dns-howto[at]langfeldt.net), Jamie Norrish �s m�sokKulcsszavak: DNS, BIND, BIND 4, BIND 8, BIND 9, named, dialup, PPP, slip, ISDN, Internet, domain, name, resolution, hosts, caching.
Ez a dokumentum a Linux Dokument�ci�s Projekt r�sze.
(C)opyright 1995-2001 Nicolai Langfeldt, Jamie Norrish & Co. Ne v�ltoztasd a szerz�i jogi r�sz helyesb�t�se n�lk�l, terjeszd szabadon, de tartsd meg a szerz�i jogi megjegyz�st.
Meg szeretn�m k�sz�nni mindenkinek, akit zavartam e HOGYAN olvas�s�val (�k tudj�k), �s az �sszes olvas�nak, akik javaslataikat �s megjegyz�seiket elk�ldt�k lev�lben.
Ez soha nem lesz egy v�gleges dokumentum; k�rlek, k�ldj egy levelet probl�m�idr�l �s sikereidr�l. Ezzel jobb� teheted ezt a HOGYANt. K�rlek, a megjegyz�seidet �s/vagy k�rd�seidet vagy a p�nzt k�ldd a [email protected] <[email protected]> c�mre. Vagy vedd meg a DNS k�nyvemet (a c�me "The Concise Guide to DNS and BIND", az irodalomjegyz�kben megtal�lhat�k az ISBN sz�mok). Ha levelet k�ldesz, �s szeretn�l v�laszt r�, k�rlek, mutass egy kis udvariass�got azzal, hogy megbizonyosodsz r�la, hogy a v�laszc�m helyes �s m�k�dik. K�rlek, olvasd el a K�rd�sek �s v�laszok fejezetet, miel�tt �rsz nekem. Egy m�sik dolog, hogy csak norv�g�l �s angolul �rtek.
Ez egy HOGYAN. 1995 �ta tartottam karban, az LDP r�szek�nt. 2000 folyam�n meg�rtam egy k�nyvet hasonl� t�rggyal. Szeretn�m elmondani, hogy b�r ez a HOGYAN sok tekintetben olyan, mint egy k�nyv, ez nem a letiszt�zott, piacra k�sz�tett k�nyvv�ltozat. Ezen HOGYAN olvas�i seg�tettek annak felismer�s�ben, hogy mi az, amit neh�z meg�rteni a DNS-r�l. Ez seg�tett a k�nyv meg�r�s�ban, de a k�nyv szint�n seg�tett t�bbet gondolkodnom azon, hogy ennek a HOGYANnak mire van sz�ks�ge. A HOGYAN hozta l�tre a k�nyvet. A k�nyv hozta l�tre e HOGYAN 3-as v�ltozat�t. K�sz�netem a k�nyvkiad�nak, Que-nak, aki adott egy es�lyt :-)
Aj�nlom ezt a HOGYANt Anne Line Norheim Langfeldt-nek. B�r � val�sz�n�leg soha sem fogja elolvasni, mert nem az a fajta l�ny.
Eme HOGYAN friss�tett v�ltozatait megtal�lhatod a http://langfeldt.net/DNS-HOWTO/ �s a http://www.tldp.org/ oldalon is. Olvasd el azokat is, ha ez a dokumentum 9 h�napn�l �regebb.
A magyar ford�t�st F�ri Zolt�n k�sz�tette (2003.05.06). A lektor�l�st Sz�jj�rt� L�szl� v�gezte el (2003.07.01). B�rmilyen ford�t�ssal kapcsolatos �szrev�telt a [email protected] c�mre k�ldjetek. Eme dokumentum legfrissebb v�ltozata megtal�lhat� a Magyar Linux Dokument�ci�s Projekt honlapj�n.
Mi ez, �s mi nem
A DNS a Domain Name Server (Domain N�v Szerver). A DNS �talak�tja a g�pneveket IP c�mekk�, amellyel minden h�l�zati g�p rendelkezik. A nevet c�mm�, �s a c�met n�vv� ford�tja (vagy "mappeli", ahogy a zsargon h�vja), �s m�g egy�b feladatokat is ell�t. Ez a HOGYAN azt dokument�lja, hogyan defini�ljunk ilyen megfeleltet�seket Unix rendszer haszn�lat�val, p�r Linux-specifikus dologgal egy�tt.
A mappel�s egy egyszer� megfeleltet�s k�t dolog k�z�tt, ez esetben egy
g�pn�v, p�ld�ul /ftp.linux.org/, �s a g�p IP sz�ma (vagy c�me), 199.249.150.4 k�z�tt.
A DNS szint�gy tartalmazza a m�sik ir�ny� megfeleltet�st is
IP sz�mb�l g�pn�vv�; ennek neve "ford�tott megfeleltet�s" (reverse mapping).
A DNS, a beavatatlanok sz�m�ra (ez vagy te ;-), a h�l�zati adminisztr�ci� egyik legk�d�sebb ter�lete. Szerencs�re a DNS val�j�ban nem ilyen neh�z. Ez a HOGYAN megpr�b�l egy p�r dolgot vil�gosabb� tenni. Le�rja egy egyszer� DNS n�vszerver fel�ll�t�s�t, kezdve egy csak gyors�t�t�ras szerverrel, �s folytatva egy tartom�ny sz�m�ra egy els�dleges DNS szerver fel�ll�t�s�val. Bonyolultabb be�ll�t�sokhoz �tn�zheted ezen dokumentum K�rd�sek �s v�laszok fejezet�t. Ha az nincs le�rva ott, el kell olvasnod a Val�di Dokument�ci�t. Az utols� fejezetben visszat�rek r�, mit is tartalmaz ez a Val�di Dokument�ci�.
Miel�tt belekezdesz, be kell �ll�tanod a g�pedet, hogy be tudj r�, �s ki
tudj r�la telnetelni, �s siker�lj�n mindenf�le h�l�zati kapcsolatokat
l�trehozni, valamint k�l�n�sen fontos, hogy k�pes legy�l a telnet 127.0.0.1
parancsot kiadni, �s a saj�t g�pedet el�rni (pr�b�ld ki most!).
Kiindul�sk�nt sz�ks�ged lesz m�g j�, m�k�d� /etc/nsswitch.conf/,
/etc/resolv.conf/ �s /etc/hosts/ �llom�nyokra is, b�r funkci�jukat nem
fogom itt elmagyar�zni. Ha m�g nincs mindez be�ll�tva �s nem m�k�dik, a
Networking-HOWTO (H�l�zatok-HOGYAN) �s/vagy a Networking-Overview-HOWTO
(H�l�zatok-�ttekint�s-HOGYAN) elmagyar�zza,
hogyan kell ezeket be�ll�tani. Olvasd el �ket.
Amikor azt mondom "a te g�ped", arra a g�pre gondolok, amelyiken a DNS-t pr�b�lod be�ll�tani, �s nem ak�rmelyik m�sik g�pet, amely a h�l�zati k�rnyezetedben megtal�lhat�.
Felt�telezem, hogy nem vagy olyan t�zfal m�g�tt, amely blokkolja a n�vlek�rdez�seket. Ha m�gis, k�l�nleges be�ll�t�sokra lesz sz�ks�ged - l�sd a K�rd�sek �s v�laszok fejezetet.
A n�vszolg�ltat�st UNIX alatt a named program v�gzi. Ez r�sze a "BIND"
csomagnak, mely fejleszt�s�t a The Internet Software Consortium koordin�lja. A
named programot tartalmazza a legt�bb Linux disztrib�ci�, �s �ltal�ban
/usr/sbin/named programk�nt van telep�tve, a csomag k�sz�t�j�nek
h�bortj�t�l f�gg� kis- vagy nagybet�s BIND csomagb�l.
Ha van egy named programod, val�sz�n�leg haszn�lhatod; ha nincs,
beszerezhetsz egyet a Linux ftp oldalr�l, vagy let�ltheted a legutols�
�s legnagyszer�bb forr�sk�dot az
ftp://ftp.isc.org/isc/bind9/ webhelyr�l.
Ez a HOGYAN a 9-es verzi�j� BIND-r�l sz�l. A HOGYAN r�gebbi v�ltozatai, a
4-es �s 8-as verzi�j� BIND-r�l, m�g mindig el�rhet�k a
http://langfeldt.net/DNS-HOWTO/ honlapon, abban az esetben, ha 4-es vagy
8-as verzi�j� BIND-et haszn�lsz (mell�kesen, ezt a HOGYANt is
megtal�lhatod ott). Ha a named k�zik�nyv oldala (man page) a named.conf �llom�nyr�l besz�l (a
legeslegv�g�n, a FILES (�LLOM�NYOK) fejezetben), 8-as BIND-ed van; ha
named.boot �llom�nyr�l van sz�, 4-es BIND-ed van. Ha 4-esed van, �s tudatosan
a biztons�gra t�rekszel, t�nyleg friss�tened kell a 8-as BIND
legfrissebb v�ltozat�ra. Most.
A DNS egy h�l�zati szint� adatb�zis. Vigy�zz, mit raksz bele. Ha szemetet raksz bele, te �s m�sok is szemetet fognak kinyerni bel�le. Tartsd DNS-ed rendben �s konzisztensen, �s egy j� szolg�ltat�st fogsz kapni. Tanuld meg haszn�lni, adminisztr�lni, megkeresni hib�it, �s egy �jabb j� rendszergazda leszel, aki megv�di a h�l�zatot att�l, hogy "megfek�dj�n" a f�lremenedzsel�s miatt.
Tipp: K�sz�ts biztons�gi m�solatot az �sszes �llom�nyr�l, amelynek megv�ltoztat�s�ra utas�talak, ha m�r megvannak, �gy ha esetleg semmi sem m�k�dik, visszajuthatsz a r�gi, m�k�d� �llapotba.
Ezt a fejezetet Joost van Baal �rta.
K�l�nb�z� csomagok l�teznek DNS szerver telep�t�shez a g�pedre. Van a BIND csomag ( http://www.isc.org/products/BIND/); a megval�s�t�s, amir�l ez a HOGYAN sz�l. Ez a legn�pszer�bb n�vszerver mindenfel�, �s szerte az Interneten a n�vszolg�ltat� g�peinek d�nt� t�bbs�g�n ezt haszn�lj�k, �s az 1980-as �vek �ta fejlesztik. A BSD licenc felt�telei szerint haszn�lhat�. Mivel ez a legn�pszer�bb programcsomag, egy csom� dokument�ci� �s tud�sanyag tal�lhat� a BIND-r�l mindenfel�. Azonban biztons�gi probl�m�k voltak vele.
Azt�n van a djbdns ( http://djbdns.org/), egy viszonylag �j DNS csomag, amelyet Daniel J. Bernstein k�sz�tett, aki a qmail programot is �rta. Ez egy nagyon modul�ris k�szlet: k�l�nb�z� kis programok gondoskodnak a k�l�nb�z� feladatokr�l, amit egy n�vszervernek kezelnie kell. A biztons�g szempontj�nak figyelembe v�tel�vel tervezt�k. Egy egyszer�bb z�na-�llom�ny form�tumot haszn�l, �s �ltal�noss�gban egyszer�bb be�ll�tani. Azonban, mivel kev�sb� ismert, a helyi guru nem biztos, hogy seg�thet vele kapcsolatban. Sajnos ez a szoftver nem ny�lt forr�sk�d�. A szerz� hirdet�se a http://cr.yp.to/djbdns/ad.html honlapon tal�lhat�.
Hogy DJB szoftvere t�nyleg fejl�d�s-e a r�gi alternat�v�kkal szemben, sok vita t�rgy�t k�pezi. Az ISC csapata otthont ad egy besz�lget�snek (vagy ink�bb any�z�snak?) a BIND kontra djbdns-r�l a http://www.isc.org/ml-archives/bind-users/2000/08/msg01075.html honlapon.
Az els� ugr�s a DNS be�ll�t�shoz. Nagyon hasznos bet�rcs�z�s, k�bel-modemes, ADSL �s hasonl� felhaszn�l�k sz�m�ra.
A Red Hat �s a Red Hat-hoz kapcsol�d� disztrib�ci�k eset�n ezen HOGYAN
els� fejezet�hez hasonl� gyakorlati eredm�ny �rhet� el a bind,
bind-utils �s caching-nameserver csomagok telep�t�s�vel. Ha Debiant
haszn�lsz, egyszer�en csak telep�tsd a bind (vagy a bind9 csomagot, mivel
jelenleg a BIND 9-est nem t�mogatja a Debian Stable (potato)) �s a
bind-doc csomagot. Persze csak ezen csomagok telep�t�s�vel nem tanulsz annyit,
mint e HOGYAN olvas�s�val. Sz�val telep�tsd a csomagokat, azut�n
olvass tov�bb, �s ellen�rizd az �ltaluk telep�tett �llom�nyokat.
A gyors�t�t�ras n�vszerver megtal�lja a v�laszt a n�vlek�rdez�sekre, �s megjegyzi a v�laszt a legk�zelebbi alkalomig, amikor sz�ks�ged lesz r�. Ez jelent�sen le fogja r�vid�teni a v�rakoz�si id�t a k�vetkez� alkalommal, k�l�n�sen ha lass� a kapcsolatod.
El�sz�r sz�ks�ged lesz egy /etc/named.conf nev� �llom�nyra (Debianban:
/etc/bind/named.conf). Ez bet�lt�dik amikor a named elindul. Egyel�re
csak ezt kell tartalmaznia:
// Konfigur�ci�s �llom�ny kiz�r�lag gyors�t�t�ras n�vszerver sz�m�ra
//
// A HOGYAN ezen v�ltozata tartalmazhat a sor elej�n sz�k�z�ket
// tartalmaz� sorokat ebben �s m�s �llom�nyokban. El kell t�vol�tanod
// a sz�k�z�ket, hogy bizonyos dolgok m�k�djenek.
