; };};Подоператор masters содержит список главных серверов (перечисленных через точку с запятой), с которых берется информация зон. Эти серверы могут быть как авторитетными серверами главной зоны, так зона ограничение доступ неавторитетными подчиненными. Оператор file в подчиненной зоне задает имя автоматически генерируемого файла зоны, который демон named создаст после получения информации от главного сервера. В нашем примере файл elsewhere.com создается в подкаталоге /etc/namedb/slave. Такую структуру каталогов можно использовать для отделения авторитетных (главных) файлов зон от автоматически генерируемых (подчиненных).Другие типы зонКак описано в справочном руководстве по файлу named.conf, поддерживается еще три типа блоков зоны.stub. Зоны типа stub работают так же, как зона ограничение доступ подчиненные, но переносят с главного сервера только записи NS - записи, задающие местонахождение авторитетной DNS-информации для указанного домена.forward. Зоны типа forward можно использовать для перенаправления запросов зоны другому серверу или группе серверов. В операторе zone этого типа можно задавать блок forwarders, действующий аналогично такому же глобальному оператору в блоке options. Это позволяет переопределять глобальный список перенаправляющих серверов.hint. Зона типа hint реально используется в единственном случае - задает начальный список потенциальных корневых серверов, который хранится в файле /etc/namedb/named.root. На самом деле, это не авторитетный список корневых серверов, зона ограничение доступ просто список "подсказок" системе BIND, задающий серверы, на которых имеется действительный в настоящее время список корневых серверов, часто изменяющийся в зависимости от особенностей функционирования сети.Ограничение доступа к службе DNSСистема BIND позволяет ограничить доступ с помощью списков контроля доступа (Access Control List - ACL). Список ACL указывается в операторе acl, задающем имя списка зона ограничение доступ содержащем критерии включения хостов в список. Эти критерии могут иметь различные формы, зона ограничение доступ также быть рекурсивными; другими словами, список ACL может содержать другие списки ACL. Следующие списки контроля доступа являются встроенными.any. Разрешает доступ всем хостам.none. Запрещает доступ всем хостам.localhost. Разрешает доступ с IP-адресов всех интерфейсов системы.localnets. Разрешает доступ с любого хоста сетей, к которым подключена система.Элементами списка контроля доступа также могут быть IP-адреса (например, 111.112.113.114), адреса сетей в формате CIDR (например, 111.112.113/24), адреса с отрицанием (!111.112.113.114, что означает"любой хост кроме 111.112.113.114") или оператор key (используется для защищенных транзакций зона ограничение доступ в этой главе не рассматривается). Составляя список элементов ACL, более специфичные элементы лучше указывать перед элементами, имеющими более широкий охват, поскольку список проверяется в порядке задания элементов. Если хост соответствует элементу списка, доступ с него будет разрешен, независимо от того, есть ли далее для него запрещающий элемент. Все исключения надо задавать в начале списка.Поскольку файл named.conf читается последовательно, список контроля доступа должен задаваться в файле до того, как на него будут указываться ссылки в других операторах. Лучше всего вынести все операторы acl в начало файла named.conf, до блока options. Вот пример простого списка контроля доступа:acl "my_list" {localhost;localnets;another_list;!132.112.14.124;132.112.14/24;};После задания списка контроля доступа его можно использовать далее вместе с другими элементами списка адресов в операторе zone (чтобы управлять доступом к запросам для соответствующей зоны) или в глобальном операторе options. Поддерживаются следующие операторы контроля доступа:allow-query { элементы_списка_адресов; ... };. Задает хосты, которым разрешено выполнять обычные запросы DNS. Оператор allow-query можно также задавать в операторе zone - в этом случае он переопределяет оператор allow-query блока options. Если этот оператор не указан, запросы разрешены со всех хостов.allow-transfer { элементы_списка_адресов; ... };. Задает подчиненные серверы, которым разрешено переносить информацию зоны с данного сервера. Оператор allow-transfer можно также задавать в операторе zone - в этом случае он переопределяет оператор allow-transfer блока options. Если этот оператор неуказан, перенос информации зоны разрешен со всех хостов.allow-recursion { эдементы_списка_адресов; ... };. Задает хосты, которым разрешено выполнять рекурсивные запросы через данный сервер. Если этот оператор не указан, рекурсивные запросы разрешены со всех хостов.blackhole { элементы_списка_адресов; ... };. Задает список адресов машин, от которых сервер не будет принимать запросы зона ограничение доступ которые он не будет использовать при разрешении запросов. На запросы с этих адресов ответов не будет.