Unterabschnitte
Der Nameserver BIND 9
Mit dem BIND (Berkeley Internet Name Daemon) Service werden Namen des
DNS in IP-Adressen und umgekehrt, umgesetzt. Er kann gleichzeitig
mehrere Domänen - auch als Zonen bezeichnet - im Master- oder Slavemodus
verwalten. Über Forward- und Root- Einträge werden nicht beantwortbare
Namensanfragen weitergeleitet.
Die Arbeitsverzeichnisse liegen in einem Bereich, der BIND eine eigene
Umgebung (chroot) bietet.
BIND9 kann, mit dem DHCPD Paket zusammen, Hostnamen dynamisch
registrieren und auflösen.
Das Installationsskript erkennt automatisch, ob bereits ein DNS oder BIND9
Server installiert ist. Vorhandene DNS Einstellungen werden also komplett
übernommen. Dennoch sollte die Konfiguration auf eventuelle Fehler
überprüft werden.
Eine Ausnahme bildet der NS-Eintrag, der durchaus auf eine fremde Domäne
verweisen kann und deshalb aus Hostname und der kompletten Domänenkennung
bestehen muss.
Das Menü im Setup-Programm ist wie folgt aufgebaut:
|
1. |
Service administration |
|
|
1. |
View documentation |
|
|
|
2. |
Edit configuration |
|
|
|
3. |
Advanced configuration file handling |
|
|
|
4. |
Show status |
|
|
|
5. |
Start service |
|
|
|
6. |
Stop service |
|
|
|
7. |
Modules configuration |
|
|
In der Konfigurationsdatei, die über das Menü zugänglich ist, sind
folgende Parameter vorhanden; wer sie von Hand editieren will findet
sie unter
/etc/config.d/bind9
-
- START_BIND9
-
Legt fest, ob der BIND Server automatisch gestartet wird.
Gültige Werte: yes, no
Standardeinstellung: START_BINdD9='no'
- BIND9_ALLOW_QUERY
-
Legt fest, welche Clients Informationen über diese Zone anfordern dürfen.
Gültige Werte:
|
any |
= |
alle Anfragen sind zulässig |
|
localnets |
= |
alle Anfragen aus allen auf dem Server |
|
|
|
definierten Netzen sind zulässig |
|
localhost |
= |
nur interne Abfragen sind zulässig |
Standardeinstellung: BIND9_ALLOW_QUERY='any'
- BIND9_FORWARDER_N
-
Anzahl externer Nameserver welche alle Namensanfragen beantworten,
die nicht in den eigenen Zonen definiert sind. Hier sollten nach
Möglichkeit immer mindestens zwei Einträge vorhanden sein.
Gültige Werte: Zahl (1, 2, 3)
Standardeinstellung: BIND9_FORWARDER_N='2'
- BIND9_FORWARDER_x_NAME
-
Hier kann ein Name oder eine Bezeichnung für diesen Forwarder
eingegeben werden. Er wird nicht ausgewertet.
Gültige Werte: keine Einschränkung
Standardeinstellung: BIND9_FORWARDER_x_NAME=''
- BIND9_FORWARDER_x_ACTIVE
-
Hier kann ein Forwarder deaktiviert werden. Dabei bleiben die
Einstellungen für eine eventuelle Reaktivierung erhalten,
sie werden aber nicht in die Konfiguration geschrieben.
Gültige Werte: yes, no
Standardeinstellung: BIND9_FORWARDER_x_ACTIVE='no'
- BIND9_FORWARDER_x_IP
-
Die hier eingetragene IP-Adresse eines DNS-Servers sollte in gewissen
Abständen auf Erreichbarkeit überprüft werden, da in der Vergangenheit
schon öfter Adressen von DNS-Server verändert wurden.
Für den Totalausfall aller Forwarder verfügt BIND 9 allerdings auch
noch über Möglichkeit zur Namensauflösung über die sogenannten
Root-Server. Das erhöht die Wartezeit für eine Antwort allerdings sehr.
Gültige Werte: IP Adresse
Standardeinstellung: BIND9_FORWARDER_x_IP='8.8.8.8'
- BIND9_FORWARDER_x_EDNS
-
Optionaler Parameter
Wird hier ein 'no' gesetzt, erfolgt die Abfrage nicht mehr mit RFC-
Konformen EDNS. Der Eintrag sollte nur dann auf 'no' gesetzt werden,
wenn die Kommunikation z.B. mit einem MS-Windows DNS-Server fehlschlägt.
Gültige Werte: yes, no
Standardeinstellung: BIND9_FORWARDER_x_EDNS='yes'
- BIND9_N
-
Bind verfügt über die Möglichkeit, mehrere unterschiedliche
Namensbereiche (Zonen) zu verwalten.
Die Gesamtanzahl wird hier eingetragen.