//
// Figyelem, az �llom�nynevek �s a k�nyvt�rak nevei k�l�nb�zhetnek, �m
// a l�nyegi tartalmuknak hasonl�nak kell lenni�k.
options {
directory "/var/named";
// E sor enged�lyez�se seg�thet, ha t�zfalon kereszt�l kell
// �tmenned, �s a dolog nem m�k�dik. De val�sz�n�leg besz�lned
// kell a t�zfal adminisztr�tor�val.
// query-source port 53;
};
controls {
inet 127.0.0.1 allow { localhost; } keys { rndc_key; };
};
key "rndc_key" {
algorithm hmac-md5;
secret "c3Ryb25nIGVub3VnaCBmb3IgYSBtYW4gYnV0IG1hZGUgZm9yIGEgd29tYW4K";
};
zone "." {
type hint;
file "root.hints";
};
zone "0.0.127.in-addr.arpa" {
type master;
file "pz/127.0.0";
};
A Linux disztrib�ci�s csomagok elt�r� �llom�nyneveket haszn�lhatnak minden egyes, itt eml�tett �llom�nyt�pusra; azonban k�zel ugyanazt fogj�k tartalmazni.
A "directory" sor megmondja a named programnak, hol keresse az �llom�nyokat.
Minden ezut�n megnevezett �llom�ny ehhez lesz viszony�tva. Teh�t a pz
egy k�nyvt�r a /var/named alatt, azaz megegyezik a /var/named/pz k�nyvt�rral. A
/var/named a helyes k�nyvt�r, a Linux F�jlrendszer Szabv�ny alapj�n.
A /var/named/root.hints �llom�ny is megeml�t�dik benne. A
/var/named/root.hints �llom�nynak ezt kell tartalmaznia:
; ; Nyit� megjegyz�sek lehetnek itt, ha m�r megvan ez az �llom�nyod. ; Ha nem, ne agg�dj. ; ; A kezd� sz�k�z�kr�l a sorok elej�n: t�vol�tsd el �ket! ; A sornak egy ;-vel, .-tal vagy bet�vel kell kezd�dni�k, nem sz�k�zzel. ; . 6D IN NS A.ROOT-SERVERS.NET. . 6D IN NS B.ROOT-SERVERS.NET. . 6D IN NS C.ROOT-SERVERS.NET. . 6D IN NS D.ROOT-SERVERS.NET. . 6D IN NS E.ROOT-SERVERS.NET. . 6D IN NS F.ROOT-SERVERS.NET. . 6D IN NS G.ROOT-SERVERS.NET. . 6D IN NS H.ROOT-SERVERS.NET. . 6D IN NS I.ROOT-SERVERS.NET. . 6D IN NS J.ROOT-SERVERS.NET. . 6D IN NS K.ROOT-SERVERS.NET. . 6D IN NS L.ROOT-SERVERS.NET. . 6D IN NS M.ROOT-SERVERS.NET. A.ROOT-SERVERS.NET. 6D IN A 198.41.0.4 B.ROOT-SERVERS.NET. 6D IN A 128.9.0.107 C.ROOT-SERVERS.NET. 6D IN A 192.33.4.12 D.ROOT-SERVERS.NET. 6D IN A 128.8.10.90 E.ROOT-SERVERS.NET. 6D IN A 192.203.230.10 F.ROOT-SERVERS.NET. 6D IN A 192.5.5.241 G.ROOT-SERVERS.NET. 6D IN A 192.112.36.4 H.ROOT-SERVERS.NET. 6D IN A 128.63.2.53 I.ROOT-SERVERS.NET. 6D IN A 192.36.148.17 J.ROOT-SERVERS.NET. 6D IN A 198.41.0.10 K.ROOT-SERVERS.NET. 6D IN A 193.0.14.129 L.ROOT-SERVERS.NET. 6D IN A 198.32.64.12 M.ROOT-SERVERS.NET. 6D IN A 202.12.27.33
Ez az �llom�ny �rja le a f� n�vszervereket a vil�gban. A szerverek id�r�l id�re v�ltoznak, �s friss�teni kell �ket most �s k�s�bb is. A Karbantart�s fejezetben olvashatsz ezek naprak�szen tart�s�r�l.
A k�vetkez� r�sz a named.conf �llom�nyban a zone (z�na). Haszn�lat�t
egy k�s�bbi fejezetben fogom elmagyar�zni; most csak nevezz�k el ezt az
�llom�nyt 127.0.0-nak a pz alk�nyvt�rban. (�jfent, k�rlek t�vol�tsd el
a sor eleji sz�k�z�ket, ha kiv�god �s beilleszted ezt.)
$TTL 3D
@ IN SOA ns.linux.bogus. hostmaster.linux.bogus. (
1 ; Serial
8H ; Refresh
2H ; Retry
4W ; Expire
1D) ; Minimum TTL
NS ns.linux.bogus.
1 PTR localhost.
A key �s a control r�szek azt hat�rozz�k meg, hogy a named programod
t�volr�l ir�ny�that� az rndc programmal ha egy helyi �llom�sr�l
kapcsol�dik, ekkor egy k�dolt titkos kulccsal azonos�tja mag�t. Ez a kulcs
olyan, mint egy jelsz�. Az rndc m�k�d�s�hez az /etc/rndc.conf �llom�nynak meg
kell egyeznie ezzel:
key rndc_key {
algorithm "hmac-md5";
secret "c3Ryb25nIGVub3VnaCBmb3IgYSBtYW4gYnV0IG1hZGUgZm9yIGEgd29tYW4K";
};
options {
default-server localhost;
default-key rndc_key;
};
Amint l�tod, a secret bejegyz�sek megegyeznek. Ha az rndc programot egy m�sik g�pr�l
szeretn�d haszn�lni, a k�t g�p egym�shoz viszony�tott rendszeridej�nek 5 percen bel�l kell
lennie. Ehhez aj�nlom az ntp (xntpd �s ntpdate) szoftvert.
�s most, sz�ks�ged lesz egy ehhez hasonl� /etc/resolv.conf �llom�nyra: (�jfent:
T�vol�tsd el a sz�k�z�ket!)
search altartom�ny.a-te-tartom�nyod.edu a-te-tartom�nyod.edu nameserver 127.0.0.1
A "search" sor hat�rozza meg, milyen tartom�nyban t�rt�njen a keres�s az
�llom�sok ut�n, amelyekhez kapcsol�dni akarsz. A "nameserver" sor
hat�rozza meg a n�vszervered c�m�t, ebben az esetben a saj�t g�pedet,
mert ez az, ahol a named programod fut (a 127.0.0.1 c�m helyes, nem sz�m�t, ha
a g�pednek van egy m�sik c�me is). Ha t�bb n�vszervert akarsz
felsorolni, rakd mindegyiket egy-egy "nameserver" sorba. (Megjegyz�s: A
named soha nem olvassa el ezt az �llom�nyt, a named programot haszn�l� felold�
teszi ezt. Megjegyz�s 2: N�h�ny resolv.conf �llom�nyban a
"domain" sort tal�lod. Ez helyes, de ne haszn�ld a "search" �s a
"domain" kulcssz�t is egyszerre, csak az egyik�k fog m�k�dni.)
Annak bemutat�s�ra, hogy ez az �llom�ny mit csin�l: Ha az �gyf�l
megpr�b�lja kikeresni a foo-t, akkor a
foo.altartom�ny.a-te-tartom�nyod.edu-t pr�b�lja el�sz�r, majd a
foo.a-te-tartom�nyod.edu-t, �s v�g�l a foo-t. Ne akarj t�l sok
tartom�nyt rakni a keres�sorba, mivel mindet v�gigkeresni id�t vesz ig�nybe.
A p�lda felt�telezi, hogy az altartom�ny.a-te-tartom�nyod.edu tartom�nyba
tartozol. A keres�sornak nem szabad tartalmaznia a legfels�
tartom�nyodat (TLD - Top Level Domain), ebben az esetben az "edu"-t. Ha
gyakran kell kapcsol�dnod m�sik tartom�nyban lev� �llom�sokhoz,
hozz�adhatod azt a tartom�nyt a keres�sorhoz, �gy: (Ne felejtsd el
elt�vol�tani a sz�k�z�ket a sor elej�n, ha vannak)
search altartom�ny.a-te-tartom�nyod.edu a-te-tartom�nyod.edu m�sik-tartom�ny.com
�s �gy tov�bb. Nyilv�nval�an val�di tartom�nyneveket kell helyett�k beraknod. K�rlek figyeld meg a tartom�nynevek v�g�n a pontok hi�ny�t. Ez fontos!
Mindezek ut�n itt az id� a named ind�t�s�ra. Ha bet�rcs�z�s kapcsolatot
haszn�lsz, el�sz�r csatlakozz. Most ind�tsd a named-et, vagy a boot
szkript futtat�s�val: /etc/init.d/named start, vagy a named-et
k�zvetlen�l: /usr/sbin/named. Ha kipr�b�ltad a BIND el�z� verzi�it,
val�sz�n�leg az ndc-t haszn�ltad. A BIND 9-ben ezt az rndc program v�ltotta fel,
ami t�volr�l vez�relheti a named-et, de m�r nem tudja a named-et
ind�tani. Ha megn�zed a rendszer�zenetek napl��llom�ny�t (�ltal�ban
/var/log/messages, a Debianban /var/log/daemon, meg lehet m�g keresni a
/var/log egy m�sik �llom�ny�ban is), mialatt ind�tod a named-et (ezt a
tail -f /var/log/messages-el teheted meg), valami ilyesmit kell l�tnod:
(a \-el v�gz�d� sorok a k�vetkez� sorban folytat�dnak)
Dec 23 02:21:12 lookfar named[11031]: starting BIND 9.1.3
Dec 23 02:21:12 lookfar named[11031]: using 1 CPU
Dec 23 02:21:12 lookfar named[11034]: loading configuration from \
'/etc/named.conf'
Dec 23 02:21:12 lookfar named[11034]: the default for the \
'auth-nxdomain' option is now 'no'
Dec 23 02:21:12 lookfar named[11034]: no IPv6 interfaces found
Dec 23 02:21:12 lookfar named[11034]: listening on IPv4 interface lo, \
127.0.0.1#53
Dec 23 02:21:12 lookfar named[11034]: listening on IPv4 interface eth0, \
10.0.0.129#53
Dec 23 02:21:12 lookfar named[11034]: command channel listening on \
127.0.0.1#953
Dec 23 02:21:13 lookfar named[11034]: running
Ha b�rmilyen hiba�zenet megjelenik, akkor ott hiba van. A named megnevezi az �llom�nyt, amit �pp olvas. Menj vissza, �s ellen�rizd le az �llom�nyt. Ind�tsd �jb�l a named-et, ha megjav�tottad.
Most letesztelheted a be�ll�t�sodat. Hagyom�nyosan az nslookup
haszn�latos erre. Napjainkban azonban m�r a dig aj�nlott:
$ dig -x 127.0.0.1
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26669
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;1.0.0.127.in-addr.arpa. IN PTR
;; ANSWER SECTION:
1.0.0.127.in-addr.arpa. 259200 IN PTR localhost.
;; AUTHORITY SECTION:
0.0.127.in-addr.arpa. 259200 IN NS ns.linux.bogus.
;; Query time: 3 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 02:26:17 2001
;; MSG SIZE rcvd: 91
Ha ilyen �zeneteket kapt�l, akkor m�k�dik. Rem�lj�k. Ha b�rmi teljesen elt�r�t kapsz,
menj vissza, �s ellen�rizz le mindent. Minden alkalommal, amikor
megv�ltoztatsz egy �llom�nyt, futtasd az rndc reload parancsot.
Most m�r beadhatsz egy lek�rdez�st. Pr�b�lj meg valami hozz�d k�zeli
g�pet. A pat.uio.no k�zel van hozz�m, az Osl�i Egyetemen:
$ dig pat.uio.no
; <<>> DiG 9.1.3 <<>> pat.uio.no
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15574
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 0
;; QUESTION SECTION:
;pat.uio.no. IN A
;; ANSWER SECTION:
pat.uio.no. 86400 IN A 129.240.130.16
;; AUTHORITY SECTION:
uio.no. 86400 IN NS nissen.uio.no.
uio.no. 86400 IN NS nn.uninett.no.
uio.no. 86400 IN NS ifi.uio.no.
;; Query time: 651 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 02:28:35 2001
;; MSG SIZE rcvd: 108
Ez�ttal a dig megk�rte a named-et, hogy keresse meg a pat.uio.no
g�pet. Az pedig kapcsol�dott a root.hints �llom�nyodban lev�
egyik n�vszerver g�phez, �s lek�rdezte az �tvonal�t onnan. Eltarthat egy
r�pke pillanatig, m�g megkapod az eredm�nyt, mivel v�gig kell keresnie
az �sszes tartom�nyt, amit a /etc/resolv.conf-ban megnevezt�l.
Ha m�g egyszer lek�rdezed ugyanazt, ezt kapod:
$ dig pat.uio.no
; <<>> DiG 8.2 <<>> pat.uio.no
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3
;; QUERY SECTION:
;; pat.uio.no, type = A, class = IN
;; ANSWER SECTION:
pat.uio.no. 23h59m58s IN A 129.240.130.16
;; AUTHORITY SECTION:
UIO.NO. 23h59m58s IN NS nissen.UIO.NO.
UIO.NO. 23h59m58s IN NS ifi.UIO.NO.
UIO.NO. 23h59m58s IN NS nn.uninett.NO.
