Netwerken onder Linux. Gunther Van Landeghem KHK Dep.HWBK

Transcriptie

1 Netwerken onder Linux Gunther Van Landeghem KHK Dep.HWBK maart 2010

2 Inhoudsopgave 1 Algemene inleiding 1 2 Benodigde voorkennis Benodigde voorkennis Linux Benodigde voorkennis TCP/IP Instellen van de netwerkkaart(en) Inleiding MAC-adressen Instellen van de netwerkkaart Het loopback device DHCP instellen Statisch IP instellen Alias interfaces De DNS-servers instellen Routering DNS Inleiding Over DNS: de theorie Resource Records Record Types Installatie configuratie Algemene configuratie i

3 INHOUDSOPGAVE ii Caching Nameserver Primary Master Testen Het commando dig Veelgebruikte mogelijkheden van dig DHCP Inleiding Installatie Koppelen aan een netwerkinterface Basisconfiguratie DHCPD DHCPD testen Leases nakijken Niveaus in DHCP-opties DHCP-relay-agent Failover DHCP-server Meer configuratie opties Logging Een vast IP-adres koppelen aan een host Andere opties te bekijken DHCP en Dynamic DNS Key DNS-server DHCP-server Netfilter Inleiding Tables en Chains De syntax van iptables Mogelijkheden bij table Mogelijkheden bij commando Mogelijkheden bij match

4 INHOUDSOPGAVE iii Mogelijkheden bij target Het opbouwen van de firewall De firewall bekijken De standaard policy Verkeer op de localhost toestaan Established Sessions toestaan Inkomend verkeer op bepaalde poorten toestaan ICMP toelaten Regels verwijderen Logging aanzetten De firewall automatisch laten starten De firewall (tijdelijk) uitzetten GUI voor netfilter Controle van de netwerkinstellingen Inleiding ping traceroute mtr tcpdump lsof Appendices 49 Iptables 49 Default config-file van DHCPD 52 Overzicht van mogelijken tijdswaarden in zonefiles voor DNS 55

5 Lijst van figuren 7.1 De werking van iptables Het programma mtr in werking iv

6 Hoofdstuk 1 Algemene inleiding Met behulp van deze cursus leer je de netwerkinstellingen van een Linux Distributie instellen. Daarnaast geeft deze cursus je een basisinzicht in de installatie en configuratie van diverse, veel gebruikte netwerkservices onder Linux. Deze cursus baseert zich op de Linux distributie Ubuntu Server Je kan deze distributie downloaden van De iso die je downloadt van deze website kan je branden op een CD(-RW). Let op, er is een 32-bit en 64-bit versie. Zorg ervoor dat je de juiste neemt voor jou PC. Indien je twijfelt, neem dan de 32-bit versie, die werkt altijd. Commando s die uitgevoerd moeten worden kan je aan de volgende syntax herkennen: user@hostname:~$ commando [optie] [argument] Ook de inhoud van config-files zijn in dezelfde lay-out weergegeven. Als er bij een commando vierkante haakjes gebruikt worden, is de optie of het argument tussen die haakjes optioneel. Indien je over een bepaald onderwerp meer wenst te weten, kan je altijd terecht in de man-pages van de software. Het commando man naam_van_de_software of man naam_van_de_configfile zal je al een aardig stuk op weg helpen. Ook de websites van de diverse softwarepakketen bevatten meestal erg veel informatie, handleidingen en FAQ s. Alle opmerkingen over deze cursus mag je mij gerust bezorgen. Ook als je van mening bent dat er een gedeelte ontbreekt of niet uitgebreid genoeg is, kan je mij vragen die toe te voegen of bij te werken. Ik probeer dit dan mee te verwerken in een volgende versie. Gunther Van Landeghem gunther.van.landeghem@khk.be Maart, 2010 De Creative Commons Naamsvermelding-Geen Afgeleide werken 2.0 België Licentie is van toepassing op dit werk. Ga naar of stuur een brief naar Creative Commons, 171 Second Street, Suite 300, San Francisco, California, 94105, VS om deze licentie te bekijken. 1

