Der Nameserver BIND 9

Allgemeines

Mit dem BIND (Berkeley Internet Name Daemon) Service werden Namen des DNS in IP-Adressen und umgekehrt, umgesetzt. Er kann gleichzeitig mehrere Domänen - auch als Zonen bezeichnet - im Master- oder Slavemodus verwalten. Über Forward- und Root- Einträge werden nicht beantwortbare Namensanfragen weitergeleitet.

Die Arbeitsverzeichnisse liegen in einem Bereich, der BIND eine eigene Umgebung (chroot) bietet.

In Verbindung mit dem „DNSCrypt-proxy“ Paket werden die Forward Anfragen über „DNS over HTTPS“ (kurz DoH) verschlüsselt übertragen.

In Verbindung mit dem „Bind9 - plugin adserver“ Paket, kann eine Liste der sogenannten Ad-Server integriert und gepflegt werden.

In Verbindung mit dem „DHCPD“ Paket können, Hostnamen dynamisch registriert (DDNS) und aufgelöst werden.

Das Menü im Setup-Programm

Das Menü im Setup-Programm ist wie folgt aufgebaut:

1.

Service administration

x.

Name server BIND 9

	1.	View documentation
	2.	Edit configuration
	3.	Advanced configuration file handling
	4.	Show status
	5.	Stop service
	6.	Start service
	7.	Modules configuration

	x.	Bind9 adserver administration (optional)
	x.	Bind9 GeoIP administration (optional)

Die Konfigurationsdatei

In der Konfigurationsdatei, die über das Menü zugänglich ist, sind folgende Parameter vorhanden; wer sie von Hand editieren will findet sie unter
/etc/config.d/bind9

Die Parameter

START_BIND9

Legt fest, ob der BIND Server automatisch gestartet wird.

Gültige Werte: yes, no

Standardeinstellung: START_BINdD9='no'

BIND9_ALLOW_QUERY

Legt fest, welche Clients Informationen über diese Zone anfordern dürfen.

Gültige Werte:

	any	=	alle Anfragen sind zulässig
	localnets	=	alle Anfragen aus allen auf dem Server
			definierten Netzen sind zulässig
	localhost	=	nur interne Abfragen sind zulässig

Standardeinstellung: BIND9_ALLOW_QUERY='any'

BIND9_FORWARDER_USE

Dieses Variable regelt wie die Forward Server benutzt werden.

	first	=	Zuerst werden die angegebenen Server befragt,
			danach die Server der 'root' Zone.
	only	=	Es werden nur die angegeben Server befragt,
			keine Server der 'root' Zone.

Gültige Werte: first, only

Standardeinstellung: BIND9_FORWARDER_USE='first'

BIND9_FORWARDER_N

Anzahl externer Nameserver welche alle Namensanfragen beantworten, die nicht in den eigenen Zonen definiert sind. Hier sollten nach Möglichkeit immer mindestens zwei Einträge vorhanden sein.

Gültige Werte: Zahl (1, 2, 3)

Standardeinstellung: BIND9_FORWARDER_N='2'

BIND9_FORWARDER_x_NAME

Hier kann ein Name oder eine Bezeichnung für diesen Forwarder eingegeben werden. Er wird nicht ausgewertet.

Gültige Werte: keine Einschränkung

Standardeinstellung: BIND9_FORWARDER_x_NAME=''

BIND9_FORWARDER_x_ACTIVE

Hier kann ein Forwarder deaktiviert werden. Dabei bleiben die Einstellungen für eine eventuelle Reaktivierung erhalten, sie werden aber nicht in die Konfiguration geschrieben.

Gültige Werte: yes, no

Standardeinstellung: BIND9_FORWARDER_x_ACTIVE='no'

BIND9_FORWARDER_x_IP

Die hier eingetragene IP-Adresse eines DNS-Servers sollte in gewissen Abständen auf Erreichbarkeit überprüft werden, da in der Vergangenheit schon öfter Adressen von DNS-Server verändert wurden.
Für den Totalausfall aller Forwarder verfügt BIND 9 allerdings auch noch über Möglichkeit zur Namensauflösung über die sogenannten Root-Server. Das erhöht die Wartezeit für eine Antwort allerdings sehr.