;; ADDITIONAL SECTION:
nissen.UIO.NO. 23h59m58s IN A 129.240.2.3
ifi.UIO.NO. 1d23h59m58s IN A 129.240.64.2
nn.uninett.NO. 1d23h59m58s IN A 158.38.0.181
;; Total query time: 4 msec
;; FROM: lookfar to SERVER: default -- 127.0.0.1
;; WHEN: Sat Dec 16 00:23:09 2000
;; MSG SIZE sent: 28 rcvd: 162
Ahogy azt nyilv�nval�an l�thatod, ez�ttal ez sokkal gyorsabb volt, 4 ms a kor�bbi t�bb, mint f�l m�sodperccel ellent�tben. A v�lasz benne volt a gyors�t�t�rban. A gyors�t�t�rban l�v� eredm�nyekn�l es�ly van arra, hogy m�r elavult, de az eredeti szerverek befoly�solhatj�k azt az id�t, am�g a let�rolt v�laszok �rv�nyesk�nt lesznek nyilv�ntartva. V�g�l is nagy a val�sz�n�s�g arra, hogy a kapott v�lasz �rv�nyes.
Minden oper�ci�s rendszer, ami a C API szabv�nyt alkalmazza, rendelkezik
a gethostbyname �s a gethostbyaddr h�v�sokkal. Ezek k�l�nb�z�
forr�sokb�l szerezhetik be az inform�ci�t. Hogy melyik forr�sb�l szerzik
ezt be, az Linux (�s egyes Unix) rendszereken az /etc/nsswitch.conf �llom�nyban van
be�ll�tva. Ez egy hossz� �llom�ny, amely megadja mely �llom�nyokb�l
vagy adatb�zisokb�l szerezhet�k be k�l�nb�z� adatt�pusok. �ltal�ban
hasznos megjegyz�seket tartalmaz a fejl�c�ben, melyeket k�r�ltekint�en
olvass el. Ezut�n keresd meg a "hosts:" kulcssz�val kezd�d� sort; �gy kell kin�znie:
hosts: files dns
(Eml�kszel m�g a sz�k�z�kre a sor elej�n? Nem akarom �jra megeml�teni.)
Ha nincs "hosts:" kulcssz�val kezd�d� sor, sz�rd be a fentieket. Ezek a sorok azt jelentik,
hogy a programoknak el�sz�r a /etc/hosts �llom�nyban kell keresni�k,
majd leellen�rzik a DNS-t a resolv.conf �llom�ny alapj�n.
Most m�r tudod, hogyan kell be�ll�tani a gyors�t�t�ras named-et. Bonts egy s�rt, tejet, vagy b�rmit, amivel �nnepelni szeretsz.
Nagy, j�l szervezett, egyetemi vagy Internet szolg�ltat�i (ISP)
h�l�zatokban n�ha megfigyelheted, hogy a h�l�zati szakemberek a DNS
szerverek tov�bb�t�i hierarchi�j�t hozt�k l�tre, ami seg�t a
bels� h�l�zati terhel�s cs�kkent�s�ben, �s a k�ls� szerverek�n �gyszint�n.
Nem k�nny� megtudni, hogy egy ilyen h�l�zatban vagy-e. De ha a
h�l�zati szolg�ltat�d DNS szerver�t "tov�bb�t�k�nt" haszn�lod, a
lek�rdez�sekre adott reakci�kat gyorsabb� teheted, �s cs�kkentheted a
forgalmat a h�l�zatodon. Ez a te n�vszervered lek�rdez�seinek az ISP
n�vszervere fel� t�rt�n� tov�bb�t�s�val m�k�dik. Minden egyes
alkalommal, amikor ilyen t�rt�nik, az ISP n�vszerver�nek nagy
gyors�t�t�r�ba ny�lsz bele, �gy felgyors�tva a lek�rdez�seket,
n�vszerverednek pedig nem kell mindent mag�nak v�geznie. Ha modemet haszn�lsz
ez nagy el�ny lehet. A p�lda kedv��rt t�telezz�k fel, hogy a h�l�zati
szolg�ltat�dnak k�t n�vszervere van amiket haszn�lni akarsz, 10.0.0.1 �s
10.1.0.1 IP c�mekkel. Ebben az esetben a named.conf �llom�nyodba, az
"options" kulcssz�val kezd�d� r�szbe sz�rd be ezeket a sorokat:
forward first;
forwarders {
10.0.0.1;
10.1.0.1;
};
Van m�g egy sz�p tr�kk a tov�bb�t�kat haszn�l� bet�rcs�z�s g�pek sz�m�ra, amely a K�rd�sek �s v�laszok fejezetben van le�rva.
Ind�tsd �jra a n�vszerveredet, �s teszteld a dig-el. M�g mindig rendben
kell m�k�dnie.
Hogyan kell fel�ll�tani a saj�t tartom�nyodat?
Mindenekel�tt: elolvastad az �sszes cuccot ez el�tt, ugye? Erre sz�ks�g van.
Miel�tt t�nyleg elkezdj�k ezt a fejezetet, k�zz�teszek egy kis
elm�letet, �s egy p�ld�t, hogyan m�k�dik a DNS. �s te el fogod olvasni,
mert az j� neked. Ha nem akarod, legal�bb fusd �t nagyon gyorsan. Fejezd
be a fut�st, ha oda �rsz, hogy minek kell a named.conf �llom�nyodba
ker�lnie.
A DNS egy hierarchikus, fa strukt�r�j� rendszer. A tetej�t "."-nak �rj�k
�s "gy�k�r"-nek (root) ejtik, ahogy az megszokott a fa-t�pus�
adatstrukt�r�kn�l. A . alatt sz�mos legfels�bb szint� tartom�ny (TLD -
Top Level Domain) van; a legismertebbek az ORG, COM, EDU �s a NET, de
m�g sok m�s is van. �pp�gy mint a f�nak, ennek is van gy�kere �s
el�gazik. Ha van egy kis sz�m�t�stechnikai h�ttered, a DNS-t, mint egy
keres�f�t azonos�thatod, �s megtal�lhatod a csom�pontokat, az �gakat �s
a cs�csokat. A pontok a csom�pontok, a cs�csok a neveken vannak.
Egy g�p keres�sekor a lek�rdez�s rekurz�v m�don halad a hierarchi�ban, a
gy�k�rt�l kiindulva. Ha a prep.ai.mit.edu c�m�t akarod megtal�lni, a
n�vszerverednek el kell kezdenie valahol. A gyors�t�t�rban val�
keres�ssel kezdi. Ha ebben megvan a v�lasz mert kor�bban elt�rolta,
azonnal v�laszolni fog, ahogy ezt a legut�bbi fejezetben l�ttuk. Ha nem
tudja, megn�zi milyen k�zeli v�laszt tud adni a keresett n�vhez, �s
felhaszn�l b�rmilyen inform�ci�t, amit m�r elt�rolt. A legrosszabb
esetben nincs m�s tal�lata, csak a n�v "."-ja (gy�kere), �s a
f�szerverekhez kell fordulni. El fogja t�vol�tani a baloldali r�szeket,
egyenk�nt ellen�rizve, hogy tud-e valamit az ai.mit.edu. tartom�nyr�l, ut�na a
mit.edu.-r�l, ut�na az edu.-r�l, �s ha nem, ut�na a .-r�l, mert ez volt
a hints �llom�nyban. Ezut�n megk�rdezi a . szervert a
prep.ai.mit.edu tartom�nyr�l. Ez a . szerver nem fogja tudni a v�laszt, de
seg�teni fog a szerverednek a saj�t m�dj�n egy hivatkoz�s megad�s�val,
amellyel megmondja, hol keressen ink�bb. Ezek a hivatkoz�sok a
szerveredet v�g�l ahhoz a n�vszerverhez vezetik, amelyik tudja a
v�laszt. Most ezt fogom bemutatni. A +norec azt jelenti, hogy a dig egy
nem-rekurz�v lek�rdez�st v�gez, �gy a rekurzi�t magunknak kell elv�gezn�nk.
A t�bbi opci� a dig folyamat cs�kkent�s�re vannak, �gy ez nem fog t�bb
oldalon �t futni:
$ ;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 980
;; flags: qr ra; QUERY: 1, ANSWER: 0, AUTHORITY: 13, ADDITIONAL: 0
;; AUTHORITY SECTION:
. 518400 IN NS J.ROOT-SERVERS.NET.
. 518400 IN NS K.ROOT-SERVERS.NET.
. 518400 IN NS L.ROOT-SERVERS.NET.
. 518400 IN NS M.ROOT-SERVERS.NET.
. 518400 IN NS A.ROOT-SERVERS.NET.
. 518400 IN NS B.ROOT-SERVERS.NET.
. 518400 IN NS C.ROOT-SERVERS.NET.
. 518400 IN NS D.ROOT-SERVERS.NET.
. 518400 IN NS E.ROOT-SERVERS.NET.
. 518400 IN NS F.ROOT-SERVERS.NET.
. 518400 IN NS G.ROOT-SERVERS.NET.
. 518400 IN NS H.ROOT-SERVERS.NET.
. 518400 IN NS I.ROOT-SERVERS.NET.
Ez egy hivatkoz�s. Ez csak egy fel�gyeleti r�szt ("Authority section") hoz l�tre nek�nk, v�lasz r�szt ("Answer section") pedig nem. A saj�t n�vszerver�nk egy n�vszerverhez k�ld tov�bb. V�lasszunk ki v�letlenszer�en egyet:
$ dig +norec +noques +nostats +nocmd prep.ai.mit.edu. @D.ROOT-SERVERS.NET.
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58260
;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 3, ADDITIONAL: 3
;; AUTHORITY SECTION:
mit.edu. 172800 IN NS BITSY.mit.edu.
mit.edu. 172800 IN NS STRAWB.mit.edu.
mit.edu. 172800 IN NS W20NS.mit.edu.
;; ADDITIONAL SECTION:
BITSY.mit.edu. 172800 IN A 18.72.0.3
STRAWB.mit.edu. 172800 IN A 18.71.0.151
W20NS.mit.edu. 172800 IN A 18.70.0.160
Ez azonnal a MIT.EDU szerverhez k�ld minket. �jra v�lasszuk ki egyet v�letlenszer�en:
$ dig +norec +noques +nostats +nocmd prep.ai.mit.edu. @BITSY.mit.edu.
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29227
;; flags: qr ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4
;; ANSWER SECTION:
prep.ai.mit.edu. 10562 IN A 198.186.203.77
;; AUTHORITY SECTION:
ai.mit.edu. 21600 IN NS FEDEX.ai.mit.edu.
ai.mit.edu. 21600 IN NS LIFE.ai.mit.edu.
ai.mit.edu. 21600 IN NS ALPHA-BITS.ai.mit.edu.
ai.mit.edu. 21600 IN NS BEET-CHEX.ai.mit.edu.
;; ADDITIONAL SECTION:
FEDEX.ai.mit.edu. 21600 IN A 192.148.252.43
LIFE.ai.mit.edu. 21600 IN A 128.52.32.80
ALPHA-BITS.ai.mit.edu. 21600 IN A 128.52.32.5
BEET-CHEX.ai.mit.edu. 21600 IN A 128.52.32.22
Ez�ttal kapunk egy "ANSWER SECTION"-t, �s v�laszt a k�rd�s�nkre. Az
"AUTHORITY SECTION" azt az inform�ci�t tartalmazza, hogy mely
szervereket k�rdezz�k legk�zelebb az ai.mit.edu-r�l. �gy, k�vetkez�
alkalommal amikor az ai.mit.edu nevekr�l k�v�ncsiskodsz, k�zvetlen�l
�ket k�rdezheted. A named inform�ci�t gy�jt�tt a mit.edu-r�l is, �gy
legk�zelebb ha a www.mit.edu lek�rdez�se fordul el�, sokkal k�nnyebb
lesz majd megv�laszolni a k�rd�st.
�gy a .-t�l kezd�d�en a hivatkoz�sok alapj�n megtal�ltuk az egym�s ut�ni n�vszervereket, a tartom�nyn�v minden egyes szintj�hez. Ha a saj�t DNS szerveredet haszn�ltad volna mindezen szerverek helyett, a named-ed term�szetesen elt�rolta volna mindezt az inform�ci�t amit a kutakod�s sor�n tal�lt, �s egy ideig nem kellene �jra lek�rdeznie.
A fa-anal�gi�ban minden "." a n�vben egy el�gaz�si pont, �s minden r�sz
a "."-ok k�z�tt az egyes �gak nevei a f�n. A fa bej�r�sakor fogjuk a
nevet amit keres�nk (prep.ai.mit.edu), megk�rdezve a gy�keret (.) vagy
b�rmelyik szervert a gy�k�rt�l a prep.ai.mit.edu fel�, amelyikr�l van
inform�ci�nk a gyors�t�t�rban. Ha a gyors�t�t�r el�ri kapacit�s�nak
hat�rait, a rekurz�v felold� a k�ls� szervereket k�rdezi le, k�vetve a
hivatkoz�sokat (�leket) tov�bb a n�vben.
Valamivel kevesebbet besz�lt�nk r�la, de �ppoly fontos az
in-addr.arpa tartom�ny. Ez is �pp �gy szervezett, mint a "k�z�ns�ges"
tartom�nyok. Az in-addr.arpa lehet�v� teszi sz�munkra, hogy megkapjuk az
�llom�s nev�t, ha megvan a c�me. Egy fontos dolog, amit meg kell
jegyezni, hogy az IP c�mek ford�tott sorrendben vannak �rva az
in-addr.arpa tartom�nyban. Ha egy g�pnek a c�me: 198.186.203.77, a named
a keres�st a 77.203.168.198.in-addr.arpa-ra v�gzi, �pp�gy, ahogy azt a
prep.ai.mi.edu-ra tette. P�lda: Ha nem tal�lsz egyetlen tal�lati
bejegyz�st a gyors�t�t�rban csak a "."-ot, k�rdezz le egy f�szervert, az
m.root-servers.net valamelyik m�sik f�szerverhez ir�ny�t. A
b.root-servers.net k�zvetlen�l a bitsy.mit.edu tartom�nyhoz ir�ny�t. Onnan m�r
k�pes leszel leszedni.