Например, можно глобально ограничить запросы, разрешив запрашивать только членам ранее заданного списка контроля доступа my_list. Более того, можно ограничить запросы к домену somewhere.com, разрешив их делать только членам списка my__list зона ограничение доступ дополнительной сети, зона ограничение доступ также ограничить перенос информации зоны, разрешив его двум указанным подчиненным серверам. Для этого используется следующая частичная конфигурация:options {directory "/etc/namedb";allow-query { my__list; };};zone "somewhere.com" {type master;file "somewhere.com";allow-query { my__list; 64.2.43/24; };allow-transfer { 64.2.43.167; 123.15.221.3; };};Создание файла зоныВ файле зоны задаются соответствия имен хостов зона ограничение доступ IP-адресов в пределах домена или зоны. Именно в этом файле чаще всего делают ошибки при конфигурировании системы BIND, поэтому мы опишем его достаточно подробно.Формат файла зоны {который часто называют главным файлом зоны - Master Zone File, или просто, главным файлом - Master File) весьма сложен зона ограничение доступ строг, хотя зона ограничение доступ допускает определенные послабления. "Живой" файл зоны в только что установленной системе BIND вполне понятен. Он помогает разобраться, какие - виды примитивов (директив) разрешены зона ограничение доступ как они задаются, зона ограничение доступ также содержит допустимые зона ограничение доступ часто используемые сокращенные варианты директив.Сначала давайте рассмотрим пример файла зоны, представленный в листинге 30.2, зона ограничение доступ разберем его компоненты. Обратите внимание, что в файлах зон точки с запятой (;) являются символами начала комментария.Листинг 30.2. Пример файла зоны для домена somewhere.com.$TTL 3600somewhere.com. IN SOA stripes.somewhere.com. root.somewhere.com. (20010610 ; Serial10800 ; Refresh3600 ; Retry604800 ; Expire86400 ) ; Minimum TTL; Серверы DNS@ IN NS stripes.somewhere.com.@ IN NS spots.somewhere.com.; Имена машинlocalhost IN A 127.0.0.1nsl IN A 64.41.131.162ns2 IN A 64.41.131.163mail IN A 64.41.131.167@ IN A 64.41.131.162; Псевдонимыwww IN CNAME @ftp IN CNAME WWW.somewhere.com.; Запись MX@ IN MX 10 mail.somewhere.com.Хотя это файл может показаться непонятным зона ограничение доступ не имеющим определенного формата, на самом деле, он имеет четкую структуру. Листинг 30.2 состоит из шести основных элементов:директива $TTL;запись SOA (Start-of-Authority);блок записей NS (серверов имен);блок записей А (адресов);блок записей CNAME (каноническое имя - Canonical Name), определяющих псевдонимы;запись MX (Mail Exchanger).За исключением этих директив, каждый элемент файла - это запись ресурса (Resource Record - RR), определяющая свойства имени в зоне по отношению к определенной "точке отсчета" ("origin"). Рассмотрим все представленные элементы подробно.ДирективыФормат файла зоны допускает использование нескольких различных базовых директив. Они задают глобальные установки для всего файла. Каждая такая директива задается прописными буквами зона ограничение доступ начинается с символа доллара ($). Директивы могут задаваться в любом месте файла зоны, причем каждая последующая директива переопределяет одноименные предыдущие.Из всех имеющихся директив на практике используется только $ORIGIN.$ORIGIN. Синтаксис: $ORIGIN <имя домена> [<комментарий>]Значение $ORIGIN будет добавляться к любому не уточненному имени в записи. Примером не уточненного имени является www; если имя www указано в записи в файле зоны, зона ограничение доступ директива $ORIGIN имеет значение somewhere.com., запись будет определена как www.somewhere.com. (с завершающей точкой).