7 Hoofdstuk 2 Benodigde voorkennis 2.1 Benodigde voorkennis Linux Een goede kennis van systeembeheer onder Linux is noodzakelijk om vlot met deze cursus te kunnen werken. 2.2 Benodigde voorkennis TCP/IP Om vlot met deze cursus te kunnen werken is een degelijke basiskennis van TCP/IP nodig. Volgende termen zouden niet onbekend mogen zijn: IP-adres en Netmask Routering en Gateway Socket en Poort De werking van TCP/IP valt buiten het bereik van deze cursus. Meer informatie kan je steeds terugvinden op de volgende pagina s: Control Protocol en UDP-poorten 2

8 Hoofdstuk 3 Instellen van de netwerkkaart(en) 3.1 Inleiding Ondanks dat vele distrubuties de nodige grafische tools meeleveren om de netwerkkaart in te stellen, focussen we ons hier op het instellen van de netwerkkaart via de CLI daar de meeste systemen via commandline worden beheerd. Een server kan voorzien worden van één of meerdere NIC s (Network Interface Card). Onder linux worden deze devices aangesproken via hun logische namen. De eerste netwerkkaart spreek je aan via eth0, de tweede via eth1, etc. Het is zelfs mogelijk om meerdere configuraties aan een kaart toe te wijzen welke je kan aanspreken via /dev/eth0:1, maar daarover verder meer. Om een overzicht te krijgen van al je netwerkkaarten kan je volgende commando uitvoeren: gunther@server:~$ sudo lshw -class network *-network description: Ethernet interface product: 82540EM Gigabit Ethernet Controller vendor: Intel Corporation physical id: 1 bus info: pci@0000:07:01.0 logical name: eth0 version: 02 serial: 00:07:e9:77:67:18 size: 1GB/s capacity: 1GB/s width: 32 bits clock: 66MHz capabilities: (snipped) configuration: (snipped) resources: irq:17 memory:fbee0000-fbefffff memory:fbec0000-fbedffff ioport:ec00(size=64) memo 3

9 HOOFDSTUK 3. INSTELLEN VAN DE NETWERKKAART(EN) MAC-adressen De logische namen, zoals bijvoorbeeld eth0, zorgen ervoor dat je makkelijk een configuratie kunt doen van je netwerk. Deze logische namen worden in de achtergrond gelinkt aan het MAC-adres van je fysieke netwerkkaart. Dit gebeurt in het bestand /etc/udev/rules.d/70-persistent-net.rules. Een voorbeeld: # This file maintains persistent names for network interfaces. # See udev(7) for syntax. # # Entries are automatically added by the 75-persistent-net-generator.rules # file; however you are also free to add your own entries. # PCI device 0x1969:0x1026 (ATL1E) SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="00:23:15:87:72:bd", ATTR{dev_id}=="0x0", ATTR{type}=="1", KERNEL=="eth*", NAME="eth0" Indien je problemen hebt met de naamgeving van je netwerkkaarten, kan je gerust dit bestand verwijderen en rebooten. 3.3 Instellen van de netwerkkaart De meeste instellingen voor je netwerkkaart(en) vind je terug in /etc/network/interfaces. Dit bestand kan je eenvoudig bewerken met je teksteditor, maar vergeet niet dat dit steeds met rootrechten moet gebeuren: gunther@server:~$ sudo vim /etc/network/interfaces Het loopback device Zelfs indien je geen netwerkkaart in je computer hebt, zal dit bestand toch inhoud hebben. Op elke linux-machine is er steeds het loopback device aanwezig. Hiermee kan de server zichzelf bereiken en kan je makkelijk bepaalde testen uitvoeren. Ook diverse softwarepakketen zullen gebruik maken van dit loopback device om te communiceren met elkaar. Dit is de standaard configuratie hiervoor: gunther@server:~$ cat /etc/network/interfaces # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback Een envoudige ping naar de localhost of naar toont ons dat alles werkt. gunther@server:~$ ping -c 4 localhost