Most k�vetkezik a saj�t tartom�nyunk meghat�roz�sa. A linux.bogus tartom�nyt fogjuk
l�trehozni, �s megadjuk a g�peket benne. Egy teljesen hamis
tartom�nynevet haszn�lok, hogy biztos ne zavarjunk senkit Ott Kint.
M�g egy dolog, miel�tt elkezdj�k: Nem minden karakter megengedett a
g�pnevekben. Az angol �b�c� bet�ire vagyunk korl�tozva: a-z, �s a 0-9
sz�mok �s a "-" (k�t�jel) karakter. Tartsd magad ezekhez a karakterekhez
(a 9-es BIND nem fog hib�san m�k�dni, ha megszeged ezt a szab�lyt, de a
8-as BIND igen). A kis- �s nagybet�k egyform�k a DNS sz�m�ra, teh�t a
pat.uio.no megegyezik a Pat.UiO.No-val.
M�r elkezdt�k ezt a r�szt a named.conf-ban ezzel a sorral:
zone "0.0.127.in-addr.arpa" {
type master;
file "pz/127.0.0";
};
K�rlek, vedd �szre a "." hi�ny�t a tartom�nynevek v�g�n ebben az
�llom�nyban. Azt jelenti, hogy mi most a 0.0.127.in-addr.arpa z�n�t
fogjuk megadni, hogy mi vagyunk a mesterszerver sz�m�ra, �s hogy a
pz/127.0.0 �llom�nyban van t�rolva. M�r be�ll�tottuk ezt az �llom�nyt:
$TTL 3D
@ IN SOA ns.linux.bogus. hostmaster.linux.bogus. (
1 ; Serial
8H ; Refresh
2H ; Retry
4W ; Expire
1D) ; Minimum TTL
NS ns.linux.bogus.
1 PTR localhost.
K�rlek, vedd �szre a "."-ot a teljes tartom�nynevek v�g�n ebben az
�llom�nyban, ellent�tben a fenti named.conf �llom�nnyal. Egyesek
szeretnek minden z�na�llom�nyt az //$ORIGIN direkt�v�val kezdeni, de ez
felesleges. Egy z�na�llom�ny eredete (ahov� a DNS hierarchi�ban
tartozik) a named.conf �llom�ny z�na fejezet�ben van meghat�rozva; ebben
az esetben ez a 0.0.127.in-addr.arpa.
Ez a "z�na�llom�ny" 3 "er�forr�sbejegyz�st" (RR - resource record) tartalmaz: egy SOA RR-t, egy NS RR-t �s egy PTR RR-t. A SOA a Jogosults�g Kezdet�nek a r�vid�t�se (SOA - Start Of Authority). A "@" egy speci�lis jel ami az eredetet jelenti, �s mivel a "tartom�ny" oszlop ezen �llom�ny eset�n az 0.0.127.in-addr-arpa-t tartalmazza, az els� sor val�j�ban ezt jelenti:
0.0.127.in-addr.arpa. IN SOA ...
Az NS a N�vszerver RR. Itt nincs "@" a sor elej�n; mag�t�l �rtet�d�, mivel az el�z� sor egy "@"-el kezd�d�tt. Ez megtakar�t egy kis g�pel�st. Teh�t az NS sort �gy is lehet �rni:
0.0.127.in-addr.arpa. IN NS ns.linux.bogus
Ez megmondja a DNS-nek, melyik g�p a 0.0.127.in-addr.arpa tartom�ny
n�vszervere, ez az ns.linux.bogus. Az "ns" egy szokv�nyos n�v a
n�vszerverek sz�m�ra, �pp�gy, mint a web szerverek eset�ben, amiknek
szokv�nyosan www.valami a nev�k. A n�v b�rmi lehet.
V�g�l a PTR (Tartom�ny N�v Mutat�) bejegyz�s megmondja, hogy a
0.0.127.in-addr.arpa alh�l�zat 1-es c�m�n, azaz a 127.0.0.1 c�men
tal�lhat� g�p neve localhost.
A SOA bejegyz�s a bevezet� az �sszes z�na�llom�nyhoz, �s pontosan
egynek kell lennie minden egyes z�na�llom�nyban, a tetej�n (de a $TTL
direkt�va ut�n). Ez le�rja a z�n�t, honnan sz�rmazik (egy ns.linux.bogus
nev� g�pr�l), ki felel�s annak tartalm��rt ([email protected], a
saj�t e-mail c�medet kell ide�rnod), melyik v�ltozat� z�na�llom�ny ez
(serial: 1), �s egy�b, a gyors�t�t�raz�ssal �s a m�sodlagos DNS
szerverekkel kapcsolatos dolgokat. A marad�k mez�k (refresh - friss�t�s,
retry - �jrapr�b�lkoz�s, expire - lej�rat �s minimum) tekintet�ben
haszn�ld az ebben a HOGYANban haszn�lt sz�mokat, �s nem lesz baj. A SOA
el� j�n egy k�telez� sor, a $TTL 3D. Rakd bele az �sszes
z�na�llom�nyodba.
Most ind�tsd �jra a named-et (rndc stop; named) �s haszn�ld a dig-et
�gyesked�sed megvizsg�l�s�hoz. A -x ford�tott lek�rdez�st k�r:
$ dig -x 127.0.0.1
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30944
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;1.0.0.127.in-addr.arpa. IN PTR
;; ANSWER SECTION:
1.0.0.127.in-addr.arpa. 259200 IN PTR localhost.
;; AUTHORITY SECTION:
0.0.127.in-addr.arpa. 259200 IN NS ns.linux.bogus.
;; Query time: 3 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:02:39 2001
;; MSG SIZE rcvd: 91
Sz�val ez gondoskodik arr�l, hogy a 127.0.0.1-b�l localhost-ot kapjunk;
rendben. Most a f� c�lunk, a linux.bogus tartom�ny �rdek�ben, sz�rjunk
be egy �j "zone" r�szt a named.conf �llom�nyba:
zone "linux.bogus" {
type master;
notify no;
file "pz/linux.bogus";
};
Figyeld meg �jb�l a named.conf �llom�nyban a tartom�nyn�v v�g�n a "." hi�ny�t.
A linux.bogus z�na�llom�nya berakunk n�mi teljesen val�tlan adatot:
;
; Zone file for linux.bogus
;
; The full zone file
;
$TTL 3D
@ IN SOA ns.linux.bogus. hostmaster.linux.bogus. (
199802151 ; serial, todays date + todays serial #
8H ; refresh, seconds
2H ; retry, seconds
4W ; expire, seconds
1D ) ; minimum, seconds
;
NS ns ; Inet Address of name server
MX 10 mail.linux.bogus ; Primary Mail Exchanger
MX 20 mail.friend.bogus. ; Secondary Mail Exchanger
;
localhost A 127.0.0.1
ns A 192.168.196.2
mail A 192.168.196.4
K�t dolgot meg kell jegyezni a SOA bejegyz�sr�l. Az ns.linux.bogus-nak
egy "A" bejegyz�ssel rendelkez� val�di g�pnek kell lennie. Nem
megengedett az SOA bejegyz�sben eml�tett g�phez CNAME bejegyz�st
rendelni. A nev�nek nem kell "ns"-nek lennie, b�rmely val�s g�p neve
lehet. Az ezt k�vet� hostmaster.linux.bogus-t [email protected]
kell olvasni. Ennek egy olyan lev�lc�mnek kell lennie, amelyet a DNS-t
karbantart� szem�ly, vagy szem�lyek gyakran olvasnak. B�rmely, a
tartom�nnyal kapcsolatos lev�l az itt megadott c�mre lesz
elk�ldve. A n�vnek nem kell "hostmaster"-nek lennie, lehet ez a rendes
e-mail c�med, de a "hostmaster" e-mail c�m l�tez�se sokszor szint�n elv�r�s.
Egy �j RR t�pus tal�lhat� ebben az �llom�nyban, az MX, vagy a Mail
eXchanger (lev�lkiszolg�l�) RR. Ez megmondja a levelez�rendszereknek,
hova legyen k�ldve a [email protected]-nak c�mzett lev�l, n�v szerint a
mail.linux.bogus-nak, vagy a mail.friend.bogus-nak. A sz�m minden g�p
neve el�tt az adott MX RR priorit�sa. A legkisebb sz�mmal (10)
rendelkez� RR az, amelyik, ha lehets�ges a levelet kapni fogja. Ha ez
nem siker�l, a levelet el lehet k�ldeni egy magasabb sz�mmal
rendelkez�nek, egy m�sodlagos lev�lkezel�nek, azaz a
mail.friend.bogus-nak, amelynek a priorit�sa itt 20.
T�lts�k be a tartom�nyokat �jb�l az rndc reload futtat�s�val. Vizsg�ljuk
meg az eredm�nyeket a dig-el:
$ dig any linux.bogus
; <<>> DiG 9.1.3 <<>> any linux.bogus
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55239
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 1, ADDITIONAL: 1
;; QUESTION SECTION:
;linux.bogus. IN ANY
;; ANSWER SECTION:
linux.bogus. 259200 IN SOA ns.linux.bogus. \
hostmaster.linux.bogus. 199802151 28800 7200 2419200 86400
linux.bogus. 259200 IN NS ns.linux.bogus.
linux.bogus. 259200 IN MX 20 mail.friend.bogus.
linux.bogus. 259200 IN MX 10 mail.linux.bogus.linux.bogus.
;; AUTHORITY SECTION:
linux.bogus. 259200 IN NS ns.linux.bogus.
;; ADDITIONAL SECTION:
ns.linux.bogus. 259200 IN A 192.168.196.2
;; Query time: 4 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:06:45 2001
;; MSG SIZE rcvd: 184
Alapos vizsg�lat ut�n egy hib�t fogsz tal�lni. A
linux.bogus. 259200 IN MX 10 mail.linux.bogus.linux.bogus.
sor teljesen rossz. Ennek �gy kellene kin�znie:
linux.bogus. 259200 IN MX 10 mail.linux.bogus.
Sz�nd�kosan hib�t v�tettem, �gyhogy tanulhatsz bel�le :-) Beletekintve a z�na�llom�nyba ezt a sort tal�ljuk:
MX 10 mail.linux.bogus ; Primary Mail Exchanger
Hi�nyzik egy pont. Vagy a "linux.bogus"-ban t�l sok van. Ha egy g�pn�v
a z�na�llom�nyban nem v�gz�dik pontra, az eredete hozz�ad�dik a v�g�hez,
a megdupl�zott linux.bogus.linux.bogus-t eredm�nyezve. Sz�val vagy
MX 10 mail.linux.bogus. ; Primary Mail Exchanger
vagy
MX 10 mail ; Primary Mail Exchanger
a helyes. �n az ut�bbi v�ltozatot prefer�lom, kevesebbet kell g�pelni. Vannak olyan BIND szak�rt�k, akik nem �rtenek egyet ezzel, �s vannak olyanok akik igen. Egy z�na�llm�nyban a tartom�nyt vagy ki kell �rni, �s "."-al lez�rni, vagy egy�ltal�n nem kell meghat�rozni, mely esetben az eredet lesz az alap�rtelmez�s.
Ki kell hangs�lyoznom, hogy a named.conf �llom�nyban nem kell "."-nak lennie a tartom�nynevek ut�n. El sem b�rod k�pzelni, h�ny esetben kavarta �ssze a dolgokat a t�l sok vagy t�l kev�s pont, �s hozta ki az �rd�g�t az emberekb�l.
Sz�val, kifejtve �rveimet itt van az �j z�na�llom�ny, n�mi extra inform�ci�val kieg�sz�tve:
;
; Zone file for linux.bogus
;
; The full zone file
;
$TTL 3D
@ IN SOA ns.linux.bogus. hostmaster.linux.bogus. (
199802151 ; serial, todays date + todays serial #
8H ; refresh, seconds
2H ; retry, seconds
4W ; expire, seconds
1D ) ; minimum, seconds
;
TXT "Linux.Bogus, your DNS consultants"
NS ns ; Inet Address of name server
NS ns.friend.bogus.
MX 10 mail ; Primary Mail Exchanger
MX 20 mail.friend.bogus. ; Secondary Mail Exchanger
localhost A 127.0.0.1
gw A 192.168.196.1
TXT "The router"
ns A 192.168.196.2
MX 10 mail
MX 20 mail.friend.bogus.
www CNAME ns
donald A 192.168.196.3
MX 10 mail
MX 20 mail.friend.bogus.
TXT "DEK"
mail A 192.168.196.4
MX 10 mail
MX 20 mail.friend.bogus.
ftp A 192.168.196.5
MX 10 mail
MX 20 mail.friend.bogus.
A CNAME (Canonical NAME - kanonikus N�V) egy m�dszer t�bb n�v megad�s�ra egy g�p sz�m�ra. �gy a www egy �ln�v az ns sz�m�ra. A CNAME bejegyz�s haszn�lata egy kicsit k�t�rtelm�. A legbiztosabb azt a szab�lyt k�vetni, hogy egy MX, CNAME vagy SOA bejegyz�s soha nem hivatkozhat egy CNAME bejegyz�sre, csak egy "A" bejegyz�ssel rendelkez� valamire hivatkozhatnak, teh�t megengedhetetlen a
foobar CNAME www ; NEM!
de helyes a
foobar CNAME ns ; IGEN!
T�lts�k be az �j adatb�zist az rndc reload futtat�s�val, amely a named
�llom�nyainak �jb�li beolvas�s�t eredm�nyezi.