Gültige Werte: IP Adresse

Standardeinstellung: BIND9_FORWARDER_x_IP='8.8.8.8'

BIND9_FORWARDER_x_PORT

Optionaler Parameter
Es kann eine Port Nummer hinterlegt werden.

Dieser Wert sollte nur bei einem Internen DNS belegt werden müssen, wenn der DNS z.B. 127.0.2.3 ist, also bei einer loopback Adresse auf dieser Maschine.

Gültige Werte: leer, Port Nummer

Standardeinstellung: BIND9_FORWARDER_x_PORT=''

BIND9_FORWARDER_x_EDNS

Optionaler Parameter
Wird hier ein 'no' gesetzt, erfolgt die Abfrage nicht mehr mit RFC- Konformen EDNS. Der Eintrag sollte nur dann auf 'no' gesetzt werden, wenn die Kommunikation z.B. mit einem MS-Windows DNS-Server fehlschlägt.

Gültige Werte: yes, no

Standardeinstellung: BIND9_FORWARDER_x_EDNS='yes'

BIND9_N

Bind verfügt über die Möglichkeit, mehrere unterschiedliche Namensbereiche (Zonen) zu verwalten.
Die Gesamtanzahl wird hier eingetragen.

Gültige Werte: Zahl

Standardeinstellung: BIND9_N='2'

BIND9_x_NAME

Hier steht der Name der zu verwaltenden Zone. Bei internen Namen sollte man zur Sicherheit keine existierenden Internet Kennungen verwenden. Also am besten statt einer '.de' Endung verwendet man eine '.local' Endung.

Beispiel: foo.local

Gültige Werte: Domain Name

Standardeinstellung: BIND9_BIND9_x_NAME='foo.local'

BIND9_x_MASTER

Die aktuelle Zone wird auf diesem Computer verwaltet. (Master-Zone)

Gültige Werte: yes, no

Standardeinstellung: BIND9_x_MASTER='yes'

BIND9_x_NETWORK

Netzwerk-Adresse der aktuellen Zone.

Gültige Werte: IP Adresse

Standardeinstellung: BIND9_x_NETWORK='192.168.6.0'

BIND9_x_NETMASK

Netzwerk-Maske der aktuellen Zone.

Beispiel: 255.255.255.0

Gültige Werte: NetzMaske

Standardeinstellung: BIND9_x_NETMASK='255.255.255.0'

BIND9_x_MASTER_IP

IP-Adresse des Masters, welche die Autorisierungsrechte der Zone besitzt. Wenn BIND9_x_MASTER='no' dann steht hier die IP-Adresse des DNS-Masters von dem die Daten geladen werden.

Gültige Werte: IP Adresse

Standardeinstellung: BIND9_x_MASTER_IP='192.168.6.1'

BIND9_x_MASTER_NS

Optional kompletter Name des DNS Servers. So können mehrere DNS-Zonen mit einem Nameserver registriert werden.

Beispiel: mx.domain.local

Gültige Werte: Host Name

Standardeinstellung: BIND9_x_MASTER_NS=''

BIND9_x_ALLOW_TRANSFER

Beschränkt den Kreis möglicher Slave-Nameserver. Hierdurch wird auch das Abfragen aller Zoneneinträge mit dem Befehl: nslookup ls -d <zone> eingeschränkt.

Gültige Werte:

	any	=	Jeder beliebige Server kann Slave werden
	localnets	=	Nur Server im gleichen Netz können Slave werden
	nslist	=	Nur ein unter BIND9_x_NS_x_IP
			eingetragener Server kann Slave werden
	none	=	Kein Zonen Transfer zugelassen

Standardeinstellung: BIND9_x_ALLOW_TRANSFER='any'

Zonen Konfiguration

Folgende Einträge sind nur für Master-Zonen BIND9_x_MASTER='yes' definierbar:

BIND9_x_NS_N

Anzahl weiterer Name-Server, die Daten dieser Zone als Slave verwalten.

