Сетевые средства Linux, Смит Родерик В.

Сетевые средства Linux

на обложку

Смит Родерик В.

Шрифт:

Внимание

Если вы включите в состав конфигурационного файла корневую зону и зададите опцию

forward first

, то в случае, когда серверы, предназначенные для перенаправления запроса, станут не доступны, BIND предпримет попытку выполнения стандартной процедуры преобразования адресов. Само по себе это неплохо, но при этом процедура выявления ошибки и генерации соответствующего сообщения окажется длительной. В особенности этот будет заметно в том случае, если соединение с Internet осуществляется посредством линии с большой задержкой.

Ранее в данной главе упоминались серверы, предназначенные лишь для кэширования результатов преобразований. Эти серверы занимают меньше памяти, чем BIND, тем не менее, они используются достаточно редко. Причина в том, что BIND поставляется в составе многих дистрибутивных пакетов и гораздо проще в настройке по сравнению с другими серверами. Если вы захотите сэкономить ресурсы, вы можете вместо BIND использовать

dnscache

или

pdnsd

Сконфигурировав и запустив сервер имен (либо полнофункциональный, либо предназначенный только для кэширования), вам необходимо указать его IP-адрес для всех компьютеров, которые должны работать с ним. Если вы забудете сделать это, узлы вашей сети по-прежнему будут обращаться к внешним серверам DNS.

Взаимодействие с сервером DHCP

Если в вашей сети IP-адреса распределяются посредством сервера DHCP, вы не сможете задавать фиксированные адреса в конфигурационном файле зоны, так как адрес, выделенный клиенту DHCP, становится известным лишь при его загрузке и может измениться при следующей загрузке. В главе 5 рассматривались два решения этой проблемы: настройка сервера DHCP для предоставления клиенту одного и того же IP-адреса и настройка DHCP и серверов DNS для совместной работы. Если вы выберете первый способ, т.е. сконфигурируете сервер DHCP так, что он будет выделять конкретным клиентам фиксированные IP-адреса, вам придется уделять много внимания сопровождению этих серверов. Предположим, что вам необходимо указать, что компьютеру

birch.threeroomco.com

должен соответствовать адрес 192.168.1.2. Для этого вам надо изменить как конфигурационный файл сервера DHCP, так и конфигурационные файлы зон сервера DNS, используемых для прямого и обратного преобразования. При этом приходится следить за тем, чтобы значения в обоих файлах совпадали. Несмотря на то что данное решение реализуется относительно просто, для больших доменов оно неприемлемо.

В главе 5 рассматривалась конфигурация сервера DHCP для совместной работы с сервером DNS. Чтобы соответствующим образом настроить BIND, вам надо внести изменения в файл

named.conf

. Вы должны добавить в определение соответствующей зоны опцию

allow-update

. В результате определение зоны примет следующий вид:

zone "threeroomco.com" {

type master;

file "named.threeroomco.com";

allow-update { 192.168.1.1; }

};

Теперь BIND будет принимать информацию об IP-адресах от компьютера с адресом 192.168.1.1. Как нетрудно догадаться, это должен быть адрес узла сети, на котором выполняется сервер DHCP. Аналогичные изменения надо внести в определение обратной зоны.

Внимание

Если ваш сервер DNS доступен из Internet или если вы не полностью доверяете пользователям локальной сети, получение информации об обновлении DNS-данных представляет угрозу безопасности системы. Хакер может взломать сервер DHCP или, фальсифицировав адрес, внести необходимые ему изменения в конфигурацию сервера DNS. Чтобы уменьшить опасность атаки, желательно разместить серверы DNS и DHCP на одном компьютере и разрешить обновление только с локального узла (127.0.0.1).

Запуск и тестирование сервера

Для запуска сервера DNS можно применить любой из способов, рассмотренных в главе 4, но чаще всего сервер DNS запускается с помощью сценария SysV или локального сценария запуска. Запуск сервера DNS посредством суперсервера снизит скорость преобразования имен.

Для тестирования сервера имен хорошо подходит инструмент

host

. Программа

host

поставляется в составе большинства версий Linux; обычно она располагается в пакете

bind-utils

. Данная утилита передает указанному серверу DNS запросы на преобразование имен. В простейшем случае

host

взаимодействует с сервером, указанным в файле

/etc/resolv.conf

на том компьютере, на котором она выполняется. Для вызова данной программы надо ввести ее имя, а также имя узла либо IP-адрес.

$ host www.awl.com

www.awl.com is a nickname for awl.com

awl.com has address 165.193.123.224

В данном примере первая строка, отображаемая программой, сообщает о том, что

www.awl.com

представляет собой каноническое имя (заданное с помощью записи

CNAME

) узла

awl.com

. Этот компьютер имеет адрес 165.193.123.224. Такой тест подтверждает, что сервер DNS может преобразовывать имена внешних узлов. Если вы сконфигурировали сервер для поддержки собственного домена, вы должны указать при проверке локальные имя и адрес. Убедитесь в том, что сервер выполняет как прямое, так и обратное преобразование. При необходимости вы также можете просмотреть записи требуемого типа, задавая при вызове утилиты опцию

– t

. Например, чтобы проверить записи

для домена, вам потребуется выполнить следующую команду:

$ host -t MX awl.com

awl.com mail is handled by 100 mailhost.uu.net.

awl.com mail is handled by 10 oldtms702.pearsontc.com.

awl.com mail is handled by 20 oldtms701.pearsontc.com.

Данная проверка показывает, что в домене com определены три почтовых сервера:

oldtms702.pearsontc.com

(приоритет 10),

oldtms701.pearsontc.com

(приоритет 20) и

mailhost.uu.net

(приоритет 100). Если вы хотите указать сервер DNS для тестирования, вам надо при вызове программы задать имя или IP-адрес этого сервера.

$ host www.awl.com spruce

Using domain server:

Name: spruce.threeroomco.com

Address: 192.168.1.3

Aliases:

www.awl.com is a nickname for awl.com

awl.com has address 165.193.123.224

При этом выводятся те же данные, что и в предыдущем примере, кроме того, отображается подтверждение того, что программа

host

передала запрос конкретному серверу DNS.

Дополнительную информацию о программе

host

вы можете найти в справочной системе. Для тестирования сервера также можно использовать утилиту

nslookup

. Она выполняет практически те же функции, что и

host

, но в настоящее время считается устаревшей.

Резюме

Если в сети имеется достаточно большое число компьютеров, целесообразно установить в этой сети сервер DNS. Этот сервер может обслуживать как внешних клиентов, которым необходимо определять IP-адреса компьютеров, принадлежащих вашему домену, так и внутренних клиентов, которым нужны IP-адреса внешних компьютеров. При настройке сервера DNS надо задать базовый набор опций, включая опции общего назначения, информацию о корневых серверах и определения зон, поддерживаемых вашим сервером. Если вы хотите, чтобы сервер выполнял преобразования имен компьютеров вашего домена, вам надо создать конфигурационный файл зоны. В этом файле содержится информация о соответствии имен и IP-адресов, а также указываются компьютеры, выполняющие специальные функции в домене, например почтовые серверы.