$ dig linux.bogus axfr
; <<>> DiG 9.1.3 <<>> linux.bogus axfr
;; global options: printcmd
linux.bogus. 259200 IN SOA ns.linux.bogus. hostmaster.linux.bogus. 199802151 28800 7200 2419200 86400
linux.bogus. 259200 IN NS ns.linux.bogus.
linux.bogus. 259200 IN MX 10 mail.linux.bogus.
linux.bogus. 259200 IN MX 20 mail.friend.bogus.
donald.linux.bogus. 259200 IN A 192.168.196.3
donald.linux.bogus. 259200 IN MX 10 mail.linux.bogus.
donald.linux.bogus. 259200 IN MX 20 mail.friend.bogus.
donald.linux.bogus. 259200 IN TXT "DEK"
ftp.linux.bogus. 259200 IN A 192.168.196.5
ftp.linux.bogus. 259200 IN MX 10 mail.linux.bogus.
ftp.linux.bogus. 259200 IN MX 20 mail.friend.bogus.
gw.linux.bogus. 259200 IN A 192.168.196.1
gw.linux.bogus. 259200 IN TXT "The router"
localhost.linux.bogus. 259200 IN A 127.0.0.1
mail.linux.bogus. 259200 IN A 192.168.196.4
mail.linux.bogus. 259200 IN MX 10 mail.linux.bogus.
mail.linux.bogus. 259200 IN MX 20 mail.friend.bogus.
ns.linux.bogus. 259200 IN MX 10 mail.linux.bogus.
ns.linux.bogus. 259200 IN MX 20 mail.friend.bogus.
ns.linux.bogus. 259200 IN A 192.168.196.2
www.linux.bogus. 259200 IN CNAME ns.linux.bogus.
linux.bogus. 259200 IN SOA ns.linux.bogus. hostmaster.linux.bogus. 199802151 28800 7200 2419200 86400
;; Query time: 41 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:12:31 2001
;; XFR size: 23 records
Ez j�. Amint l�tod, egy kicsit �gy n�z ki, mint a z�na�llom�ny maga.
Ellen�rizz�k, mit mond egyed�l a www-re:
$ dig www.linux.bogus
; <<>> DiG 9.1.3 <<>> www.linux.bogus
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16633
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;www.linux.bogus. IN A
;; ANSWER SECTION:
www.linux.bogus. 259200 IN CNAME ns.linux.bogus.
ns.linux.bogus. 259200 IN A 192.168.196.2
;; AUTHORITY SECTION:
linux.bogus. 259200 IN NS ns.linux.bogus.
;; Query time: 5 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:14:14 2001
;; MSG SIZE rcvd: 80
M�s sz�val a www.linux.bogus val�di neve ns.linux.bogus, �s
tov�bbi inform�ci�t is ad neked amivel rendelkezik az ns-r�l, elegend�t a
hozz� val� csatlakoz�shoz, ha egy program lenn�l.
Most vagyunk f�l�ton
Most m�r a programok �t tudj�k alak�tani a linux.bogus-ban a neveket c�mekk�, amelyekhez csatlakozni tudnak. De sz�ks�g van egy ford�tott z�n�ra is, olyanra, amely lehet�v� teszi a DNS sz�m�ra a c�mek �talak�t�s�t nevekk�. Ezt a nevet rengeteg k�l�nb�z� t�pus� szerver (FTP, IRC, WWW �s m�sok) haszn�lja annak eld�nt�s�re, hogy akar-e veled kommunik�lni vagy nem, �s ha igen, tal�n m�g arra is, hogy milyen priorit�st kapj�l. Az Internet �sszes szolg�ltat�s�nak teljes el�r�s�hez a ford�tott z�na sz�ks�ges.
Rakd be ezt a named.conf �llom�nyba:
zone "196.168.192.in-addr.arpa" {
type master;
notify no;
file "pz/192.168.196";
};
Ez pontosan ugyanaz, mint a 0.0.127.in-arpa-val, �s a tartalmuk is hasonl�:
$TTL 3D
@ IN SOA ns.linux.bogus. hostmaster.linux.bogus. (
199802151 ; Serial, todays date + todays serial
8H ; Refresh
2H ; Retry
4W ; Expire
1D) ; Minimum TTL
NS ns.linux.bogus.
1 PTR gw.linux.bogus.
2 PTR ns.linux.bogus.
3 PTR donald.linux.bogus.
4 PTR mail.linux.bogus.
5 PTR ftp.linux.bogus.
Most �jra t�ltsd be a named-et (rndc reload), �s vizsg�ld meg a munk�dat
a dig-el �jra:
$ dig -x 192.168.196.4 ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58451 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1 ;; QUESTION SECTION: ;4.196.168.192.in-addr.arpa. IN PTR ;; ANSWER SECTION: 4.196.168.192.in-addr.arpa. 259200 IN PTR mail.linux.bogus. ;; AUTHORITY SECTION: 196.168.192.in-addr.arpa. 259200 IN NS ns.linux.bogus. ;; ADDITIONAL SECTION: ns.linux.bogus. 259200 IN A 192.168.196.2 ;; Query time: 4 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Sun Dec 23 03:16:05 2001 ;; MSG SIZE rcvd: 107
teh�t j�nak n�z ki, szedj�k ki az eg�szet, hogy azt is megvizsg�ljuk:
$ dig 196.168.192.in-addr.arpa. AXFR
; <<>> DiG 9.1.3 <<>> 196.168.192.in-addr.arpa. AXFR
;; global options: printcmd
196.168.192.in-addr.arpa. 259200 IN SOA ns.linux.bogus. \
hostmaster.linux.bogus. 199802151 28800 7200 2419200 86400
196.168.192.in-addr.arpa. 259200 IN NS ns.linux.bogus.
1.196.168.192.in-addr.arpa. 259200 IN PTR gw.linux.bogus.
2.196.168.192.in-addr.arpa. 259200 IN PTR ns.linux.bogus.
3.196.168.192.in-addr.arpa. 259200 IN PTR donald.linux.bogus.
4.196.168.192.in-addr.arpa. 259200 IN PTR mail.linux.bogus.
5.196.168.192.in-addr.arpa. 259200 IN PTR ftp.linux.bogus.
196.168.192.in-addr.arpa. 259200 IN SOA ns.linux.bogus. \
hostmaster.linux.bogus. 199802151 28800 7200 2419200 86400
;; Query time: 6 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:16:58 2001
;; XFR size: 9 records
J�l n�z ki! Ha kimeneted nem ilyen, akkor keresd a hiba�zeneteket a syslog-ban, az els� fejezetben, A named ind�t�sa fejezetben elmagyar�ztam, hogyan tedd ezt.
Van p�r dolog, amit itt k�zre kell adnom. A fenti p�ld�ban haszn�lt IP
sz�mok a "mag�nh�l�zatok" egyik blokkj�b�l lettek v�ve, azaz nyilv�nos
haszn�latuk az Interneten nem megengedett. �gy h�t biztons�gos a
haszn�latuk egy HOGYAN egy p�ld�j�ban. A m�sik dolog a notify no; sor.
Ez megmondja a named-nek, hogy ne �rtes�tse a m�sodlagos (slave)
szerver�t, amikor az egyik z�na�llom�nya friss�lt. A 8-as �s k�s�bbi
BIND-ben a named �rtes�theti a z�na�llom�nyban az NS bekezd�sben
felsorolt t�bbi szervert, amikor a z�na friss�lt. Ez �gyes dolog rendes
m�k�d�skor. De k�s�rletez�sek eset�n ennek a lehet�s�gnek kikapcsolva
kell lennie - nem akarjuk, hogy a k�s�rlet megkavarja az
Internetet, ugye?
�s persze, ez a tartom�ny er�sen hamis, �s �pp�gy a c�mek benne. Egy val�di tartom�ny val�s p�ld�j��rt n�zd meg a k�vetkez� f�fejezetet.
Van egy p�r norm�lis k�r�lm�nyek k�z�tt n�vlek�rdez�sekkel elker�lhet� "csapda", amellyel gyakran tal�lkozni ford�tott z�n�k be�ll�t�s�n�l. Miel�tt folytatod, sz�ks�ged lesz a ford�tott lek�rdez�sek m�k�d�s�re a saj�t n�vszervereden. Ha ez nincs �gy, menj vissza, �s jav�tsd ki miel�tt folytatod.
A ford�tott lek�rdez�sek k�t hib�j�r�l fogok sz�lni, ahogy azok a h�l�zaton k�v�lr�l l�tsz�dnak:
Ha egy h�l�zati szolg�ltat�t�l egy h�l�zati c�mtartom�nyt �s egy tartom�nynevet k�rsz, a tartom�nyn�v rendes esetben deleg�lva van, mint egy mag�t�l �rtet�d� dolog. A deleg�l�s az az �sszeragaszt� NS bejegyz�s, amely seg�t eljutnod az egyik n�vszervert�l a m�sikig, ahogy ez a sz�raz elm�leti fejezetben el lett magyar�zva. Elolvastad, ugye? Ha a ford�tott z�n�d nem m�k�dik, menj vissza, �s olvasd el. Most.
A ford�tott z�n�nak szint�n deleg�lva kell lennie. Ha a 192.168.196-os
h�l�zatot kapod a linux.bogus tartom�nnyal a szolg�ltat�dt�l, be kell
rakniuk az NS bejegyz�st a ford�tott z�n�d sz�m�ra �pp�gy, mint a
tov�bb�t� z�n�d sz�m�ra. Ha k�veted a l�ncolatot az in-addr.arpa-t�l
felfel� a h�l�zatodig, val�sz�n�leg szakad�st tal�lsz majd a l�ncban,
a legink�bb val�sz�n�, hogy a szolg�ltat�dn�l. Miut�n megtal�ltad a szakad�st
a l�ncolatban, vedd fel a kapcsolatot a szolg�ltat�ddal, �s k�rd meg
�ket a hiba kijav�t�s�ra.
Ez egy kiss� bonyolultabb t�ma, de az oszt�lyon k�v�li alh�l�zatok nagyon elterjedtek manaps�g, �s val�sz�n�leg egy ilyened van, ha egy kis c�g vagy.
Az oszt�lyon k�v�li alh�l�zatok azok, amik az Internetet manaps�g �ltetik. N�h�ny �vvel ezel�tt sok volt a h�h� az IP c�mek fogyatkoz�sa miatt. A b�lcs emberek az IETF-n�l (Internet Engineering Task Force, �k tartj�k m�k�d�sben az Internetet) �sszedugt�k a fej�ket, �s megoldott�k a probl�m�t. Bizonyos �ron. Az �r ott mutatkozik, hogy egy "C" alh�l�zatn�l kisebbet kapsz, �s bizonyos dolgok nem m�k�dhetnek. K�rlek n�zd �t az Ask Mr. DNS (K�rdezd DNS urat) cikket egy j� magyar�zat�rt, �s hogy hogyan kezeld ezt.
Elolvastad? Nem fogom elmagyar�zni, sz�val k�rlek olvasd el.
A probl�ma els� r�sze az, hogy az ISP-dnek �rtenie kell a Mr. DNS �ltal le�rt technik�t. Nem minden kis ISP-nek van hozz��rt� dolgoz�ja ehhez. Ha �gy van, lehet, hogy el kell nekik magyar�znod, �s kitart�nak kell lenned. De el�sz�r l�gy biztos benne, hogy te �rted ;-). Ezut�n be fognak �ll�tani egy rendes ford�tott z�n�t a szerver�k�n, melynek helyess�g�t megvizsg�lhatod a dig-el.
A probl�ma m�sodik �s egyben utols� r�sze az, hogy meg kell �rtened a technik�t. Ha nem vagy biztos benne, menj vissza, �s olvass r�la ism�t. Ezut�n be�ll�thatod a saj�t oszt�lyon k�v�li ford�tott z�n�dat �gy, ahogy azt az Ask Mr. DNS le�rja.
Lapul egy m�sik csapda is itt. A (nagyon) r�gi felold�k nem lesznek k�pesek k�vetni a CNAME tr�kk�t a felold�si l�ncban, �s nem lesznek k�pesek ford�tva feloldani a g�pedet. Ez egy szolg�ltat�s eset�ben helytelen hozz�f�r�si oszt�ly hozz�rendel�s�t, a hozz�f�r�s megtagad�s�t vagy ezekhez hasonl�t eredm�nyezhet. Ha egy ilyen szolg�ltat�sba �tk�z�l, az egyetlen megold�s (amir�l �n tudok) az ISP-d sz�m�ra az, hogy belerakja a PTR bejegyz�sedet k�zvetlen�l az � tr�kk�s oszt�lyon k�v�li z�na�llom�nyukba a tr�kk�s CNAME bejegyz�s helyett.
Bizonyos ISP-k m�s m�dokat fognak aj�nlani ennek kezel�s�re, �gymint Web-alap� �rlapokat a ford�tott hozz�rendel�s megad�s�hoz, vagy m�s autom�gikus rendszereket.
Amint helyesen be�ll�tottad a z�n�idat az els�dleges (master) szerveren, fel kell �ll�tanod legal�bb egy m�sodlagos (slave) szervert. A m�sodlagos szerverek a robusztuss�g miatt sz�ks�gesek. Ha az els�dleges le�ll, az emberek ott kint a h�l�n m�g mindig k�pesek lesznek inform�ci�t kapni a tartom�nyodr�l a szolg�t�l. A m�sodlagosnak olyan messze kell lennie t�led, amennyire csak lehets�ges. Az al�bbi dolgok k�z�l az els�dlegesnek �s a m�sodlagosnak min�l kevesebben kellene osztozniuk: �ramell�t�s, LAN, ISP, v�ros �s orsz�g. Ha ez mind m�s az els�dleges �s a m�sodlagos eset�ben, egy t�nyleg j� m�sodlagos szervert tal�lt�l.