Если директива $ORIGIN в файле зоны не задана, предполагается значение, совпадающее с именем зоны, заданным в операторе zone, который ссылается на файл зоны. Если имя домена в директиве не имеет завершающей точки, оно не является "абсолютным", т.е. будет добавляться к любой предшествующей строке $ORIGIN. Например, следующие конструкции$ORIGIN com.$ORIGIN somewherewww IN CNAME sripesэквивалентны одной:www.somewhere.com. IN CNAME stripes.somewhere.com.$INCLUDE. Синтаксис: $INCLUDE <имя файла> [<исходный домен>] [<комментарий>]Директива $INCLUDE импортирует файл с указанным именем зона ограничение доступ обрабатывает его так, как если бы содержимое входило в файл зоны в месте указания директивы $INCLUDE. При обработке содержимого включенного файла директиве $ORIGIN устанавливается значение <исходный домен>, если оно задано.$TTL. Синтаксис: $TTL <стандартное время жизни> [<комментарий>]Директива $TTL устанавливает стандартное время жизни (Time-to-Live - TTL) для любой записи, в которой значение времени жизни не задано. Эта директива используется только для записей типа отрицательного кэширования, когда система BIND запоминает факт не существования записи на определенный период (т.е. время жизни). В записи ресурса (Resource Record - RR), поле TTL идет перед столбцом класса. В записях, представленных в листинге 30.2, оно пустое (поле IN задает класс). Эти записи наследуют значение директивы $TTL (3600 секунд), указанное в начале листинга.$GENERATE. Синтаксис: $GENERATE <диапазон> <лепая часть> <тип> <правая часть> [< ком>]Директива $GENERATE используется для создания набора записей, отличающихся итератором, или значением шага. Другими словами, можно автоматически задать большой список записей, имена зона ограничение доступ IP-адреса которых строятся по определенной формуле.<диапазон>. Может иметь две формы: начало-конец или начало-конец/шаг. При использовании первой формы шаг устанавливается равным 1.<левая часть> Описывает, чем будут отличаться создаваемые записи левой части. Любой одиночный символ $ в левой части заменяется значением итератора. Если <левая часть> представляет собой неабсолютное имя, к ней добавляется текущее значение директивы $ORIGIN. Если в левой части ничего не надо изменять, используется символ-заместитель 0.<тип>. PTR, CNAME или NS.< правая часть>. То же, что зона ограничение доступ <левая часть>, но задает правую часть записи.Следующие директивы $GENERATE$ORIGIN 0.0.192.in-addr.аrра.$GENERATE 1-2 0 NS ns$.somewhere.com.$GENERATE 1-127 $ CNAME $.0раскрываются системой BIND в такой список:0.0.0.192.in-addr.arpa. NS nsl.somewhere.com.0.0.0.192.in-addr.arpa. NS ns2.somewhere.com.1.0.0.192.in-addr.arpa. CNAME 1.0.0.0.192.in-addr.arpa.2.0.0.192.in-addr.arpa. CNAME 2.0.0.0.192.in-addr.arpa....127.0.0.192.in-addr.arpa. CNAME 127.0.0.0.192.in-addr.arpa.Записи SOAТеперь мы добрались до первой записи ресурсов (Resource Record) в файле зоны. Это запись Start-of-Authority (SOA). Она является наиболее важной частью файла зоны, зона ограничение доступ именно ее чаще всего приходится исправлять. Основная причина - стиль ее задания не соответствует интуитивно предполагаемому. Придется рассмотреть эту запись по частям.В листинге 30.2. представлен следующий пример записи SOA:somewhere.com. IN SOA stripes.somewhere.com. root.somewhere.com. (2001061000 ; Серийный номер10800 ; Обновление3600 ; Повторные попытки604600 ; Устаревание86400 ) ; Минимальное время жизниЗапись SOA, как зона ограничение доступ все записи, имеет следующую форму:<имя> [<время жиэни>] [<класс>] <тип> <значение>Если указанное <имя> не абсолютно, добавляется текущее значение директивы $ORIGIN. В нашем случае использовано абсолютное имя (оно завершается точкой).Поле <время жизни> не задано, поскольку в представленном файле имеется глобальная директива $TTL, которая его задает. Значение IN (сокращение от "Internet") - это класс записи. Система BIND поддерживает зона ограничение доступ другие классы, но они нас в данном случае не интересуют. Если значение in указано в операторе zone в файле named.conf, это поле - избыточное, зона ограничение доступ его тоже можно не указывать.Поле <значение> для большинства записей - достаточно простое: IP-адрес, имя хоста или символическое имя. Запись SOA, однако, намного сложнее. Она начинается с имени авторитетного сервера имен в зоне (stripes.somewhere.com). Следующий фрагмент информации - адрес электронной почты администратора домена, в котором знак @ заменен точкой. Заканчивается адрес тоже точкой. В нашем примере адрес администратора (root@somewhere.com) задан как root.somewhere.com, зона ограничение доступ будет использоваться системой BIND для посылки ему уведомлений о состоянии.