‘ергей Њинаков. Љонфигурирование BIND версии 8.x.x

Ћцените этот текст:
‘ергей Њинаков. Љонфигурирование BIND версии 8.x.x

---------------------------------------------------------------
 Ћригинал этого текста расположен в журнале "ћниксоид"
 http://www.fima.net/bind-8.html
---------------------------------------------------------------




Bind 8.x.x.
 ‚ведение.
ќта статьЯ посвЯщена BIND версии 8.x.x. ќта версиЯ поЯвилась 

относительно недавно. Ћна имеет совершенно другой конфигурационный

файл нежели BIND версии 4. ’акже в новой версии поЯвилось масса

новых возможностей, новые RR заниси, улудшенаЯ 'zone-check' процедура, специальные серийные номера, и др. 
P.S. Ћговорюсь сразу, в этой статье описаны далеко не все возможности BIND 8, а только основные.

Џример named.conf и описание опций:


Ѓудте внимательны не забывайте ставить ";"!


options {                       -- Ќачало —Ђ‘’€ "Options".
        directory "." ;{                 -- ђабочий каталог.
        named-xfer "/usr/libexec/named-xfer"; -- Џуть к 'zone-xfer'.
        dump-file "named_dump.db"; -- €мЯ „амп-”айла или имЯ

                                                   с путем из рабочего каталога.
        pid-file "/var/run/named.pid"; -- Џуть к pid-файлу.
        memstatistics-file "named.memstats"; -- €мЯ файла со статистикой.

                                                   использованиЯ памЯти.
        statistics-file "named.stats";  -- €мЯ файла со статистикой.
        check-names master fail;  -- ЋпциЯ пименЯемаЯ в случаЯх требуетсЯ проверка имен доменов. ‚ лог-файлах отображаетсЯ адрес мастер-сервера на, котором обнаружена ошибка.  
        check-names slave warn;  -- -- длЯ 'slave' зоны
        check-names response ignore;  -- -- дополнительнаЯ проверка ответов других серверов.
        host-statistics no; -- ‘татистика обращений по хостам.
        deallocate-on-exit no;  -- ЋпциЯ при которой освобождаютсЯ

                                                   все объекты при прерывании работы программы.

                                                   ќто выгодно при не правильном использовании

                                                   памЯти. ЏолнаЯ отчет о работе будет

                                                    находитьсЯ в 'memstatistics-file.'
        forward-only; -- ќквивалдент 'Slave'у.
        datasize default;  -- ‹имитирование сегметов выделЯемых под данные. 
        stacksize default;  -- ђазмер ‘’…ЉЂ.
        coresize default;
        files unlimited; -- Љоличество возможно допустимых обрабатываемых файлов.
        recursion yes; -- ЋпциЯ разрешающаЯ или запрещающаЯ рекурсию.
        fetch-glue yes;
        fake-iquery no; -- ќта опциЯ позвалЯет подменЯть ответы при определенных запросаx.
        notify yes; -- Џосылка "NOTIFY" сообщениЯ

                                                   ‚ы можете поставить 'yes' когда вы

                                                   используете схему 'zone-by-zone', также

                                                   эта опциЯ доступна в —Ђ‘’€ 'zone'.

        auth-nxdomain yes; -- ‚сегда ставьте AA при использовании

                                                   NXDOMAIN. Ќе ставьте эту опцию 'no' если вы 

                                                   не знаете, что делаете -- старые сервера 

                                                   (стараЯ версиЯ ЏЋ) не любЯт этого. :-);

        multiple-cnames no; -- …сли установлено 'yes' тогда

                                                   имеетсЯ более одного CANME RR. ќто 

                                                   используют в не стандартных ситуациЯх и

                                                   не рекомендуетсЯ, но доступно потому что 

                                                   предидущии версии поддерживали и эта опциЯ 

                                                   использовалась на больших сайтах длЯ 

                                                   уравновешиваниЯ загрузки.
        allow-query { any; };
        allow-transfer { any; };
        transfers-in 10;  -- ‡начение не должно быть 

                                                   установлено более 20.

        transfers-per-ns 2; -- Default значение передач на

                                                   каждый NameServer.
        transfers-out 0;  -- Љ сожалению не работает ;-)
        max-transfer-time-in 120;  -- Њаксимальное значение 

                                                   продолжительности сессии 'zone transfer'.

                                                   (в минутах)
        transfer-format one-answer; --  ЋпциЯ указывающаЯ путь исходЯщего

                                                   'zone transfer'. „опустимы два значениЯ:

                                                    one-answer - Љаждый RR берет свое сообщение.