10 HOOFDSTUK 3. INSTELLEN VAN DE NETWERKKAART(EN) 5 PING localhost ( ) 56(84) bytes of data. 64 bytes from localhost ( ): icmp_seq=1 ttl=64 time=0.053 ms 64 bytes from localhost ( ): icmp_seq=2 ttl=64 time=0.287 ms 64 bytes from localhost ( ): icmp_seq=3 ttl=64 time=0.209 ms 64 bytes from localhost ( ): icmp_seq=4 ttl=64 time=0.266 ms --- localhost ping statistics packets transmitted, 4 received, 0% packet loss, time 3017ms rtt min/avg/max/mdev = 0.053/0.203/0.287/0.093 ms gunther@server:~$ ping -c PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=64 time=0.037 ms 64 bytes from : icmp_seq=2 ttl=64 time=0.301 ms 64 bytes from : icmp_seq=3 ttl=64 time=0.266 ms 64 bytes from : icmp_seq=4 ttl=64 time=0.204 ms ping statistics packets transmitted, 4 received, 0% packet loss, time 3019ms rtt min/avg/max/mdev = 0.037/0.202/0.301/0.101 ms DHCP instellen Nu willen we onze eerste netwerkkaart eth0 instellen met DHCP, dan volstaat het om de volgende regels toe te voegen aan /etc/network/interfaces: # The primary network interface auto eth0 iface eth0 inet dhcp De eerste lijn zorgt ervoor dat de networkinterface eth0 automatisch wordt gestart bij het booten van het systeem. De tweede regel betekent dat de interface (iface) eth0 gebruik maakt van IPv4 (vervang inet door inet6 voor IPv6) en zijn adres krijgt via DHCP. In principe volstaat dit om te kunnen netwerken. Via DHCP zal je server een IP-adres ontvangen, alsook de default gateway en de adressen van de DNS servers Statisch IP instellen Willen we nu bijvoorbeeld een tweede netwerkkaart (er vanuitgaand dat deze aanwezig is in uw computer) toevoegen met een vast IP-adres, dan hebben we iets meer werk. We moeten dan minstens een IP-adres en een netmask instellen. Alle andere instelling zijn optioneel. In /etc/network/interfaces kunnen we bijvoorbeeld de volgende regels toevoegen: # The secondary network interface iface eth1 inet static address netmask broadcast #optioneel

11 HOOFDSTUK 3. INSTELLEN VAN DE NETWERKKAART(EN) 6 network gateway #optioneel #optioneel De betekenis van elke regel zou voor zich moeten spreken. Om deze netwerkkaart te activeren herstart je de computer of gebruik je het volgende commando: gunther@server:~$ sudo ifup eth Alias interfaces Wens je een tweede configuratie toe te kennen aan een netwerkkaart, bvb eth1, dan kan je dit doen door volgende regels op te nemen in /etc/network/interfaces: iface eth1:1 inet static address netmask gateway Indien je met vaste IP-adressen werkt, vergeet dan niet de DNS-servers in te stellen! 3.4 De DNS-servers instellen Om de DNS-servers in te stellen op een Linux-machine moet je het bestand /etc/resolv.conf aanpassen. Je kan hierin maximum 3 DNS-servers vermelden. Deze worden bij het opzoeken van de domeinnaam overlopen, in de volgorde dat ze zijn opgesomd, tot er een resolve is. Je vermeld deze DNS-servers achter de term nameserver telkens op een nieuwe lijn, in volgorde van belangrijkheid. Je kan achter de term search een zoeklijst opsommen voor het opzoeken van hostnamen. Een nslookup naar www zal, in onderstaande geval, opleveren, en indien deze niet bestaat dan enzovoort. Bij de term domain kan je jouw lokale domeinnaam zetten. Let wel op, indien DHCP staat ingesteld op één van uw NIC s zal dhclient 1 het bestand /etc/resolv.conf overschrijven telkens er een IP-adres wordt opgevraagd. Dit is een voorbeeld van /etc/resolv.conf: gunther@server:~$ cat /etc/resolv.conf domain khk.be search example.org example.net example.com # bij search max. 6 domeinen en max. 256 characters in totaal nameserver nameserver Het opties domain en search zijn wederzijds exclusief. Als beiden voorkomen dan zal enkel de laatste instantie gebruikt worden. Via het commando man resolv.conf kan je meer info vinden. 1 Het programma verantwoordelijk voor de DHCP-requests