После адреса администратора идет блок установок в круглых скобках. Круглые скобки задают блок, в котором переводы строк игнорируются, поэтому набор значений можно сформатировать так, чтобы он был понятнее. В блоке задаются числа, определяющие обработку данных зоны в сети Internet.Серийный номер. Серийный номер позволяет системе BIND следить за давностью файлов зон. При каждом обновлении файла зоны необходимо увеличивать серийный номер, чтобы сообщать системе BIND, что необходимо обновить информацию на основе данного файла. Обычно принято использовать для этого числа формат ГГГГММДДНН; последние две цифры предназначены для нескольких версий, созданных в течение одного дня. При внесении изменения обновите серийный номер, указав в нем дату изменения.Обновление. Это число задает (в секундах) частоту, с которой подчиненные серверы должны проверять изменение данных зоны на главном сервере. Если серийный номер главного файла изменился с момента последнего переноса информации зоны, будет выполнен новый перенос.Повторные попытки. Если не удается связаться с главным сервером, подчиненные серверы будут пытаться связаться повторно с интервалами, задаваемыми этим числом (в секундах).Устаревание. Если не удается связаться с главным сервером в течение этого времени (задается в секундах), подчиненные серверы отбрасывают все свои данные для соответствующей зоны.Минимальное время жизни. Это число задает (в секундах), сколько времени хранить в кэше "негативные" ответы (показывающие отсутствие определенных данных).Записи NSВ листинге 30.2 представлены следующие примеры записей серверов имен (Name Server - NS):; Серверы DNS@ IN NS stripes.somewhere.com.@ IN NS spots.somewhere.com.Эти записи задают серверы DNS, которым разрешается давать авторитетные ответы на запросы в отношении данной зоны. Учтите, что символ @ обозначает текущее значение директивы $ORIGIN (somewhere.com.) зона ограничение доступ что имена обоих серверов завершаются точками (показывающими, что они - абсолютные).Можно создавать записи NS для поддоменов, или зон в текущей зоне. Например, пусть имеется кластер машин в зоне cluster.somewhere.com., DNS-информация которого обслуживается отдельным сервером имен (ns.cluster.somewhere.com). Запись NS для этого сервера, разрешающая внешним хостам запрашивать у него информацию об IP-адресах машин кластера, будет иметь вид:cluster IN NS ns.cluster.somewhere.com.Учтите, поскольку после имени cluster не указана завершающая точка, система BIND добавит к имени значение директивы $ORIGIN (somewhere.com.).Записи адресаЗапись адреса (А) используется для связи имени хоста зона ограничение доступ IP-адреса. В нашем примере имеются следующие записи:; Имена машинlocalhost IN А 127.0.0.1stripes IN A 64.41.131.162spots IN A 64.41.131.163mail IN A 64.41.131.167@ IN A 64.41.131.162Значение этих записей вполне понятно. Не уточненные имена в левой части дополняются текущим значением директивы $ORIGIN, так что имени mail.somewhere.com будет соответствовать адрес 64.41.131.167. Символ @ заменяется так, что запрос адреса somewhere.com вернет значение 64.41.131.162.Имена, определенные в записях А, называют каноническими, в отличие от псевдонимов (которые задаются записями CNAME).Записи CNAMEЗаписи канонического имени (Canonical Name - CNAME) используются для создания псевдонимов. В примере, представленном в листинге 30.2, имеем:; Псевдонимыwww IN CNAME @ftp IN CNAME www.somewhere.com.Псевдоним www (который дополняется значением $ORIGIN до www.somewhere.com.) указывает на каноническое имя @, или somewhere.com. (IP-адрес которого задан в блоке А).Записи CNAME часто используются, поскольку не привязываются непосредственно к IP-адресам. Можно использовать записи CNAME, например, для ссылки на имена в другой зоне, которая может управляться соответствующим владельцем. Записи CNAME также позволяют сократить количество изменений в файле зоны в случае изменения IP-адресов.