Gültige Werte: Zahl
Standardeinstellung: BIND9_N='2'
- BIND9_x_NAME
-
Hier steht der Name der zu verwaltenden Zone. Bei internen Namen
sollte man zur Sicherheit keine existierenden Internet Kennungen
verwenden. Also am besten statt einer '.de' Endung verwendet man
eine '.local' Endung.
Beispiel: foo.local
Gültige Werte: Domain Name
Standardeinstellung: BIND9_BIND9_x_NAME='foo.local'
- BIND9_x_MASTER
-
Die aktuelle Zone wird auf diesem Computer verwaltet. (Master-Zone)
Gültige Werte: yes, no
Standardeinstellung: BIND9_x_MASTER='yes'
- BIND9_x_NETWORK
-
Netzwerk-Adresse der aktuellen Zone.
Gültige Werte: IP Adresse
Standardeinstellung: BIND9_x_NETWORK='192.168.6.0'
- BIND9_x_NETMASK
-
Netzwerk-Maske der aktuellen Zone.
Beispiel: 255.255.255.0
Gültige Werte: NetzMaske
Standardeinstellung: BIND9_x_NETMASK='255.255.255.0'
- BIND9_x_MASTER_IP
-
IP-Adresse des Masters, welche die Autorisierungsrechte der Zone
besitzt. Wenn BIND9_x_MASTER='no'
dann steht hier die IP-Adresse des DNS-Masters von dem die Daten
geladen werden.
Gültige Werte: IP Adresse
Standardeinstellung: BIND9_x_MASTER_IP='192.168.6.1'
- BIND9_x_MASTER_NS
-
Optional kompletter Name des DNS Servers. So können mehrere
DNS-Zonen mit einem Nameserver registriert werden.
Beispiel: mx.domain.local
Gültige Werte: Host Name
Standardeinstellung: BIND9_x_MASTER_NS=''
- BIND9_x_ALLOW_TRANSFER
-
Beschränkt den Kreis möglicher Slave-Nameserver. Hierdurch wird auch
das Abfragen aller Zoneneinträge mit dem Befehl: nslookup ls -d <zone>
eingeschränkt.
Gültige Werte:
|
any |
= |
Jeder beliebige Server kann Slave werden |
|
localnets |
= |
Nur Server im gleichen Netz können Slave werden |
|
nslist |
= |
Nur ein unter BIND9_x_NS_x_IP |
|
|
|
eingetragener Server kann Slave werden |
|
none |
= |
Kein Zonen Transfer zugelassen |
Standardeinstellung: BIND9_x_ALLOW_TRANSFER='any'
Folgende Einträge sind nur für Master-Zonen
BIND9_x_MASTER='yes' definierbar:
-
- BIND9_x_NS_N
-
Anzahl weiterer Name-Server, die Daten dieser Zone als Slave verwalten.
Gültige Werte: Zahl
Standardeinstellung: BIND9_x_NS_N='0'
- BIND9_x_NS_x_NAME
-
Komplette Bezeichnung des Slave-Nameserver, inklusive Domäne.
Beispiel: dns2.foo.local
Gültige Werte: Domain Name
Standardeinstellung: BIND9_x_NS_x_NAME=''
- BIND9_x_NS_x_IP
-
IP Adresse des Slave-Nameserver.
Wird nur benötigt, wenn die Option BIND9_x_ALLOW_TRANSFER='nslist' gesetzt ist
Gültige Werte: IP Adresse
Standardeinstellung: BIND9_x_NS_x_IP=''
- BIND9_x_MX_N
-
Anzahl der zur Zone gehörenden E-Mail Server.
Gültige Werte: Zahl
Standardeinstellung: BIND9_x_MX_N='1'
- BIND9_x_MX_x_NAME
-
Kompletter Name des E-Mail Servers. Das kann auch ein Backup E-Mail
Server außerhalb der Domäne sein.
Beispiel: mail.foo.local
Gültige Werte: Domain Name
Standardeinstellung: BIND9_x_MX_x_NAME=''
- BIND9_x_MX_x_PRIORITY
-
Empfangspriorität des E-Mail Server. Der Server mit dem niedrigsten
Wert wird zuerst angesprochen. Ist dieser nicht erreichbar, dann wird
der Server mit der nächst größeren Zahl verwendet.
Gültige Werte: Zahl
Standardeinstellung: BIND9_x_MX_x_PRIORITY='10'
- BIND9_x_HOST_N
-
Anzahl der für diese Zone eingetragenen Hosts.
Gültige Werte: Zahl der Hosts
Standardeinstellung: BIND9_x_HOST_N='2'
- BIND9_x_HOST_x_NAME
-
Hostname, der zur Namensauflösung der IP-Adresse verwendet wird.
Hier kann auch ein Platzhalter ”*” verwendet werden. Alle DNS
Anfragen nach beliebigen Hostnamen, werden dann mit der zugehörigen
BIND9_x_HOST_x_IP beantwortet.
Ein leerer Eintrag ermöglicht das Auflösen von domain.tld, also
ohne Angabe eines Hostnamens.