A m�sodlagos szerver egyszer�en egy olyan n�vszerver, amely a z�na�llom�nyokat lem�solja az els�dlegesr�l. Ekk�pp �ll�thatod be:
zone "linux.bogus" {
type slave;
file "sz/linux.bogus";
masters { 192.168.196.2; };
};
Az adatok m�sol�s�ra a z�na�tvitel nev� mechanizmust haszn�lj�k. A z�na�tvitelt az SOA bejegyz�sed ir�ny�tja:
@ IN SOA ns.linux.bogus. hostmaster.linux.bogus. (
199802151 ; serial, todays date + todays serial #
8H ; refresh, seconds
2H ; retry, seconds
4W ; expire, seconds
1D ) ; minimum, seconds
Egy z�na csak akkor ker�l �tvitelre, ha a sorozatsz�ma (serial) az els�dleges szerveren nagyobb, mint a m�sodlagoson. Friss�t�si intervallumonk�nt (refresh) a m�sodlagos szerver le fogja ellen�rizni, hogy az els�dleges friss�lt-e. Ha az ellen�rz�s nem hoz eredm�nyt (mert az els�dleges nem el�rhet�), �jrapr�b�lja a megadott intervallumonk�nt (retry). Ha az ellen�rz�sek a lej�rati id�szak (expire) alatt sem hoznak eredm�nyt, a m�sodlagos szerver el fogja t�vol�tani a z�n�t az �llom�nyrendszer�b�l, �s nem lesz t�bb� szerver sz�m�ra.
Jamie Norrish
A konfigur�ci�s opci�k be�ll�t�sa a probl�m�k val�sz�n�s�g�nek cs�kkent�se �rdek�ben.
Van n�h�ny egyszer� l�p�s amelyet megtehetsz, ezek biztons�gosabb� teszik a szerveredet, �s esetlegesen cs�kkentik a terhel�s�t is. Az itt bemutatott anyag nem t�bb, mint egy kiindul�si pont; ha �rdekelt vagy a biztons�gban (�s �gy kellene lennie), k�rlek tanulm�nyozz �t m�s forr�smunk�kat is a h�l�zaton (l�sd az utols� fejezetet).
A k�vetkez� be�ll�t�si direkt�v�k fordulnak el� a named.conf �llom�nyban. Az options r�szben tal�lhat� direkt�v�k az �sszes z�n�ra vonatkoznak. Ha a zone
bejegyz�sben fordul el�, csak arra a z�n�ra vonatkozik. Egy zone
bejegyz�s fel�l�rja az options bejegyz�st.
Annak �rdek�ben, hogy a m�sodlagos szervere(i)d k�pes legyen v�laszolni a
tartom�nyodra vonatkoz� lek�rdez�sekre, k�peseknek kell lenni�k
�thozni a z�nainform�ci�t az els�dleges szerveredr�l. Nagyon sokan
szeretn�nek szint�n �gy cselekedni. Ez�rt korl�tozd a z�na�tvitelt az
allow-transfer opci� haszn�lat�val, felt�telezve, hogy 192.168.1.4 az
ns.friend.bogus c�me, �s hozz�adva saj�t magadat hibakeres�si c�lb�l:
zone "linux.bogus" {
allow-transfer { 192.168.1.4; localhost; };
};
A z�na�tvitelek korl�toz�s�val biztos�tod, hogy az egyetlen el�rhet� inform�ci� az, amit az emberek k�zvetlen�l k�rdeznek - senki sem k�rdezheti le csak �gy be�ll�t�sod �sszes r�szlet�t.
Legel�sz�r kapcsolj ki minden lek�rdez�st, ami nem az �ltalad birtokolt tartom�nyokra ir�nyul, kiv�ve a bels�/helyi g�peidr�l indul�kat. Ez nem csak a DNS szervered rosszindulat� kihaszn�l�s�t el�zi meg, de cs�kkenti szervered felesleges haszn�lat�t is.
options {
allow-query { 192.168.196.0/24; localhost; };
};
zone "linux.bogus" {
allow-query { any; };
};
zone "196.168.192.in-addr.arpa" {
allow-query { any; };
};
Tov�bb� kapcsold ki a rekurz�v lek�rdez�seket, kiv�ve a bels�/helyi g�pekt�l. Ez cs�kkenti a gyors�t�t�r-m�rgez�ses t�mad�sok es�ly�t (amikor hamis adatokkal t�mik a szerveredet).
options {
allow-recursion { 192.168.196.0/24; localhost; };
};
Egy j� �tlet a named-et a root-t�l k�l�nb�z� felhaszn�l�k�nt futtatni, �gy ha felt�rik a cracker �ltal szerzett jogok a lehet� legkorl�tozottabbak. El�sz�r l�tre kell hoznod egy felhaszn�l�t ami alatt a named fusson, majd m�dos�tani b�rmely �ltalad haszn�lt, a named-et ind�t� init szkriptet. Az �j felhaszn�l�nevet �s csoportot a named-nek az -u �s -g kapcsol�k seg�ts�g�vel add meg.
P�ld�ul: Debian GNU/Linux 2.2-ben m�dos�tanod kell a /etc/init.d/bind
szkriptet, hogy tartalmazza a k�vetkez� sort (ahol a named felhaszn�l�
m�r l�tre lett hozva):
start-stop-daemon --start --quiet --exec /usr/sbin/named -- -u named
Ugyanez megtehet� a Red Hat-al �s m�s disztrib�ci�kkal is.
Dave Lugo le�rt egy biztons�gos kett�s chroot be�ll�t�st, amely a http://www.etherboy.com/dns/chrootdns.html honlapon tal�lhat�, ez m�g biztons�gosabb� teheti a g�pet, amelyen a named-et futtatod.
Ahol bemutatunk n�h�ny igazi z�na�llom�nyt
A felhaszn�l�k javasolt�k, hogy illesszem be egy m�k�d� tartom�ny val�s p�ld�j�t is, mint szeml�ltet� p�ld�t.
E p�ld�t David Bullock enged�ly�vel a LAND-5-t�l haszn�lom. Ezek az �llom�nyok 1996. szeptember 24.-�n voltak aktu�lisak, �s ezut�n szerkesztettem �t �ket, hogy megfeleljenek a 8-as BIND megk�t�seinek �s kiterjeszt�s-haszn�lat�nak. Sz�val az amit l�tsz, k�l�nb�zik egy kicsit att�l, amit a LAND-5 n�vszerverek lek�rdez�sekor tal�lsz.
Itt tal�lhat�k az els�dleges szerver z�nafejezetei a k�t sz�ks�ges ford�tott z�na
sz�m�ra: a 127.0.0 h�l�zat �pp�gy, mint a LAND-5 206.6.177-es
alh�l�zata, �s az els�dleges sor a land-5 land5.com tov�bb�t� z�n�ja
sz�m�ra. Figyeld meg, hogy az �llom�nyok pz nev� k�nyvt�rba val�
pakol�sa helyett, ahogy �n ezt ebben a HOGYANban teszem, � a zone nev�
k�nyvt�rba rakja �ket.
// Boot file for LAND-5 name server
options {
directory "/var/named";
};
controls {
inet 127.0.0.1 allow { localhost; } keys { rndc_key; };
};
key "rndc_key" {
algorithm hmac-md5;
secret "c3Ryb25nIGVub3VnaCBmb3IgYSBtYW4gYnV0IG1hZGUgZm9yIGEgd29tYW4K";
};
zone "." {
type hint;
file "root.hints";
};
zone "0.0.127.in-addr.arpa" {
type master;
file "zone/127.0.0";
};
zone "land-5.com" {
type master;
file "zone/land-5.com";
};
zone "177.6.206.in-addr.arpa" {
type master;
file "zone/206.6.177";
};
Ha ezt berakod a named.conf �llom�nyodba k�s�rletez�s c�lj�b�l, K�RLEK
rakd be a "notify no;"-t a k�t land-5 z�na zone fejezet�be, hogy
elker�lj�k az �tk�z�seket.
Tartsd szem el�tt, hogy ez az �llom�ny dinamikus, �s az itt k�zz�tett v�ltozat r�gi. Jobban teszed ha egy �jabbat haszn�lsz, amint azt m�r kor�bban elmagyar�ztam.
; <<>> DiG 8.1 <<>> @A.ROOT-SERVERS.NET. ; (1 server found) ;; res options: init recurs defnam dnsrch ;; got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10 ;; flags: qr aa rd; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13 ;; QUERY SECTION: ;; ., type = NS, class = IN ;; ANSWER SECTION: . 6D IN NS G.ROOT-SERVERS.NET. . 6D IN NS J.ROOT-SERVERS.NET. . 6D IN NS K.ROOT-SERVERS.NET. . 6D IN NS L.ROOT-SERVERS.NET. . 6D IN NS M.ROOT-SERVERS.NET. . 6D IN NS A.ROOT-SERVERS.NET. . 6D IN NS H.ROOT-SERVERS.NET. . 6D IN NS B.ROOT-SERVERS.NET. . 6D IN NS C.ROOT-SERVERS.NET. . 6D IN NS D.ROOT-SERVERS.NET. . 6D IN NS E.ROOT-SERVERS.NET. . 6D IN NS I.ROOT-SERVERS.NET. . 6D IN NS F.ROOT-SERVERS.NET. ;; ADDITIONAL SECTION: G.ROOT-SERVERS.NET. 5w6d16h IN A 192.112.36.4 J.ROOT-SERVERS.NET. 5w6d16h IN A 198.41.0.10 K.ROOT-SERVERS.NET. 5w6d16h IN A 193.0.14.129 L.ROOT-SERVERS.NET. 5w6d16h IN A 198.32.64.12 M.ROOT-SERVERS.NET. 5w6d16h IN A 202.12.27.33 A.ROOT-SERVERS.NET. 5w6d16h IN A 198.41.0.4 H.ROOT-SERVERS.NET. 5w6d16h IN A 128.63.2.53 B.ROOT-SERVERS.NET. 5w6d16h IN A 128.9.0.107 C.ROOT-SERVERS.NET. 5w6d16h IN A 192.33.4.12 D.ROOT-SERVERS.NET. 5w6d16h IN A 128.8.10.90 E.ROOT-SERVERS.NET. 5w6d16h IN A 192.203.230.10 I.ROOT-SERVERS.NET. 5w6d16h IN A 192.36.148.17 F.ROOT-SERVERS.NET. 5w6d16h IN A 192.5.5.241 ;; Total query time: 215 msec ;; FROM: roke.uio.no to SERVER: A.ROOT-SERVERS.NET. 198.41.0.4 ;; WHEN: Sun Feb 15 01:22:51 1998 ;; MSG SIZE sent: 17 rcvd: 436
Csak az alapok, a k�telez� SOA bejegyz�s, �s a bejegyz�s, mely a
127.0.0.1-et a localhost-hoz rendeli. Mindkett� sz�ks�ges. Semmi m�snak
nem kell lennie ebben az �llom�nyban. Val�sz�n�leg soha nem lesz
friss�tve, hacsak a n�vszervered vagy a rendszergazda c�me nem v�ltozik
meg.
$TTL 3D
@ IN SOA land-5.com. root.land-5.com. (
199609203 ; Serial
28800 ; Refresh
7200 ; Retry
604800 ; Expire
86400) ; Minimum TTL
NS land-5.com.
1 PTR localhost.
Ha egy v�letlenszer�en kiv�lasztott BIND telep�t�sre r�n�zel, azt fogod
tal�lni, hogy a $TTL sor hi�nyzik. Ezt azel�tt nem haszn�lt�k, �s csak a
8.2-es BIND kezdett el figyelmeztetni a hi�ny�ra. A 9-es BIND-hez
sz�ks�ges a $TTL.
Itt l�tjuk a k�telez� SOA bejegyz�st, a sz�ks�ges NS bejegyz�seket.
L�thatjuk, hogy van egy m�sodlagos n�vszervere az ns2.psi.net-en. Ez az
ahogy lennie kell, mindig legyen egy telephelyen k�v�li m�sodlagos
szervered tartal�kk�nt. L�thatjuk azt is, hogy van neki egy land-5 nev�
els�dleges g�pe is, amely gondoskodik sok k�l�nb�z� Internet
szolg�ltat�sr�l, �s azt, hogy ezt CNAME-ekkel csin�lta (egy m�sik
lehet�s�g az "A" bejegyz�sek haszn�lata).
Amint azt a SOA bejegyz�sb�l l�thatod, a z�na�llom�ny eredete a
land-5.com, a kapcsolattart� szem�ly a [email protected].
A hostmaster egy m�sik gyakran haszn�lt c�m a kapcsolattart�
szem�ly sz�m�ra. A sorozatsz�m a szok�sos ����hhnn form�tumban van, a
mai sorozatsz�m hozz�ad�s�val; ez val�sz�n�leg a z�na�llom�ny hatodik
v�ltozata 1996. szeptember 20.-�n. Jegyezd meg, hogy a sorozatsz�mnak
monoton n�vekv�nek kell lennie, itt csak egy sz�mjegy jelzi a mai
sorozatsz�mot, �gy 9 szerkeszt�s ut�n v�rnia kell holnapig, miel�tt �jra
szerkesztheti az �llom�nyt. Szokd meg a k�t sz�mjegy haszn�lat�t.
$TTL 3D
@ IN SOA land-5.com. root.land-5.com. (
199609206 ; serial, todays date + todays serial #
8H ; refresh, seconds
2H ; retry, seconds
4W ; expire, seconds
1D ) ; minimum, seconds
NS land-5.com.
NS ns2.psi.net.