12 HOOFDSTUK 3. INSTELLEN VAN DE NETWERKKAART(EN) Routering Indien je met meerdere interfaces werkt, is het noodzakelijk dat je host weet welk netwerk via welke interface bereikt kan worden. En indien een pakket niet voor één van de aangesloten netwerken is, moet je weten via welke andere host het pakket kan gestuurd worden om het toch nog op de bestemming te krijgen. Dit is de zogenaamde route-informatie of IP routing table. Deze tabel wordt samengesteld door de kernel en kan gemanipuleerd worden met de commando route. Indien je dit commando gebruikt zonder opties wordt de huidige routetabel weergegeven. gunther@server:~$ route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface * U eth * U eth0 link-local * U eth * U eth1 default UG eth2 gunther@server:~$ Zoals reeds gezegd kan je deze tabel ook aanpassen. Volgend commando zal een statische route toevoegen naar het netwerk via de host : gunther@server:~$ sudo route add -net gw De default gateway kan je instellen met volgende commando: gunther@server:~$ sudo route add default gw Bij een volgende reboot zullen deze regels verdwenen zijn. Je kan deze persistent maken door ze bijvoorbeeld op te nemen in je initialisatie scripts. Hoe je dit doet, valt buiten de cursus.

13 Hoofdstuk 4 DNS [4, 5, 2] 4.1 Inleiding Het Domain Name System (DNS) is een systeem en protocol dat op zowel het internet als het intranet gebruikt wordt. Alle domeinnamen en IP-adressen staan daarbij in een soort database en een DNS-server matcht deze gegevens. Daardoor kan je een computer niet alleen via het IP-adres benaderen, maar ook via zijn fully qualified domain name (FQDN). Het omgekeerde is ook mogelijk, een IP-adres wordt daarbij gematcht met een FQDN. Dit noemt men reverse DNS. De Berkeley Internet Name Domain ofwel BIND is de meest gebruikte DNS-server en wordt ondersteund door het Internet Software Consortium ( 4.2 Over DNS: de theorie Voor je aan de configuratie van een DNS-server begint, is het best om eerst de syntax die gebruikt wordt in de zonefiles te begrijpen Resource Records De DNS-data wordt opgeslagen in resource records. Zo n resource records kan bijvoorbeeld een DNS-naam koppelen aan een IP-adres. Elk resource record wordt op één regel geschreven en bevat meerdere velden. De syntax is de volgende: [name] [ttl] [class] type data Let op: deze syntax is specifiek voor de Resource Records in de configfiles van de zones. De volgorde van deze velden in de effectieve datapakketten, die verzonden worden over het netwerk, is anders. De betekenis van deze velden is: 8

14 HOOFDSTUK 4. DNS 9 name Een name-veld beschrijft de entiteit (host of domein) die het record beschrijft. Wanneer verschillende opeenvolgende records verwijzen naar dezelfde entiteit, kan de naam weggelaten worden na het eerste record. Het name-veld moet, indien het aanwezig is, altijd in de eerste kolom staan. Dit veld kan ofwel absoluut ofwel relatief zijn. Absolute paden eindigen met een punt en zijn volledig. Bij relatieve namen wordt de huidige domain name toegevoegd op het einde. Voorbeeld: IN A Uitleg: Het eerst veld heeft de waarde dus deze record gaat over het absolute pad ofwel dus de webserver van de KHK. ttl Time To Live, dit veld beschrijft hoe lang - in seconden - een data item kan gecached worden door een resolver en nog als geldig beschouwd worden. Meestal wordt er een default waarde genomen voor de volledige zone via de richtlijn $TTL, welke bovenaan de configfile moet staan om effect the hebben op alle andere Resource Records. Deze $TTL geldt dan voor elke Resource Record waar geen explicite ttl wordt vermeld. Als je de waarde zet, zet ze dan op enkele dagen tot weken[3]. Voorbeeld: IN A Uitleg: In ons voorbeeld staat de ttl voor de record met de naam op 3600, omgerekend is dit dus 1 uur. class De class directive specifieert het type netwerk. Er zijn 3 verschillende opties mogelijk IN voor internet CH voor ChaosNet HS voor Hesiod Chaosnet is een obsolet netwerk protocol dat vroeger gebruikt werd door Symbolics Lisp machines. Hesiod is een database service die gebouwd is bovenop BIND. De default waarde is IN. Hoewel het niet nodig is een waarde te definiëren als je gebruik wil maken van IN, wordt het meestal toch gedaan. Voorbeeld: IN A