Gültige Werte: jeder Hostname
Standardeinstellung: BIND9_x_HOST_x_NAME='mail'
- BIND9_x_HOST_x_ACTIVE
-
Wird dieser Parameter auf den Wert 'yes' gesetzt, so wird der
zugehörige Datensatz aktiviert, 'no' deaktiviert ihn.
Gültige Werte: yes, no
Standardeinstellung: BIND9_x_HOST_x_ACTIVE='no'
- BIND9_x_HOST_x_IP
-
IP-Adresse für den Host.
Gültige Werte: IP Adresse
Standardeinstellung: BIND9_x_HOST_x_IP='192.168.6.10'
- BIND9_x_HOST_x_ALIAS
-
Durch Leerzeichen getrennte Liste weiterer Hostnamen der IP-Adresse.
BIND erweitert die Namen bei Abfragen automatisch, mit dem unter
BIND9_x_NAME eingetragenem Wert.
Beispiel: 'www ftp'
Gültige Werte: Hostaliasnamen
Standardeinstellung: BIND9_x_HOST_x_ALIAS=''
Die folgenden Parameter sollten nur bei Bedarf verändert werden.
-
- BIND9_PORT_53_ONLY
-
Wenn der Zugriff auf den BIND Server durch eine Firewall gesichert
wird, so wird hiermit die gesamte Kommunikation auf den Port 53
beschränkt. Dieser Port muss dann aber auch in der Firewall
freigeschaltet werden.
Gültige Werte: yes, no
Standardeinstellung: BIND9_PORT_53_ONLY='no'
- BIND9_LISTEN_IPADDR_N
-
Über diesen Parameter wird die Anzahl der individuell konfigurierten
IP-Adressen angegeben, auf welchen der BIND-Server Verbindungen entgegen
nehmen soll. Wird der Wert dieses Parameters auf '0' gesetzt, so werden
Verbindungen auf allen lokalen IP-Adressen des Servers entgegen genommen.
Gültige Werte: Zahl
Standardeinstellung: BIND9_LISTEN_IPADDR_N='0'
- BIND9_LISTEN_IPADDR_x_NAME
-
An dieser Stelle kann eine Beschreibung angegeben werden.
Dieser Parameter wird nicht ausgewertet.
Gültige Werte: alles
Standardeinstellung: BIND9_LISTEN_IPADDR_x_NAME=''
- BIND9_LISTEN_IPADDR_x_ACTIVE
-
Wird dieser Parameter auf den Wert 'yes' gesetzt, so wird der
zugehörige Datensatz aktiviert, 'no' deaktiviert ihn.
Gültige Werte: yes, no
Standardeinstellung: BIND9_LISTEN_IPADDR_x_ACTIVE='no'
- BIND9_LISTEN_IPADDR_x
-
Diese Option wird dann benötigt, wenn mehrere Netzwerkkarten im Server
verwendet werden und nicht von allen ein Zugriff auf den BIND Server
erlaubt werden soll. Die IP-Adresse der für die Servernutzung
freigegebenen Netzwerkkarte wird dann hier eingetragen.
Hier wird keine echte IP Adresse angegeben sondern der Index der
Angabe IP_ETH_x_IP_x_IPADDR aus der
Base Konfiguration in /etc/config.d/base.
Beispiel: BIND9_LISTEN_IPADDR_1='2:1'
zeigt auf IP_ETH_2_IP_1_IPADDR in
/etc/config.d/base.
Der Wert vor dem '2:' ist der Index der Netzwerkkkarte
der Wert hinter dem ':1' ist der Index der IPADDR.
Der Index kann, wenn der Editor „ece “ eingestellt ist,
auch aus dem Dialog eingefügt werden.
Gültige Werte: 1:1, 1:2, 2:1 etc..
Standardeinstellung: BIND9_LISTEN_IPADDR_x=''
- BIND9_START_OPTION_IPV4
-
Mit diesem Paramter wird BIND auf IPv4 festgelegt.
IPv6 Anfragen werden nicht beachtet.
Gültige Werte: yes, no
Standardeinstellung: BIND9_START_OPTION_IPV4='no'
- BIND9_DNSSEC_VALIDATION
-
Mit diesem Paramter wird das verhalten bei dnssec-validation
gesteuert.
Gültige Werte: no, auto, yes
Standardeinstellung: BIND9_DNSSEC_VALIDATION='no'
- BIND9_DEBUG_LOGFILE
-
Erweitert die Logdateiausgabe um Debug-Informationen.
Diese werden im Verzeichnis /var/lib/named/var/log abgelegt.
Gültige Werte: yes, no
Standardeinstellung: BIND9_DEBUG_LOGFILE='no'
- BIND9_LOGGING_LAME_SERVERS
-
Mit diesem Parameter wird das loggen von LAME_SERVERS eingestellt.
'no' schaltet das loggen ab.
Gültige Werte: yes, no
Standardeinstellung: BIND9_LOGGING_LAME_SERVERS='yes'