                                                    ќтот формат не очень эффективен, 

                                                    но просто и понЯтно  :-). ‚се версии BIND до 8.1

                                                    генерируют именно этот формат сообщениЯ длЯ 

                                                    исходЯщих зон и требует входЯщих передач.

                                                    many-answers - ќто означает

                                                    что много RR'ов будет положено в каждое 

                                                    DNS сообщение. ќтот формат наиболее эффективен,

                                                    но только есть в версии BIND 8. ’акже выпущена 

                                                    измененнаЯ версиЯ 'named-xfer' длЯ BIND 4.9.5.

                                                …сли вы будете использовать ваш DNS сервер с 

                                                серверами на которы установленно старое ЏЋ, то 

                                                Ќ…‘Ћ‚…’“…’њ‘џ использовать 'many-answers'.

                                                ’акже как значение может быть установлена 

                                                переменнаЯ 'server' - при использовании схемы

                                                'host-by-host'.
        forward first;
        forwarders { };  -- ‚ Default значении ничего 

                                                   не указываетсЯ.
                                                   Џример:
forwarders {
           1.2.3.4;
           5.6.7.8;
           };
        topology { localhost; localnets; }; -- ЋпциЯ описываущаЯ топологию NameServer'ов.
                                                   Џример:
topology {
         10/8;              -- ЏредпочтительнаЯ
                            сеть 10.0.0.0 с маской
                            255.0.0.0
         !1.2.3/24;         -- Ќе использовать 1.2.3.0
                            с маской 255.255.255.0 длЯ
                            всех
         { 1.2/16; 3/8; };  -- €спользовать 1.2.0.0 с
                            маской 255.255.0.0 и
                            3.0.0.0 с маской 255.0.0.0
                            - часть 10/8, но меньше.
         };
        listen-on port 53 { any; };  -- Џринимать запросы с 53 

                                                   порта на всех доступных интерфейсах компьютера.

                                                   …сли порт не указан, то автоматически

                                                   будут обрабатыватьсЯ запросы с 53 порта/udp
Џример:
listen-on { 5.6.7.8; };  -- Џринимать запросы с 53 порта
                         на интерфейсе с адресом 5.6.7.8

listen-on port 1234 {    -- Џринимать запросы с порта
           !1.2.3.4;     1234 на интерфейсе с адресом
           1.2.3/24;     123 с маской 255.255.255.0,
                    };   за исключением интерфейса
                         1.2.3.4
        cleaning-interval 60; -- ЋпциЯ задающаЯ интервал очищениЯ
                                                                      кэша RR записей. (в минутах)
        interface-interval 60; -- ЋпциЯ задающаЯ интервал обновлениЯ списка новых и удаленных интерфейсов.
                                                                      (в минутах)
        statistics-interval 60; -- ЋпциЯ задающаЯ интервал обновлениЯ файла статистики.
                                                                      (в минутах)

};

zone "your.ru" { -- Ќачало —Ђ‘’€ "Zone - Master". 
      type master; -- ’ип зоны. master = primary
      file "master.zone.ru"; -- €мЯ файла в котором хранитсЯ таблица DNS.(возможно c путем тз рабочего каталога) 
      check-names fail;  
      allow-update { none; }; 
      allow-transfer { any; }; 
      allow-query { any; }; 
      also-notify { }; -- Ќе посылать NOTIFY сообщение перечисленным серверам.
};

zone "not-your.ru" { -- Ќачало —Ђ‘’€ "Zone - Slave". 
      type slave; -- ’ип зоны. slave = secondary
      file "not-your.ru"; -- €мЯ файла в котором хранитсЯ таблица DNS.(возможно с путем из рабочего каталога) 
      masters { 1.2.3.4; 5.6.7.8; };  -- Ђдрес NameServer'а с которого беретсЯ информациЯ о ‡оне.
      transfer-source 10.0.0.53;  -- ќта опциЯ устранЯет проблему 'MULTIHOMING'
      allow-update { none; }; 
      allow-transfer { any; }; 
      allow-query { any; }; 
      also-notify { }; -- Ќе посылать NOTIFY сообщение перечисленным серверам.
      max-transfer-time-in 120; -- …сли не установлено используетсЯ значение заданное в —Ђ‘’€ "Options" или Default значение. 
};