15 HOOFDSTUK 4. DNS 10 type Hier plaats je het type van record. Zie hiervoor het hoofstuk over Record Types. Voorbeeld: IN A Uitleg: Dit record zal de naam koppelen aan het ip-adres door de vermelding van het juist type A, wat staat voor Address. data In dit veld komt een IP adres of een domeinnaam. Ook dit veld kan ofwel absoluut ofwel relatief zijn. Absolute paden eindigen met een punt en zijn volledig. Bij relatieve namen wordt de huidige domain name toegevoegd op het einde. Voorbeeld: IN A Uitleg: De data in het record met de naam is een ip-adres, namelijk Deze bovenstaande velden, name, ttl, class en type, worden telkens gescheiden door een witruimte, spatie of tab. De velden kunnen ook speciale karakters bevatten: ; Wordt gebruikt om commentaar aan te geven. Alles wat volgt na een ; wordt niet meer Is een verwijzing naar de huidige domain name. () Dit laat je toe om data te verspreiden over meerdere regels. Is een wild card, enkel te gebruiken in het name veld Record Types Zoals hierboven vermeld is één van de velden uit een resource record het type veld. Dit zijn enkele veel gebruikte record types met hun korte beschrijving. Type Naam Functie SOA Start Of Authority Definitie van een dns zone NS Name Server Identificeert de zone server en delegeert de subdomeinen A IPv4 adres Naam naar adres vertaling AAAA IPv6 adres Naam naar IPv6 adres vertaling PTR PoinTeR Adres naar naam vertaling MX Mail exchanger Een -server voor het domein CNAME Canonical NAME Nicknames of alias voor een host TXT TeXT Commentaar en informatie

16 HOOFDSTUK 4. DNS 11 A-record of Address record Korte omschrijving: Verwijzing naar een IP-adres Mogelijke waarde: Geldig IPv4 adres Een A record definieert de IP-adressen van hosts en andere netwerkapparaten. Het patroon van een IP-adres is bijvoorbeeld De meeste hosts hebben 1 IP-adres en zullen dan ook 1 A-record hebben. Routers of diverse servers hebben vaak meerdere netwerkkaarten en dus ook meerdere IP-adressen. Voor deze hosts kunnen er dan ook meerdere A-records aangemaakt zijn. Voorbeeld: server1 IN A server1 IN A AAAA-record Korte omschrijving: Verwijzing naar een IPv6-adres Mogelijke waarde: Geldig IPv6 adres Een AAAA-record is het IPv6-equivalent van een A-record en definieert de IPv6-adressen van hosts en andere netwerkapparaten die gebruik maken van het IPv6-protocol. Het patroon van een Ipv6-adres is bijvoorbeeld fe80:0:0:0:0:0:a00:2817. Voorbeeld: IN AAAA 2001:4f8:0:2::d CNAME of Canonical NAME Korte omschrijving: Alias naar een andere hostname Mogelijke waarde: Geldige hostname Een CNAME record is een alias voor een ander DNS record en verwijst dus naar een andere volwaardige hostname. Een voorbeeld van een vaak voorkomende CNAME is www: deze verwijst dan naar bijvoorbeeld de webserver van de domeinnaam. Wanneer het domein example.com is geregistreerd en voor server.example.com is er een A-record, kan je bijvoorbeeld een CNAME aanmaken van Dit is dan een alias voor webserver.example.com. Daarna kan je ook makkelijk nieuwe functies koppelen aan deze server, zoals bijvoorbeeld ftp. Voorbeeld: server IN A www IN CNAME server ftp IN CNAME server Beperkingen: Gebruik geen CNAMEs in combinatie met Resource Records welke verwijzen naar andere namen zoals MX, CNAME, PTR and NS. Dit wordt bijvoorbeeld sterk IN MX mailhost

