Caching / Forwarding¶
DNS - Teil 1 - Caching / Forwarding
Tipp: Analyse der Konfigurationen in /etc/bind
- Organisationsstruktur studieren: includes und Vorlagen.
Der Plan hier also: Einrichtung DNS als Caching DNS und DNS-Forwarder (Anm.: siehe Verhalten Home-Router DNS)
Installation und Einrichtung z.B. gemäß Anleitung
Bitte DHCP bzw. Static IPKonf beachten: da wir jetzt einen DNS-Server (z.B. : server - 172.16.100.10 / 24) haben - und diesen als DNS-Ansprechpartner haben wollen - müssen wir natürlich die Konfiguration für den DHCP Server anpassen:
# option domain-name-servers 172.16.100.10, 8.8.8.8;
option domain-name-servers 172.16.100.10;
Und alle statisch konfigurierten Netzwerkkonfigurationen müssen natürlich ggf. händisch angepasst werden.
Kommen wir jetzt zur DNS-Bind9 Konfiguration: /etc/bind/named.conf.options
Als DNS-Forwarder wird hier wieder der Google-DNS 8.8.8.8 eingetragen.
Alternativ sind auch die Firmen DNS denkbar (z.B.: 10.200.87.10). Aber: diese lokalen Firmen-DNS reagieren teilweise nicht auf die DNS-Requests! Das könnte dann eben auch an der folgenden Konfiguration mit goodclients liegen.
acl goodclients {
172.16.100.0/24;
localhost;
localnets;
};
options {
directory "/var/cache/bind";
recursion yes;
allow-query { goodclients; };
forwarders {
8.8.8.8;
};
forward only; # ggf. später auskommentieren!
dnssec-validation auto;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};
Anm.: nur Auszug aus der Konfiguration - ausführliche Tests der Konfiguration im Netzwerk auf Client und Server.
Tipp
Bitte vor dem Neustart des Bind) den Befehl named-checkconf
durchführen!
Grund: die Konfigurationen sind sehr empfindlich und man kann sich schnell mal vertippen oder ein „;“ vergessen!
Dann Bind9 neustarten mit service bind9 restart
bzw. systemctl restart bind9
Das Journal bekommt ma mit journalctl -u named
Wenn man auch an die Anpassung des DHCP gedacht hat, dann sollte man die Umsetzung mit einem vollständig per
DHCP angebundenen Client austesten. Der ultimative DNS-Test sollte mit einer DHCP-Konfiguration stattfinden,
die nur unseren neuen DNS-Forwarder/Cache Server berücksichtigt! In der /etc/resolv.conf
des Testclients
sollte also nur unser DNS-Server auftauchen und die Auflösung für öffentlichen IP-Adressen funktionieren.