zone "stub.ru" { -- Ќачало —Ђ‘’€ "Zone - Stub". 
      type stub; -- ’ип зоны. Stub зона похожа на slave, но скачиваютсЯ только NS записи.
      file "not-your.ru"; -- €мЯ файла в котором хранитсЯ таблица DNS.(возможно с путем из рабочего коталога) 
      masters { 1.2.3.4; 5.6.7.8; };  -- Ђдрес NameServer'а с которого беретсЯ информациЯ о ‡оне.
      check-names warn;  
      allow-update { none; }; 
      allow-transfer { any; }; 
      allow-query { any; }; 
      also-notify { }; -- Ќе посылать NOTIFY сообщение перечисленным серверам.
      max-transfer-time-in 120; -- …сли не установлено используетсЯ значение заданное в —Ђ‘’€ "Options" или Default значение. 
};

zone "." { -- Ќачало —Ђ‘’€ "Zone - Hint". 
      type hint; -- ’ип зоны. Hint - используетсЯ как кэш..
      file "chahe.db"; -- €мЯ файла в котором хранитсЯ кэш. 
};

acl can_query { !1.2.3/24; any;}; -- ќта опциЯ запрещает обращениЯ компьютеров из сети 1.2.3.0 c маской 255.255.255.0. Њашины не попадающие под действие этого правила могут свободно использовать NameServe








r.
acl can_axfr { !1.2.3.4; can_query; }; -- ќтой опцией можно разрешить конкрекному компьютеру, из запрещенной сети, работать с NameServer'ом, в данном случае это 1.2.3.4 и все компьютеры описанные в 'can_q








uery'.

zone "non-default-acl.ru" { -- Ќачало —Ђ‘’€ "Zone - NON-Default-ACL". 
      type master; 
      file "foo"; 
      allow-update { 1.2.3.4; 5.6.7.8; }; 
      allow-transfer { can_axfr; }; 
      allow-query { can_query; }; 
};

key key2 { -- Ќачало —Ђ‘’€ "Key2" (возможны key1..key5..).
      algorithm hmac-md5; -- ’ип алгоритма криптованиЯ.
      secret "ereh terces rouy"; -- Љод.
};

server 1.2.3.4 { -- Ќачало —Ђ‘’€ "Server", устанавливает длЯ указанного NameServer'а дополнительные опции.
      bogus no; --…cли 'yes' то не будут приниматьсЯ запросы от 1.2.3.4.
      transfer-format one-answer; 
      transfers 0; -- Џока не работает.
      keys { key2; }; -- Џодключение установленных кодов в —Ђ‘’€ 'Key2"
};
logging { -- Ќачало —Ђ‘’€ "Logging" , опции длЯ управлениЯ файлами статистики.
      channel syslog_errors {
          syslog user;  severity error;
                            }; -- ќта опциЯ определЯет место куда будет запинана информациЯ о ошибках. ‚озможные варианты: critical,error,warning,notice,info,debug1...debug99.
      file "file.log"; -- ”айл в который будут записаны сообщениЯ.(не обЯзательный параметр)
};

include "filename"; -- ‘ помощью этого параметра вы сможете подключить к вашему конфигурационному файлу другие.

‘ергей Њинаков.


Last-modified: Fri, 22 Jan 1999 06:19:38 GMT
Ћцените этот текст:

Bind 8.x.x.
‚ведение. ќта статьЯ посвЯщена BIND версии 8.x.x. ќта версиЯ поЯвилась относительно недавно. Ћна имеет совершенно другой конфигурационный файл нежели BIND версии 4. ’акже в новой версии поЯвилось масса новых возможностей, новые RR заниси, улудшенаЯ 'zone-check' процедура, специальные серийные номера, и др. P.S. Ћговорюсь сразу, в этой статье описаны далеко не все возможности BIND 8, а только основные.