17 HOOFDSTUK 4. DNS 12 mailhost IN CNAME mailserver ; fout mailserver IN A ; fout CNAME records die naar een ander CNAME record verwijst, moet vermeden worden. Dit zou tot loops kunnen leiden, bijvoorbeeld: foo.example.com. IN CNAME bar.example.com. ; fout bar.example.com. IN CNAME foo.example.com. ; fout MX Korte omschrijving: Definieert een mailserver Mogelijke waarde: Bestaand A-record Prioriteit: Lage waarde is hoge prioriteit Het MX (Mail exchanger) record definieert waar van het domein moet worden bezorgd. Een standaard verzonden mail gaat doorgaans van een client naar een SMTP-server. Deze leest vervolgens de MX-records van het domein in het adres. Met het adres info@khk.be wordt dus het MX-record voor het domein khk.be doorzocht. Een MX-record bevat twee soorten informatie: de preferentie en de domeinnaam van de mailserver. De preferentie (voorkeur) wordt opgegeven in het priority-veld en geeft aan naar welke server het eerst gezocht zal worden. Alle mailservers moeten een corresponderend A-record hebben. IN MX 10 IN MX 20 mail2.domain.com. mail IN A mail2 IN A NS Korte omschrijving: Definieert de nameservers Mogelijke waarde: Geldige nameservers Dit record geeft de IP-adressen van een NameServer terug voor een bepaald domein of een subdomein. Elk domein heeft minimaal twee NS-records. De NS-records worden gebruikt om een set van authoritative nameservers te definiëren voor een bepaalde zone. Dit zijn de servers die worden aangesproken door resolvers en niet-authoritative nameservers die informatie willen hebben over een zone of domein. Als een nameserver authoritative is voor een domein zal de nameserver een A-record voor het domein bevatten. Wanneer een nameserver niet authoritative is voor een bepaald domein, zal de nameserver een NS-record en een A-record bevatten met een IP-adres of domein naar een andere nameserver. IN NS IN NS ns2.example.org. ns1.example.org. IN A ns2.example.org. IN A

18 HOOFDSTUK 4. DNS 13 SOA Korte omschrijving: Belangrijke informatie over de DNS-zone Mogelijke waarde: Vast patroon Het SOA-record (Start Of Authority) geeft aan welke nameserver autoriteit heeft over een zone en bevat informatie die voornamelijk voor slave nameservers van belang is. Dit record wordt altijd als eerste record in een zonefile opgenomen. SOA-gegevens worden per domeinnaam opgegeven in het patroon van: <nameserver> < > <serial> <refresh> <retry> <expire> <minimum>. De velden van een SOA-record hebben de volgende betekenis: Nameserver: De naam van de master nameserver Het adres van de beheerder, met de apenstaart vervangen door een punt Serial: Dit is het serienummer van de zonefile. Wanneer het serienummer verhoogd wordt, zal de master de zonefile opnieuw inlezen na een reload, en de slaves zullen een zonetransfer doen. Bij elke wijziging in een zonefile zal dit SOA-record worden aangepast. Refresh: Dit is het tijdsinterval waarin een slave nameserver bij de master controleert of het serienummer verhoogd is. Retry: Als de master nameserver onbereikbaar was bij de laatste controle van het serienummer, dan gaat de slave het opnieuw proberen na dit tijdsinterval Expire: Als de master nameserver zo lang down is geweest als aangegeven in expire, dan verwijdert de slave de zone Minimum: Minimale TTL (time to live). IN SOA ns1.example.com. postmaster.example.com. ( 1 ; serial number 3600 ; refresh [1h] 600 ; retry [10m] ; expire [1d] 3600 ) ; min TTL [1h] TXT Korte omschrijving: Accepteert leesbare tekst Mogelijke waarde: Vrije waarde (max. 255 tekens) In een TXT-record (TeXT) kunnen gegevens worden opgeslagen die niet door een computer gebruikt kunnen worden, maar wel leesbaar zijn voor gewone gebruikers. In de praktijk worden TXT-records echter ook gebruikt om extra functionaliteit aan het DNS toe te voegen, denk bijvoorbeeld aan SPF 1. IN TXT "Deze DNS server draait linux." 1 Sender Policy Framework