Gültige Werte: Zahl

Standardeinstellung: BIND9_x_NS_N='0'

BIND9_x_NS_x_NAME

Komplette Bezeichnung des Slave-Nameserver, inklusive Domäne.

Beispiel: dns2.foo.local

Gültige Werte: Domain Name

Standardeinstellung: BIND9_x_NS_x_NAME=''

BIND9_x_NS_x_IP

IP Adresse des Slave-Nameserver.
Wird nur benötigt, wenn die Option BIND9_x_ALLOW_TRANSFER='nslist' gesetzt ist

Gültige Werte: IP Adresse

Standardeinstellung: BIND9_x_NS_x_IP=''

BIND9_x_MX_N

Anzahl der zur Zone gehörenden E-Mail Server.

Gültige Werte: Zahl

Standardeinstellung: BIND9_x_MX_N='1'

BIND9_x_MX_x_NAME

Kompletter Name des E-Mail Servers. Das kann auch ein Backup E-Mail Server außerhalb der Domäne sein.

Beispiel: mail.foo.local

Gültige Werte: Domain Name

Standardeinstellung: BIND9_x_MX_x_NAME=''

BIND9_x_MX_x_PRIORITY

Empfangspriorität des E-Mail Server. Der Server mit dem niedrigsten Wert wird zuerst angesprochen. Ist dieser nicht erreichbar, dann wird der Server mit der nächst größeren Zahl verwendet.

Gültige Werte: Zahl

Standardeinstellung: BIND9_x_MX_x_PRIORITY='10'

BIND9_x_HOST_N

Anzahl der für diese Zone eingetragenen Hosts.

Gültige Werte: Zahl der Hosts

Standardeinstellung: BIND9_x_HOST_N='2'

BIND9_x_HOST_x_NAME

Hostname, der zur Namensauflösung der IP-Adresse verwendet wird. Hier kann auch ein Platzhalter ”*” verwendet werden. Alle DNS Anfragen nach beliebigen Hostnamen, werden dann mit der zugehörigen BIND9_x_HOST_x_IP beantwortet.
Ein leerer Eintrag ermöglicht das Auflösen von domain.tld, also ohne Angabe eines Hostnamens.

Gültige Werte: jeder Hostname

Standardeinstellung: BIND9_x_HOST_x_NAME='mail'

BIND9_x_HOST_x_ACTIVE

Wird dieser Parameter auf den Wert 'yes' gesetzt, so wird der zugehörige Datensatz aktiviert, 'no' deaktiviert ihn.

Gültige Werte: yes, no

Standardeinstellung: BIND9_x_HOST_x_ACTIVE='no'

BIND9_x_HOST_x_IP

IP-Adresse für den Host.

Gültige Werte: IP Adresse

Standardeinstellung: BIND9_x_HOST_x_IP='192.168.6.10'

BIND9_x_HOST_x_ALIAS

Durch Leerzeichen getrennte Liste weiterer Hostnamen der IP-Adresse. BIND erweitert die Namen bei Abfragen automatisch, mit dem unter BIND9_x_NAME eingetragenem Wert.

Beispiel: 'www ftp'

Gültige Werte: Hostaliasnamen

Standardeinstellung: BIND9_x_HOST_x_ALIAS=''

Spezielle Konfiguration

Die folgenden Parameter sollten nur bei Bedarf verändert werden.

BIND9_PORT_53_ONLY

Wenn der Zugriff auf den BIND Server durch eine Firewall gesichert wird, so wird hiermit die gesamte Kommunikation auf den Port 53 beschränkt. Dieser Port muss dann aber auch in der Firewall freigeschaltet werden.

Gültige Werte: yes, no

Standardeinstellung: BIND9_PORT_53_ONLY='no'

BIND9_LISTEN_IPADDR_N

Über diesen Parameter wird die Anzahl der individuell konfigurierten IP-Adressen angegeben, auf welchen der BIND-Server Verbindungen entgegen nehmen soll. Wird der Wert dieses Parameters auf '0' gesetzt, so werden Verbindungen auf allen lokalen IP-Adressen des Servers entgegen genommen.