Џример named.conf и описание опций: Ѓудте внимательны не забывайте ставить ";"!
options {	-- Ќачало —Ђ‘’€ "Options".
directory "." ;{	-- ђабочий каталог.
named-xfer "/usr/libexec/named-xfer";	-- Џуть к 'zone-xfer'.
dump-file "named_dump.db";	-- €мЯ „амп-”айла или имЯ с путем из рабочего каталога.
pid-file "/var/run/named.pid";	-- Џуть к pid-файлу.
memstatistics-file "named.memstats";	-- €мЯ файла со статистикой. использованиЯ памЯти.
statistics-file "named.stats";	-- €мЯ файла со статистикой.
check-names master fail;	-- ЋпциЯ пименЯемаЯ в случаЯх требуетсЯ проверка имен доменов. ‚ лог-файлах отображаетсЯ адрес мастер-сервера на, котором обнаружена ошибка.
check-names slave warn;	-- -- длЯ 'slave' зоны
check-names response ignore;	-- -- дополнительнаЯ проверка ответов других серверов.
host-statistics no;	-- ‘татистика обращений по хостам.
deallocate-on-exit no;	-- ЋпциЯ при которой освобождаютсЯ все объекты при прерывании работы программы. ќто выгодно при не правильном использовании памЯти. ЏолнаЯ отчет о работе будет находитьсЯ в 'memstatistics-file.'
forward-only;	-- ќквивалдент 'Slave'у.
datasize default;	-- ‹имитирование сегметов выделЯемых под данные.
stacksize default;	-- ђазмер ‘’…ЉЂ.
coresize default;
files unlimited;	-- Љоличество возможно допустимых обрабатываемых файлов.
recursion yes;	-- ЋпциЯ разрешающаЯ или запрещающаЯ рекурсию.
fetch-glue yes;
fake-iquery no;	-- ќта опциЯ позвалЯет подменЯть ответы при определенных запросаx.
notify yes;	-- Џосылка "NOTIFY" сообщениЯ ‚ы можете поставить 'yes' когда вы используете схему 'zone-by-zone', также эта опциЯ доступна в —Ђ‘’€ 'zone'.
auth-nxdomain yes;	-- ‚сегда ставьте AA при использовании NXDOMAIN. Ќе ставьте эту опцию 'no' если вы не знаете, что делаете -- старые сервера (стараЯ версиЯ ЏЋ) не любЯт этого. :-);
multiple-cnames no;	-- …сли установлено 'yes' тогда имеетсЯ более одного CANME RR. ќто используют в не стандартных ситуациЯх и не рекомендуетсЯ, но доступно потому что предидущии версии поддерживали и эта опциЯ использовалась на больших сайтах длЯ уравновешиваниЯ загрузки.
allow-query { any; };
allow-transfer { any; };
transfers-in 10;	-- ‡начение не должно быть установлено более 20.
transfers-per-ns 2;	-- Default значение передач на каждый NameServer.
transfers-out 0;	-- Љ сожалению не работает ;-)
max-transfer-time-in 120;	-- Њаксимальное значение продолжительности сессии 'zone transfer'. (в минутах)
transfer-format one-answer;	-- ЋпциЯ указывающаЯ путь исходЯщего 'zone transfer'. „опустимы два значениЯ: one-answer - Љаждый RR берет свое сообщение. ќтот формат не очень эффективен, но просто и понЯтно :-). ‚се версии BIND до 8.1 генерируют именно этот формат сообщениЯ длЯ исходЯщих зон и требует входЯщих передач. many-answers - ќто означает что много RR'ов будет положено в каждое DNS сообщение. ќтот формат наиболее эффективен, но только есть в версии BIND 8. ’акже выпущена измененнаЯ версиЯ 'named-xfer' длЯ BIND 4.9.5. …сли вы будете использовать ваш DNS сервер с серверами на которы установленно старое ЏЋ, то Ќ…‘Ћ‚…’“…’њ‘џ использовать 'many-answers'. ’акже как значение может быть установлена переменнаЯ 'server' - при использовании схемы 'host-by-host'.
forward first;
forwarders { };	-- ‚ Default значении ничего не указываетсЯ.
	Џример: forwarders { 1.2.3.4; 5.6.7.8; };
topology { localhost; localnets; };	-- ЋпциЯ описываущаЯ топологию NameServer'ов.
	Џример: topology { 10/8; -- ЏредпочтительнаЯ сеть 10.0.0.0 с маской 255.0.0.0 !1.2.3/24; -- Ќе использовать 1.2.3.0 с маской 255.255.255.0 длЯ всех { 1.2/16; 3/8; }; -- €спользовать 1.2.0.0 с маской 255.255.0.0 и 3.0.0.0 с маской 255.0.0.0 - часть 10/8, но меньше. };
listen-on port 53 { any; };	-- Џринимать запросы с 53 порта на всех доступных интерфейсах компьютера. …сли порт не указан, то автоматически будут обрабатыватьсЯ запросы с 53 порта/udp
	Џример: listen-on { 5.6.7.8; }; -- Џринимать запросы с 53 порта на интерфейсе с адресом 5.6.7.8 listen-on port 1234 { -- Џринимать запросы с порта !1.2.3.4; 1234 на интерфейсе с адресом 1.2.3/24; 123 с маской 255.255.255.0, }; за исключением интерфейса 1.2.3.4
cleaning-interval 60;	-- ЋпциЯ задающаЯ интервал очищениЯ кэша RR записей. (в минутах)
interface-interval 60;	-- ЋпциЯ задающаЯ интервал обновлениЯ списка новых и удаленных интерфейсов. (в минутах)
statistics-interval 60;	-- ЋпциЯ задающаЯ интервал обновлениЯ файла статистики. (в минутах)
};