19 HOOFDSTUK 4. DNS Installatie De installatie van de DNS-server BIND9 is erg eenvoudig: sudo apt-get install bind9 4.4 configuratie Er zijn veel manieren om BIND9 te configureren. De meest voorkomende configuraties zijn als caching nameserver, als primaire master en als secundaire master. Geconfigureerd als caching nameserver, zal BIND9 het antwoord op een vraag opzoeken bij en andere nameserver en dit antwoord onthouden. Zo kan er nadien snel terug een antwoord gegeven worden aan de clients. Een primary master server zal de dns-gegevens van een zone uit een file lezen als hij voor deze zone verantwoordelijk is. Een secondary master server zal de dns-gegevens van een zone krijgen van een andere naamserver die verantwoordelijk is voor deze zone. Een doorsnee naamserver zal tegelijkertijd als caching name server, primary master en secondary master (kunnen) geconfigureerd worden. Zo n server zal dan verantwoordelijk zijn voor een zone, meestal het eigen domein, secondary service voorzien voor een andere zone, bvb een klant of dochteronderneming, als aan caching doen voor het lokale LAN. In dit hoofdstuk behandelen we enkel een caching name server en een primary master nameserver Algemene configuratie De DNS configuratie bestanden kan je terugvinden onder de directory /etc/bind. Het belangrijkste bestand is /etc/bind/named.conf waarvan dit de inhoud is: // This is the primary configuration file for the BIND DNS server named. // // Please read /usr/share/doc/bind9/readme.debian.gz for information on the // structure of BIND configuration files in Debian, *BEFORE* you customize // this configuration file. // // If you are just adding zones, please do that in /etc/bind/named.conf.local include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones"; De include-regels uit deze configfile zullen de inhoud uit de andere vermelde configfiles opnemen. Deze opsplitsing zorgt voor eenvoudigere configfiles. /etc/bind/named.conf.options beschrijft algemene opties van je nameserver.

20 HOOFDSTUK 4. DNS 15 /etc/bind/named.conf.local bevat de zones waar je server verantwoordelijk voor is. /etc/bind/named.conf.default-zones We zien onder /etc/bind nog enkele andere files. De belangrijkste is: /etc/bind/db.root In dit bestand staan de root nameservers uit de wereld. Deze servers veranderen al eens, dus dit bestand moet ook aangepast worden. Dit gebeurt meestal met de updates van je pc, maar kan ook handmatig of automatisch via cron gedaan worden Caching Nameserver De standaard configuratie van BIND9 is ingesteld om op te treden als een caching server. Het enige dat nog nodig is, is simpelweg het toevoegen van de IP-adressen van de DNS-servers van je ISP s. Dit kan in het bestand /etc/bind/named.conf.options: forwarders { }; ; ; Vergeet niet je server te herstarten: sudo /etc/init.d/bind9 restart Indien je geen forwarders instelt, zal er rechtstreeks met de root-servers gecommuniceerd worden Primary Master Om een nameserver in te stellen als een Primary Master moeten we drie zaken doen: Via het bestand /etc/bind/named.conf.local je server laten weten voor welke zone hij verantwoordelijk is. Een zonefile aanmaken voor deze zone. Een reverse-file aanmaken voor deze zone. We zullen deze procedure volgen voor het domein example.org. Vervang dit gerust met je eigen domeinnaam. Binnen deze zone zullen we enkele voorbeeld hosts toevoegen. De server instellen Plaats onderaan in het bestand /etc/bind/named.conf.local de volgende regels: zone "example.org" { type master; file "/etc/bind/db.example.org"; };