Записи MXЗаписи Mail Exchanger (MX) определяют, какие хосты должны использоваться для доставки электронной почты адресатам в данной зоне. Система Sendmail (и другие агенты передачи почты) ищет запись MX с максимальным приоритетом в зоне зона ограничение доступ подключается к соответствующему хосту. Хосты MX домена можно найти с помощью команды host:# host somecompany.comsomecompany.com has address 207.114.98.18somecompany.com mail is handled (pri=100) by mail.uu.netsomecompany.com mail is handled (pri=5) by mx-1.somecompany.comСначала используются записи с меньшими значениями приоритета, зона ограничение доступ затем делаются попытки подключиться к хостам с большим приоритетом, пока не удастся успешно установить соединение по протоколу SMTP. Приоритет задается как часть поля значения в записи, как в нашем примере:; Запись ИХ@ IN MX 10 mail.somewhere.com.Записи PTRЗаписи указателей (PTR) по смыслу противоположны записям А или CNAME, зона ограничение доступ используются в файлах обратного просмотра зон DNS (например, 131.41.64.in-addr.arpa) для сопоставления IP-адресам доменных имен. Пример файла обратного просмотра зоны DNS представлен в листинге 30.3.Поскольку обратный поиск в DNS возвращает только одно имя, несколько записей PTR для одного IР-адреса бесполезны зона ограничение доступ только сбивают с толку. Поэтому файлы обратного просмотра обычно короче, чем соответствующие файлы прямого просмотра.Файлы обратного просмотра зоны DNSФайл обратного просмотра зоны DNS, задающий зону в виде 131.41.64.in-addr.arpa, используется для сопоставления имен IP-адресам. Файлы этого типа указываются в файле named.conf, зона ограничение доступ соответствующая информация распространяется подчиненным серверам точно так же, как зона ограничение доступ файлы прямого просмотра зон DNS. В листинге 30.3 представлен пример файла обратного просмотра зоны DNS.Листинг 30.3. Пример файла обратного просмотра DNS для зоны 131.41.64.in-addr.arpa$TTL 3600131.41.64.in-addr.arpa. IN SOA stripes.somewhere.com. root.somewhere.com. (2001061000 ; Серийный номер10800 ; Обновление3600 ; Повторные попытки604800 ; Устаревание86400 ) ; Минимальное время жизни@ IN NS stripes.somewhere.com.@ IN NS spots.somewhere.com.162 IN PTR stripes.somewhere.com.163 IN PTR spots.somewhere.com.167 IN PTR mail.somewhere.com.Обратите внимание, что вместо записей А или CNAME используются записи FTR. Имя, на которое указывает запись PTR, - действительное каноническое имя для соответствующего IP-адреса. В файле обратного просмотра не нужна запись MX, поскольку записи MX нельзя непосредственно связывать с IP-адресами.Создание файла зоны localhostДля правильной работы необходимо создать специальный файл для зоны localhost (O.0.127.in-addr.arpa). В каталоге /etc/namedb имеется сценарий командного интерпретатора, помогающий создать такой файл. Этот сценарий называется make-localhost; он читает шаблон (PROTO.localhost.rev) зона ограничение доступ заполняет его введенной администратором информацией. Поскольку для сценария не установлено право на выполнение, необходимо запускать его командой sh:# sh make-localhostEnter your domain name: somewhere.comПолучающийся в результате файл, localhost.rev, должен выглядеть примерно так, как в листинге 30.4Листинг 30.4 Автоматически сгенерированный файл зоны localhost.rev; From: @ (#) localhost.rev 5.1 (Berkeley) 6/30/90; $FreeESD: src/etc/namedb/PROTO.localhost.rev,v 1.6 2000/01/10 15:31:40 peter Exp $;; Этот файл автоматиуески создается сценарием 'make-localhost'; в каталоге /etc/namedb.;$TTL 3600@ IN SOA stripes.somewhere.com. root.stripes.somewhere.com. (20010612 ; Серийный номер3600 ; Обновление900 ; Повторные попытки3600000 ; Устаревание3600 ) ; Минимальное время жизниIN NS stripes.somewhere.com.1 IN PTR localhost.somewhere.com.He забудьте создать этот файл, прежде чем начнете эксплуатировать службу DNS!Конфигурирование кэширующего сервера именВполне можно запустить сервер имен, не являющийся авторитетным ни для одной из зон. Такой сервер называют кэширующим сервером имен, зона ограничение доступ его задача состоит исключительно в выполнении запросов DNS по требованиям клиентов зона ограничение доступ запоминании результатов для дальнейшего использования. Его роль противоположна роли чисто перенаправляющего сервера, конфигурирование которого было рассмотрено ранее: тогда как перенаправляющий сервер имен передает все поступающие ему запросы на обработку другому серверу, кэширующий сервер обрабатывает все поступившие запросы сам зона ограничение доступ сохраняет результаты в кэше. Другие серверы могут использовать этот сервер как перенаправляющий, используя результаты выполненной им работы.