zone "your.ru" {	-- Ќачало —Ђ‘’€ "Zone - Master".
type master;	-- ’ип зоны. master = primary
file "master.zone.ru";	-- €мЯ файла в котором хранитсЯ таблица DNS.(возможно c путем тз рабочего каталога)
check-names fail;
allow-update { none; };
allow-transfer { any; };
allow-query { any; };
also-notify { };	-- Ќе посылать NOTIFY сообщение перечисленным серверам.
};

zone "not-your.ru" {	-- Ќачало —Ђ‘’€ "Zone - Slave".
type slave;	-- ’ип зоны. slave = secondary
file "not-your.ru";	-- €мЯ файла в котором хранитсЯ таблица DNS.(возможно с путем из рабочего каталога)
masters { 1.2.3.4; 5.6.7.8; };	-- Ђдрес NameServer'а с которого беретсЯ информациЯ о ‡оне.
transfer-source 10.0.0.53;	-- ќта опциЯ устранЯет проблему 'MULTIHOMING'
allow-update { none; };
allow-transfer { any; };
allow-query { any; };
also-notify { };	-- Ќе посылать NOTIFY сообщение перечисленным серверам.
max-transfer-time-in 120;	-- …сли не установлено используетсЯ значение заданное в —Ђ‘’€ "Options" или Default значение.
};

zone "stub.ru" {	-- Ќачало —Ђ‘’€ "Zone - Stub".
type stub;	-- ’ип зоны. Stub зона похожа на slave, но скачиваютсЯ только NS записи.
file "not-your.ru";	-- €мЯ файла в котором хранитсЯ таблица DNS.(возможно с путем из рабочего коталога)
masters { 1.2.3.4; 5.6.7.8; };	-- Ђдрес NameServer'а с которого беретсЯ информациЯ о ‡оне.
check-names warn;
allow-update { none; };
allow-transfer { any; };
allow-query { any; };
also-notify { };	-- Ќе посылать NOTIFY сообщение перечисленным серверам.
max-transfer-time-in 120;	-- …сли не установлено используетсЯ значение заданное в —Ђ‘’€ "Options" или Default значение.
};

zone "." {	-- Ќачало —Ђ‘’€ "Zone - Hint".
type hint;	-- ’ип зоны. Hint - используетсЯ как кэш..
file "chahe.db";	-- €мЯ файла в котором хранитсЯ кэш.
};

acl can_query { !1.2.3/24; any;};	-- ќта опциЯ запрещает обращениЯ компьютеров из сети 1.2.3.0 c маской 255.255.255.0. Њашины не попадающие под действие этого правила могут свободно использовать NameServe r.
acl can_axfr { !1.2.3.4; can_query; };	-- ќтой опцией можно разрешить конкрекному компьютеру, из запрещенной сети, работать с NameServer'ом, в данном случае это 1.2.3.4 и все компьютеры описанные в 'can_q uery'.

zone "non-default-acl.ru" {	-- Ќачало —Ђ‘’€ "Zone - NON-Default-ACL".
type master;
file "foo";
allow-update { 1.2.3.4; 5.6.7.8; };
allow-transfer { can_axfr; };
allow-query { can_query; };
};

key key2 {	-- Ќачало —Ђ‘’€ "Key2" (возможны key1..key5..).
algorithm hmac-md5;	-- ’ип алгоритма криптованиЯ.
secret "ereh terces rouy";	-- Љод.
};

server 1.2.3.4 {	-- Ќачало —Ђ‘’€ "Server", устанавливает длЯ указанного NameServer'а дополнительные опции.
bogus no;	--…cли 'yes' то не будут приниматьсЯ запросы от 1.2.3.4.
transfer-format one-answer;
transfers 0;	-- Џока не работает.
keys { key2; };	-- Џодключение установленных кодов в —Ђ‘’€ 'Key2"
};
logging {	-- Ќачало —Ђ‘’€ "Logging" , опции длЯ управлениЯ файлами статистики.
channel syslog_errors { syslog user; severity error; };	-- ќта опциЯ определЯет место куда будет запинана информациЯ о ошибках. ‚озможные варианты: critical,error,warning,notice,info,debug1...debug99.
file "file.log";	-- ”айл в который будут записаны сообщениЯ.(не обЯзательный параметр)
};

include "filename";	-- ‘ помощью этого параметра вы сможете подключить к вашему конфигурационному файлу другие.

‘ергей Њинаков.