MX 10 land-5.com. ; Primary Mail Exchanger
TXT "LAND-5 Corporation"
localhost A 127.0.0.1
router A 206.6.177.1
land-5.com. A 206.6.177.2
ns A 206.6.177.3
www A 207.159.141.192
ftp CNAME land-5.com.
mail CNAME land-5.com.
news CNAME land-5.com.
funn A 206.6.177.2
;
; Workstations
;
ws-177200 A 206.6.177.200
MX 10 land-5.com. ; Primary Mail Host
ws-177201 A 206.6.177.201
MX 10 land-5.com. ; Primary Mail Host
ws-177202 A 206.6.177.202
MX 10 land-5.com. ; Primary Mail Host
ws-177203 A 206.6.177.203
MX 10 land-5.com. ; Primary Mail Host
ws-177204 A 206.6.177.204
MX 10 land-5.com. ; Primary Mail Host
ws-177205 A 206.6.177.205
MX 10 land-5.com. ; Primary Mail Host
; {Many repetitive definitions deleted - SNIP}
ws-177250 A 206.6.177.250
MX 10 land-5.com. ; Primary Mail Host
ws-177251 A 206.6.177.251
MX 10 land-5.com. ; Primary Mail Host
ws-177252 A 206.6.177.252
MX 10 land-5.com. ; Primary Mail Host
ws-177253 A 206.6.177.253
MX 10 land-5.com. ; Primary Mail Host
ws-177254 A 206.6.177.254
MX 10 land-5.com. ; Primary Mail Host
Ha megvizsg�lod a land-5 n�vszerver�t, azt tal�lod, hogy a g�pnevek
ws_sz�m alak�ak. A 4-es BIND-t�l kezd�d�en a named elkezdte
szigor�tani a megk�t�seket, hogy milyen karakterek szerepelhetnek a
g�pnevekben. �gy ez a 8-as BIND-el egy�ltal�n nem m�k�dik, �s �n
kicser�ltem a "-"-re (k�t�jel) a "_"-t (al�h�z�s) ebben a HOGYANban.
De ahogy azt kor�bban eml�tettem, a 9-es BIND nem er�lteti m�r ezt a
megk�t�st.
A m�sik figyelemre m�lt� dolog az, hogy a munka�llom�soknak nincs egyedi nev�k, hanem csak egy el�tagot k�vet az IP utols� k�t r�sze. Egy ilyen megszok�s haszn�lata jelent�sen leegyszer�s�theti a karbantart�st, de egy kicsit szem�lytelennek t�nhet, �s l�nyeg�ben bossz�s�g forr�sa lehet az �gyfeleid sz�m�ra.
L�tjuk azt is, hogy a funn.land-5.com egy �ln�v a land-5.com sz�m�ra, de
egy "A", �s nem egy CNAME bejegyz�s haszn�lat�val.
Megjegyz�seket ezen �llom�nyra lentebb teszek.
$TTL 3D
@ IN SOA land-5.com. root.land-5.com. (
199609206 ; Serial
28800 ; Refresh
7200 ; Retry
604800 ; Expire
86400) ; Minimum TTL
NS land-5.com.
NS ns2.psi.net.
; Servers
;
1 PTR router.land-5.com.
2 PTR land-5.com.
2 PTR funn.land-5.com.
;
; Workstations
;
200 PTR ws-177200.land-5.com.
201 PTR ws-177201.land-5.com.
202 PTR ws-177202.land-5.com.
203 PTR ws-177203.land-5.com.
204 PTR ws-177204.land-5.com.
205 PTR ws-177205.land-5.com.
; {Many repetitive definitions deleted - SNIP}
250 PTR ws-177250.land-5.com.
251 PTR ws-177251.land-5.com.
252 PTR ws-177252.land-5.com.
253 PTR ws-177253.land-5.com.
254 PTR ws-177254.land-5.com.
A ford�tott z�na a be�ll�t�s azon r�sze, mely a legt�bb fejt�r�st
okozhatja. Ezt arra haszn�ljuk, hogy megtal�ljuk a g�pnevet, ha megvan a
g�p c�me. P�lda: te egy FTP szerver vagy �s kapcsolatokat fogadsz el FTP
kliensekt�l. Mivel te egy norv�g FTP szerver vagy, t�bb kapcsolatot
szeretn�l fogadni norv�giai �s m�s skandin�v �llamokbeli kliensekt�l, �s
kevesebbet a vil�g t�bbi r�sz�r�l. Ha kapcsolat �rkezik egy klienst�l, a
C f�ggv�nyk�nyvt�r k�pes neked megmondani a csatlakoz� g�p IP c�m�t,
mert a kliens IP sz�m�t tartalmazza az �sszes csomag, amely �tj�tt a
h�l�zaton. Most megh�vhatsz egy gethostbyaddr nev� f�ggv�nyt, mely
kikeresi az adott IP sz�m� kliens nev�t. A gethostbyaddr meg fogja
k�rdezni a DNS szervert, amely ezut�n kereszt�lmegy a DNS-en a g�pet
keresve. T�telezz�k fel, hogy a klienskapcsolat a
ws-177200.land-5.com-t�l j�n. Az IP sz�m, amit a C k�nyvt�r �tad az FTP
szervernek, a 206.6.177.200. A g�p nev�nek kital�l�s�hoz meg kell
tal�lnunk a 200.177.6.206.in-addr-arpa-t. A DNS szerver el�sz�r meg
fogja tal�lni az arpa. szervereket, majd megtal�lja az in-addr.arpa
szervereket, k�vetve a ford�tott sorrendet a 206-on, majd a 6-on
kereszt�l, v�g�l legutolj�ra megtal�lva a LAND-5-n�l a szervert a
177.6.206.in-addr-arpa z�na sz�m�ra. Amelyt�l v�g�l megkapja a v�laszt,
hogy a 200.177.6.206.in-addr.arpa sz�m�ra a "PTR ws-177200.land-5.com"
bejegyz�s�nk van, ami azt jelenti, hogy a / 206.6.177.200-hoz tartoz� n�v
a ws-177200.land.com.
Az FTP szerver el�nyben r�szes�ti a skandin�v orsz�gok, azaz a *.no,
*.se, *.dk fel�l �rkez� kapcsolatokat, a ws-177200.land-5.com
egy�rtelm�en nem tartozik k�z�j�k, �s a szerver a kapcsolatot egy
alacsonyabb s�vsz�less�ggel �s kevesebb klienskapcsolati lehet�s�ggel
rendelkez� kapcsolati oszt�lyba sorolja. Ha nem lenne ford�tott
megfeleltet�se a 206.2.177.200-nak az in-addr.arpa z�na �ltal, a szerver
k�ptelen lenne megtal�lni a nevet, �s a 206.2.177.200-nek a *.no,
*.se �s *.dk-val val� �sszehasonl�t�sa alapj�n kell d�ntenie, melyek k�z�l
egyik sem fog egyezni, s�t m�g meg is tagadhatja a kapcsolatot a
besorol�s hi�nya miatt.
P�ran azt fogj�k mondani neked, hogy a ford�tott lek�rdez�sek hozz�rendel�se csak szerverek eset�n fontos, vagy egy�ltal�n nem fontos. Nem �gy van: sok ftp, news, IRC, s�t m�g n�h�ny http (WWW) szerver nem fognak kapcsolatot fogadni olyan g�pekt�l, melyek nev�t k�ptelenek megtal�lni. �gy h�t a ford�tott hozz�rendel�s val�j�ban k�telez�.
�zemben tart�s.
Van egy karbantart�si feladat, melyet meg kell tenned a named-eken - a
futtat�son k�v�l. Ez pedig a root.hints �llom�ny naprak�szen tart�sa.
A legegyszer�bb m�d a dig haszn�lata. El�sz�r futtasd a dig-et
argumentumok n�lk�l, akkor megkapod a root.hints-et a saj�t szervered
alapj�n. Ezut�n k�rdezd le a felsorolt f�szerverek egyik�t a dig
@rootserver paranccsal. �szre fogod venni, hogy a kimenet sz�rnyen
hasonl� a root.hints �llom�nyhoz. Mentsd el egy �llom�nyba (dig
@e.root-servers.net . ns > root.hints.new), �s cser�ld le a r�gi
root.hints �llom�nyt vele.
Ne felejtsd el �jra bet�lteni a named-et a gyors�t�t�r-�llom�ny cser�je ut�n.
Al Longyear elk�ldte nekem ezt a szkriptet, mely automatikusan
futtathat� a root.hints friss�t�se �rdek�ben. Telep�ts egy crontab
bejegyz�st, hogy havonta egyszer lefusson, �s el is felejtheted. A
szkript felt�telezi, hogy a levelez�sed m�k�dik, �s hogy a "hostmaster"
c�m meg van adva. Meg kell hackelned, hogy illeszkedjen a be�ll�t�saidhoz.
#!/bin/sh
#
# Update the nameserver cache information file once per month.
# This is run automatically by a cron entry.
#
# Original by Al Longyear
# Updated for BIND 8 by Nicolai Langfeldt
# Miscelanious error-conditions reported by David A. Ranch
# Ping test suggested by Martin Foster
# named up-test suggested by Erik Bryer.
#
(
echo "To: hostmaster <hostmaster>"
echo "From: system <root>"
# Is named up? Check the status of named.
case `rndc status 2>&1` in
*refused*)
echo "named is DOWN. root.hints was NOT updated"
echo
exit 0
;;
esac
PATH=/sbin:/usr/sbin:/bin:/usr/bin:
export PATH
# NOTE: /var/named must be writable only by trusted users or this script
# will cause root compromise/denial of service opportunities.
cd /var/named 2>/dev/null || {
echo "Subject: Cannot cd to /var/named, error $?"
echo
echo "The subject says it all"
exit 1
}
# Are we online? Ping a server at your ISP
case `ping -qnc 1 some.machine.net 2>&1` in
*'100% packet loss'*)
echo "Subject: root.hints NOT updated. The network is DOWN."
echo
echo "The subject says it all"
exit 1
;;
esac
dig @e.root-servers.net . ns >root.hints.new 2> errors
case `cat root.hints.new` in
*NOERROR*)
# It worked
:;;
*)
echo "Subject: The root.hints file update has FAILED."
echo
echo "The root.hints update has failed"
echo "This is the dig output reported:"
echo
cat root.hints.new errors
exit 1
;;
esac
echo "Subject: The root.hints file has been updated"
echo
echo "The root.hints file has been updated to contain the following
information:"
echo
cat root.hints.new
chown root.root root.hints.new
chmod 444 root.hints.new
rm -f root.hints.old errors
mv root.hints root.hints.old
mv root.hints.new root.hints
rndc restart
echo
echo "The nameserver has been restarted to ensure that the update is complete."
echo "The previous root.hints file is now called
/var/named/root.hints.old."
) 2>&1 | /usr/lib/sendmail -t
exit 0
N�h�nyan k�z�letek felfigyelhettek r�, hogy a root.hints �llom�ny
el�rhet� ftp-vel az Internic-r�l is. K�rlek, ne haszn�ld az ftp-t a
root.hints friss�t�s�hez, a fentebb eml�tett m�dszer sokkal
bar�ts�gosabb a h�l�zat �s az Internic sz�m�ra.
A 9-es BIND terjeszt�s - �s az el�re elk�sz�tett v�ltozatok szint�n -
tartalmaz egy migration nev� dokumentumot, amely megjegyz�seket
tartalmaz azt illet�en, hogy hogyan �lljunk �t 8-as BIND-r�l 9-es
BIND-re. A dokumentum nagyon l�nyegre t�r�. Ha bin�ris csomagokat
telep�tett�l, feltehet�en valahol a /usr/share/doc/bind*-ban vagy a
/usr/doc/bind*-ban van t�rolva.
Ha 4-es BIND-et futtatsz, a migration-4to9 dokumentumot ugyanazon a
helyen tal�lhatod.
K�rlek olvasd �t ezt a fejezetet, miel�tt �rsz nekem.
Rossz HOGYANt olvasol. K�rlek n�zd meg ezen HOGYAN r�gebbi v�ltozat�t, amely a 4-es BIND-r�l sz�l, a http://langfeldt.net/DNS-HOWTO/ c�men.
Seg�ts�g: forward only;. Sz�ks�ged lehet m�g a
query-source port 53;
sorra a named.conf �llom�ny "options" r�sz�n bel�l, ahogy az a
p�ld�nak bemutatott
A felold�, gyors�t�t�ras n�vszerver fejezetben javasoltam.
Csin�lj t�bb A bejegyz�st a www.busy.site sz�m�ra, �s 4.9.3-as
vagy k�s�bbi BIND-et haszn�lj. Ekkor a BIND round-robin rendszer
alapj�n fogja szolg�ltatni a v�laszokat. Ez nem fog m�k�dni a
BIND kor�bbi v�ltozataival.
Kihagyod a root.hints �llom�nyt, �s csak a z�na�llom�nyokat
k�sz�ted el. Ez azt is jelenti, hogy nem kell �lland�an
�tbaigaz�t� �llom�nyokat let�ltened.
Ha az els�dleges szerver c�me 127.0.0.1, egy ehhez hasonl� sort sz�rsz be a m�sodlagos szervered named.conf �llom�ny�ba:
zone "linux.bogus" {
type slave;
file "sz/linux.bogus";
masters { 127.0.0.1; };
};
T�bb k�l�nb�z� els�dleges szervert is felsorolhatsz a masters list�n bel�l, ";"-vel (pontosvessz�) elv�lasztva, melyekr�l a z�na lem�solhat�.
N�gy lehet�s�g van:
A BIND �jabb v�ltozatain�l felfedeztem, hogy ez a kavar�s az
�llom�nyokkal t�bb� nem sz�ks�ges. Van egy "forward" (tov�bb�t�s) direkt�va
a "forwarders" (tov�bb�t�k) direkt�va mellett, amely a haszn�latukat ellen�rzi.
Az alap be�ll�t�s a "forward first" (el�sz�r tov�bb�tsd), amely
legel�sz�r megk�rdezi a tov�bb�t�k mindegyik�t, �s ezut�n pr�b�lja
a rendes megk�zel�t�st, azaz a munka saj�t kez� elv�gz�s�t, ha ez nem siker�l.