Чтобы сконфигурировать кэширующий сервер имен, просто не указывайте в файле named.conf никакие операторы zone, кроме тех, что необходимы для работы самого сервера. Такая конфигурация представлена в листинге 30.5.Листинг 30.5. Пример файла /etc/namedb/named.conf/** Пример конфигурации системы BIND 8*/logging { category lame-servers { null; };category cname { null; };};options {directory "/etc/namedb";};zone "." {type hint;file "named.boot";};zone "0.0.127.in-addr.arpa" in {type master;file "localhost.rev";};zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.INT"{type master;file "localhost.rev";};Поскольку кэширующий сервер имен является просто "урезанном вариантом" полнофункционального сервера имен, со временем можно расширить функциональные возможности сервера, добавляя дополнительные зоны. Между этими двумя "режимами" нет принципиальных отличий.Конфигурация службы DNS будет изменяться со временем при развитии сети. Конфигурацию придется изменять при каждом добавлении нового хоста к сети или изменении имени хоста, зона ограничение доступ также при каждом добавлении или удалении авторитетного сервера имен для зоны. Имеет смысл потренироваться в администрировании службы DNS, чтобы в дальнейшем подобные задачи не представляли трудности. ПОИСК ПО САЙТУ Найти ДРУЗЬЯИНФОРМАЦИЯПо всем вопросам зона ограничение доступ предложениям пишите на admin@comp-info.ruCopyrightRUBSD.RU © 2006-2007разделы
доставка
штанга насосный
дэнас
выписка егрп
архыз
иностранный долг
вызов водитель
двухтарифные электросчетчик
кулер винчестер
промальп
telecomfm gsmphone
доломит
подготовка ielts
химчистка доставка
предохранитель пкт
дренаж
перевод итальянский
светодиодный экран
изготовление пленка
структурный штукатурка
кулер тихий
холодильник либхер
кс-4361а
контейнерный автозаправка
штендеры
силикон
облицовка электрокамин
гостинницы санкт-питербурга
выборочный лак
сушильный машина electrolux
срочный перевод
флагшток внутренний использование
чувствительный кожа
dunlup 205 55 r16
сварочный пост
пленка пэ
ziplock
укв радиосвязь
шарошка алмазный
кс-4361
гайковерт электрический
время архангельск
пежо
луковичный цвет
компания доминике
гидрант
красный площадь васильевский спуск
клеить нанесение
lucent definity
renu multiplus 355мл
вкус цвет
нард онлайн
штанга насосный
профессиональный психолог
услуга кострома
купить минимойку
ленинградский вокзал билет
корвет-телеком
информационный валаам
скс
помещение шиномонтаж
выставочный витрина
шелкография
шампанский заказ
магнитный доска
5440.16 (крышка)
морозильный ларь
автоматический резка
оформление свадеб
вскрытие авто
жаростойкий краска
купить минимойку
certification microsoft
гуп ритуал
подготовка ielts
нужен фотограф
краска ржавчина
обогащение кислородом
герб рф
fag
рак пищевод
иномарка
стимулирующий лотерея
braas
фмс
электрокардиограф
li-da
nokia 3230 купить
купить пк
переводческий бюро
вагонка половой доска
договор суррогатный мать
электроинструмент метабо
ubiquam
классический аэробика
нард скачать
проведение анкетирование
роль ставень
сухой мороженый
близорукость
подбор эмаль
утюг
кулер процессор
корпаративные вечеринка
консультирование организация
кострома коммерческий
электропечь dimplex model lee rc
dunlup 205 55 r16
эдас-934 аденома предст.ж-зы
телематические служба
флеш презентация
бахила полиэтиленовый
thuraya
внешний антенна
покрышка бриджстоун
прайс сушильный машина
доставка алкогольный
куллер 478
мэш
гравировальный бур
предохранитель пкн
кулер 754
программа шифрование
холодильник либхер
нард скачать бесплатный
datamax
купить нипель
штангенциркуль
вызов врач
электрокамин dimplex model plasma (sp9)
прибор крыса
аденома
рассылка
фосфорный краска
тренировка память
слим лифт
время ярославль
протеин
купить nokia 8910
эрозия шейка матка
надпись кружок
sharp ar-m205
видеосъемка торжество
купить ниппель перех
бесплатный нард
факультет психология
колодец канализационный пластиковый
карл гиря
peg perego venezia
купить букмекерский линия
генерация кислорода
купить блендер
нейминг
светлогорск
экг сервис
экг 4у
букмекерский контора фаворит
учет данный автошкола
катушка контактор
узи сделать
куллер
snr
крот dr
стенд
аппарат фигурный нарезка тест
время иваново
электросчетчик гамма
зона ограничение доступ