Gültige Werte: Zahl

Standardeinstellung: BIND9_LISTEN_IPADDR_N='0'

BIND9_LISTEN_IPADDR_x_NAME

An dieser Stelle kann eine Beschreibung angegeben werden. Dieser Parameter wird nicht ausgewertet.

Gültige Werte: alles

Standardeinstellung: BIND9_LISTEN_IPADDR_x_NAME=''

BIND9_LISTEN_IPADDR_x_ACTIVE

Wird dieser Parameter auf den Wert 'yes' gesetzt, so wird der zugehörige Datensatz aktiviert, 'no' deaktiviert ihn.

Gültige Werte: yes, no

Standardeinstellung: BIND9_LISTEN_IPADDR_x_ACTIVE='no'

BIND9_LISTEN_IPADDR_x

Diese Option wird dann benötigt, wenn mehrere Netzwerkkarten im Server verwendet werden und nicht von allen ein Zugriff auf den BIND Server erlaubt werden soll. Die IP-Adresse der für die Servernutzung freigegebenen Netzwerkkarte wird dann hier eingetragen.

Hier wird keine echte IP Adresse angegeben sondern der Index der Angabe IP_ETH_x_V4_IP_x_IPADDR aus der Base Konfiguration in /etc/config.d/base.

Beispiel: BIND9_LISTEN_IPADDR_1='4:2:1' zeigt auf IP_ETH_2_V4_IP_1_IPADDR in /etc/config.d/base.

Der Wert vor dem '4:' ist die IP Version, hier IPv4,
der Wert zwischen den ':2:' ist der Index der Netzwerkkkarte,
der Wert hinter dem ':1' ist der Index der IPADDR.

Das ganze dann anlog für IPv6:

Beispiel: BIND9_LISTEN_IPADDR_1='6:2:1' zeigt auf IP_ETH_2_V6_IP_1_IPADDR in /etc/config.d/base.

Der Wert vor dem '6:' ist die IP Version, hier IPv6,
der Wert zwischen den ':2:' ist der Index der Netzwerkkkarte,
der Wert hinter dem ':1' ist der Index der IPADDR.

Der Index kann, wenn der Editor „ece “ eingestellt ist, auch aus dem Dialog eingefügt werden.

Gültige Werte: 4:1:1, 4:1:2, 6:2:1 etc..

Standardeinstellung: BIND9_LISTEN_IPADDR_x=''

BIND9_LISTEN_LOCALHOST_TOO

Soll auch auf localhost = 127.0.0.1 gelauscht werden. Dieser Parameter wird nur ausgewertet wenn BIND9_LISTEN_IPADDR_N ungleich 0 ist.

Gültige Werte: yes, no

Standardeinstellung: BIND9_LISTEN_LOCALHOST_TOO='yes'

BIND9_START_OPTION_IPV4

Mit diesem Paramter wird BIND auf IPv4 festgelegt. IPv6 Anfragen werden nicht beachtet.

Gültige Werte: yes, no

Standardeinstellung: BIND9_START_OPTION_IPV4='no'

BIND9_DNSSEC_VALIDATION

Mit diesem Paramter wird das verhalten bei dnssec-validation gesteuert.

Gültige Werte: no, auto, yes

Standardeinstellung: BIND9_DNSSEC_VALIDATION='no'

BIND9_DEBUG_LOGFILE

Erweitert die Logdateiausgabe um Debug-Informationen. Diese werden im Verzeichnis /var/lib/named/var/log abgelegt.

Gültige Werte: yes, no

Standardeinstellung: BIND9_DEBUG_LOGFILE='no'

BIND9_LOGGING_LAME_SERVERS

Mit diesem Parameter wird das loggen von LAME_SERVERS eingestellt. 'no' schaltet das loggen ab.

Gültige Werte: yes, no

Standardeinstellung: BIND9_LOGGING_LAME_SERVERS='yes'