Ezzel a gethostbyname() norm�l viselked�s�se szokatlanul hossz� id�t
vesz ig�nybe, amikor a kapcsolat nincs meg. De ha a "forward only" (csak
tov�bb�tsd) van be�ll�tva, akkor a BIND feladja ha nem kap v�laszt a
tov�bb�t�kt�l, �s a gethostbyname() azonnal visszat�r. Enn�lfogva nincs
sz�ks�g b�v�szmutatv�nyokra az /etc k�nyvt�rban lev� �llom�nyokkal, �s a szerver �jraind�t�s�ra.
Az �n esetemben, csak hozz�adtam a
forward only;
forwarders { 193.133.58.5; };
sorokat a named.conf �llom�nyom options { } fejezet�hez. Nagyon sz�pen
m�k�dik. Ennek egyetlen h�tr�nya az, hogy degrad�lja a DNS szoftver
egy hihetetlen�l szofisztik�lt r�sz�t egy buta gyors�t�t�rr�. Bizonyos
m�rt�kben, �n csak egy buta gyors�t�t�rat szeretn�k futtatni a DNS
helyett, de �gy t�nik, nincs egy ilyen fajta el�rhet� szoftver Linuxra.
Named-et futtatok itt a "Masquerading" g�pemen. Van k�t root.hints
�llom�nyom, az egyik neve root.hints.real, amely a val�di f�szerver-
neveket tartalmazza, a m�sik� root.hints.fake, amely ezt tartalmazza:
----
; root.hints.fake
; this file contains no information
----
Ha kapcsolat n�lk�li �zemm�dba megyek �t, �tm�solom a root.hints.fake
�llom�nyt a root.hints-be, �s �jraind�tom a named-et.
Ha kapcsol�dom, �tm�solom a root.hints.real-t a root.hints-be, �s
�jraind�tom a named-et.
Illetve ezt az ip-down �s az ip-up teszi meg.
Amikor el�sz�r v�gzek egy lek�rdez�st kapcsolat n�lk�l egy olyan
tartom�nyn�vre, amelyr�l a named nem tudja a r�szleteket, egy ilyen bejegyz�st rak a messages-be:
Jan 28 20:10:11 hazchem named[10147]: No root nameserver for class IN
amivel egy�tt tudok �lni.
Ez biztosan m�k�dik sz�momra. Haszn�lhatom a n�vszervert a helyi
g�pek eset�ben, amikor a Net �ll, a k�ls� tartom�nynevekhez tartoz�
id�t�ll�p�si k�sleltet�s n�lk�l, �s mikor a H�l�n vagyok, a k�ls�
tartom�nynevekre vonatkoz� lek�rdez�sek rendben m�k�dnek
Peter Denison azonban �gy v�lte, Ian nem ment el el�g messzire. Ezt �rja:
Kapcsol�dva) szolg�ltatja az elt�rolt (�s helyi h�l�zati) bejegyz�seket azonnal
a nem gyors�t�t�razott bejegyz�sek eset�n, tov�bb�tja az ISP n�vszerverem fel�
Kapcsolat n�lk�l) kiszolg�lja a helyi h�l�zati lek�rdez�seket azonnal
m�s lek�rdez�sek eset�n **azonnal** hib�t ad
A f� gyors�t�t�ras �llom�ny cser�j�nek �s a lek�rdez�sek tov�bb�t�s�nak
kombin�ci�ja nem m�k�dik.
�gy h�t, (a helyi Linux Felhaszn�l�k Csoportj�val val� n�mi konzult�ci� ut�n)
k�t named-et �ll�tottam be a k�vetkez� m�don:
named-online: tov�bb�t az ISP n�vszervere fel�
mester a helyi h�l�zati z�na sz�m�ra
mester a helyi h�l�zati ford�tott z�na sz�m�ra (1.168.192.in-addr.arpa)
mester a 0.0.127.in-addr.arpa sz�m�ra
a 60053-as porton figyel
named-offline: nincs tov�bb�t�s
"�l" f� gyors�t�t�ras �llom�ny
szolga a 3 helyi z�na sz�m�ra (a mester a 127.0.0.1:60053)
a 61053-as porton figyel
�s kombin�ltam ezt a port-tov�bb�t�ssal, hogy az 53-as portot elk�ldje a 61053-ra, ha
kapcsolat n�lk�l vagyok, �s a 60053-ra, ha csatlakoztam. (Az �j netfilter csomagot
haszn�lom 2.3.18 alatt, de a r�gi (ipchains) m�dszernek is m�k�dnie kell.)
Figyelem, ez nem fog pikk-pakk m�k�dni, mivel van egy apr� hiba a 8.2-es
BIND-ben, melyet m�r jelentettem a fejleszt�knek, hogy megakad�lyozza egy m�sodlagos szerver
l�trehoz�s�t az els�dlegessel megegyez� IP c�men (m�g ha k�l�n porton is). Ez egy
egyszer� foltoz�s, �s rem�lem, nemsok�ra beleker�l.
Futtatni szoktam a saj�t named-emet az �sszes g�pemen, melyek csak
alkalmilag csatlakoznak az Internetre modemen kereszt�l. A n�vszerver
csak gyors�t�t�rk�nt m�k�dik, nincs jogosults�gi ter�lete, �s minden�rt
a root.cache �llom�nyban lev� n�vszervereket k�rdezi vissza. Ahogy az a
Slackware-n�l megszokott, az nfsd �s a mountd el�tt van ind�tva.
Egyik g�pemmel (egy Libretto 30-as notebookal) az volt a probl�m�m,
hogy n�ha fel tudtam csatolni egy m�sik, a helyi LAN-omra csatlakozott
rendszerr�l, de nagyobbr�szt ez nem m�k�d�tt. Ugyanez volt a jelens�g,
f�ggetlen�l att�l, hogy PLIP-et, egy PCMCIA ethernet k�rty�t vagy soros
eszk�z�n kereszt�li PPP-t haszn�ltam.
N�mi tal�lgat�s �s k�s�rletez�s ut�n azt fedeztem fel, hogy
a named minden bizonnyal belerond�t az nfsd �s mountd regisztr�ci�s folyamat�ba,
amit indul�skor a portmapper-rel kell elv�gezni�k (Ezeket a d�monokat
szok�s szerint bootol�skor ind�tom). A named ind�t�sa az nfsd �s a mountd
ut�n teljesen semleges�tette ezt a probl�m�t.
Mivel nincsenek v�rhat� h�tr�nyai az ilyen m�dos�tott boot szekvenci�nak,
aj�nlom, hogy mindenki tegyen �gy az esetleges gondok elker�l�se v�gett.
A gyors�t�t�r teljes m�rt�kben a mem�ri�ban van t�rolva, soha nem ker�l ki�r�sra a lemezre. Valamennyiszer lel�v�d a named-et, a gyors�t�t�r elveszik. A gyors�t�t�r semmilyen m�don nem ellen�rizhet�, a named gondozza n�h�ny egyszer� szab�ly alapj�n, �s ennyi. Nem ellen�rizheted a gyors�t�t�rat, vagy annak m�ret�t semmilyen m�don �s semmik�pp. Ha akarod, "kijav�thatod" ezt a named hackel�s�vel. Ez azonban nem aj�nlott.
Nem, a named nem menti le, ha meghal. Ez azt jelenti, hogy a gyors�t�t�rat �jra fel kell �p�teni minden alkalommal, amikor lel�v�d �s �jraind�tod a named-et. Nincs m�d r�, hogy r�vedd a named-et, hogy lementse gyors�t�t�r�t egy �llom�nyba. Ha akarod, "kijav�thatod" ezt a named hackel�s�vel. Ez azonban nem aj�nlott.
linux-rules.net nev� tartom�nyomat. Hogyan tehetem
meg, hogy az �ltalam k�v�nt tartom�nyt hozz�m rendelj�k?
K�rlek l�pj kapcsolatba a h�l�zati szolg�ltat�ddal. �k k�pesek lesznek seg�teni neked. K�rlek vedd figyelembe, hogy a vil�g legt�bb r�sz�n p�nzt kell fizetned egy tartom�ny�rt.
Mindkett� halad� t�ma. A http://www.etherboy.com/dns/chrootdns.html honlap sz�l r�luk. Nem fogom ezeket a t�m�kat tov�bb magyar�zni itt.
Dokument�ci� �s eszk�z�k.
L�tezik Val�di Dokument�ci�. Azonnal olvashat� (online) �s nyomtatott. Ezek k�z�l n�h�ny elolvas�sa k�vetelm�ny a kezd� DNS adminb�l egy halad� adminn� v�l�shoz.
Meg�rtam a The Concise Guide to DNS and BIND (Nicolai Langfeldt, �n) k�nyvet, kiadta a Que (ISBN 0-7897-2273-9). A k�nyv hasonlatos ehhez a HOGYANhoz, csak r�szletesebb, �s mindenb�l sokkal t�bb van benne. Le van ford�tva lengyelre is, �s DNS i BIND kiadva a Helion �ltal ( http://helion.pl/ksiazki/dnsbin.htm, ISBN 83-7197-446-9). Most van negyedik kiad�sban a DNS and BIND Cricket Liu-t�l �s P. Albitz-t�l az O'Reilly & Associates gondoz�s�ban (ISBN 0-937175-82-X, el�szeretettel nevezve a Cricket k�nyvnek). Egy m�sik k�nyv a Linux DNS Server Administration, Craig Hunt-t�l, a Sybex kiad�s�ban (ISBN 0782127363), m�g nem olvastam el. Egy m�sik k�vetelm�ny a k�pzett DNS adminisztr�tor sz�m�ra a Zen and the Art of Motorcycle Maintenance Robert M. Pirsig-t�l.
Megtal�lhatod a k�nyvemet azonnal olvashat� form�ban (online), m�s k�nyvek tonn�ival egy�tt, amelyek elektronikusan el�rhet�k mint el�fizet�ses szolg�ltat�s a http://safari.informit.com/ honlapon. Van m�g anyag a http://www.dns.net/dnsrd/ (DNS Resources Directory), http://www.isc.org/bind.html c�men; Egy GYIK, egy referencia k�zik�nyv (az ARM-nak szint�n benne kell lennie a BIND disztrib�ci�ban) �pp�gy, mint pap�rok �s protokoll defin�ci�k, �s DNS hackek (ezeket, �s a legt�bb, ha nem az �sszes, lentebb eml�tett RFC-t, szint�n tartalmazza a DNS disztrib�ci�). T�bbs�g�t nem olvastam. A news:comp.protocols.tcp-ip.domains h�rcsoport a DNS-r�l sz�l. Ezekhez ad�d�an van egy p�r RFC a DNS-r�l, a legfontosabbak val�sz�n�leg az itt felsoroltak. Azok, melyeknek van BCP (Best Current Practice - Legjobb Jelenlegi Gyakorlat) sz�ma, er�sen aj�nlottak.
BCP 20, H. Eidnes et. al. Classless IN-ADDR.ARPA delegation, 1998 m�rcius. (Oszt�lyon k�v�li IN-ADDR.ARPA deleg�l�s) Ez a CIDR-r�l sz�l, vagy az oszt�lyon k�v�li alh�l�zatok ford�tott lek�rdez�s�r�l.
M. Andrews, Negative Caching of DNS Queries, 1998 m�rcius. (A DNS lek�rdez�sek negat�v gyors�t�t�raz�sa) A negat�v gyors�t�t�raz�sr�l �s a $TTL z�na�llom�ny direkt�v�r�l.
BCP 17, M. Hamilton and R. Wright, Use of DNS Aliases for Network Services, 1997 okt�ber. (A DNS �lnevek haszn�lata h�l�zati szolg�ltat�sok c�lj�ra) A CNAME haszn�lat�r�l.
BCP 16, R. Elz et. al., Selection and Operation of Secondary DNS Servers, 1997 j�lius. (A m�sodlagos DNS szerverek kiv�laszt�sa �s m�k�dtet�se)
A. Gulbrandsen, P. Vixie, A DNS RR for specifying the location of services (DNS SRV), October 1996 (Egy DNS RR a szolg�ltat�sok helymeghat�roz�s�ra)
Y. Rekhter, R. Moskowitz, D. Karrenberg, G. de Groot, E. Lear, Address Allocation for Private Internets, 1996.02.29. (C�mlefoglal�s mag�n Internetek sz�m�ra)
D. Barr, Common DNS Operational and Configuration Errors, 1996.02.28. (Gyakori �zemeltet�si �s be�ll�t�si DNS hib�k)
B. Barr /Errors in RFC 1912. (Hib�k az RFC 1912-ben/ Csak a http://www.cis.ohio-state.edu/~barr/rfc1912-errors.html c�men �rhet� el.
A. Romao, Tools for DNS debugging, 1994.11.03. (A DNS hibakeres�s eszk�zei)
C. Farrell, M. Schulze, S. Pleitner, D. Baldoni, DNS Encoding of Geographical Location, 1994.11.01. (A f�ldrajzi helyek DNS-be k�dol�sa)
R. Ullmann, P. Mockapetris, L. Mamakos, C. Everhart, New DNS RR Definitions, 1990.10.08. (�j DNS RR meghat�roz�sok)
P. Mockapetris, Domain names - implementation and specification, 1987.11.01. (Tartom�nynevek - implement�ci� �s specifik�ci�)
P. Mockapetris, Domain names - concepts and facilities, 1987.11.01. (Tartom�nynevek - fogalmak �s lehet�s�gek)
M. Lottor, Domain administrators operations guide, 1987.1.01. (Tartom�ny-adminisztr�torok �zemeltet�i �tmutat�ja)
M. Stahl, Domain administrators guide, 1987.11.01.
(Tartom�ny-adminisztr�torok �tmutat�ja)
C. Partridge, Mail routing and the domain system, 1986.01.01. (Lev�ltov�bb�t�s �s a tartom�nyrendszer)