- •История доменной системы имен
- •Кому нужна доменная система имен?
- •Пространство имен dns
- •Выбор нмени домена
- •Конфигурирование определителя
- •База Данных dns
- •Заппсь soa
- •Записи mx
- •Записи снаме
- •Записи hinfo
- •Имя [время] [класс] wks [адрес] протокол программы
- •Новые записи о ресурсах
- •Isdn Поле isdn содержит isdn-адрес, который, по сути дела, является замаскированным номером телефона.
- •О чем мы еше не говорили
- •16.12. Корректировка Фанпов зон
- •Зонные пересылки
- •Вопросы зашиты
- •Тестирование и отладка
- •Напрасное делегирование
- •Рекомендуемая дополнительная литература
Зонные пересылки
Серверы DNS синхронизируются с помощью механизма зонных пересылок. Все данные, относящиеся к той или иной зоне, пересылаются одновременно, при этом пошаговые корректировки отсутствуют (могут иметь место только корректировки, являющиеся побочным эффектом некоторых запросов).
Тайм-ауты, установленные в записи SOA, определяют быстроту, с которой вспомогательные серверы будут замечать устаревание своих данных. Вспомогательный сервер, который желает обновить свои данные, запрашивает зонную пересылку с основного сервера и создает резервную копию данных зоны на диске. Если данные на основном сервере не изменились, корректировка не производится и резервные копии файлов практически остаются без изменений (просто время их модификации устанавливается равным текущему времени).
В зонных пересылках используется протокол TCP и порт 53. Регистрация информации производится системой syslog с пометкой named-xfer.
Во время зонной пересылки и передающий, и принимающий серверы остаются доступными для запросов. Вспомогательный сервер начинает использовать новые данные только после завершения пересылки. систем.
Вопросы зашиты
DNS по своей сути — открытая система. Каждый, у кого есть доступ к Internet, может исследовать Ваш домен индивидуальными запросами или с помощью команды ls системы nslookup переписать всю Вашу базу данных. В некоторых организациях зонные пересылки во внешний мир блокируются, для чего изменяется исходный код демона named (поищите командой grep слово xfi_disabled).
В версии BIND 4.9 введены некоторые важные средства зашиты, которые помогают бороться с названными проблемами. Зонные пересылки можно контролировать с помощью директивы xfrnets в файле named,boot;
Кроме того, зоны можно обезопасить списком доступа к машинам и сетям. Для того чтобы пользоваться этой возможностью, нужно компилировать named с включенной опцией secure_zones, а затем добавить в базу данных зоны специальные ТХТ-записи secure_zone.
В любом случае сеть необходимо защищать на более низком уровне, посредством списков управления доступом к маршрутизаторам и с помощью обычных механизмов обеспечения безопасности на каждой машине. Если это невозможно. Вы можете отказаться от использования j DNS-пакетов, посылая их только на машину-шлюз, которую жестко контролируете.
Тестирование и отладка
В демоне named предусмотрено несколько встроенных средств отладки, Поддерживается отладка на уровне командных строк. С помощью различных сигналов можно заставить named изменить уровень отладки и распечатать свою базу данных и статистическую информацию. Проверку механизма поиска имен можно произвести с помощью команды nslookup или dig.
Команда nelookup — пользовательского уровня. Она запрашивает базу данных DNS и принимает в качестве аргумента полностью определенные имена, оканчивающиеся точкой; если Вы забыли поставить точку, nslookup добавит имя домена по умолчанию. В случае с локальными именами это как раз то, что Вам нужно. Краткий перечень команд, которые понимает nslookup, приведен ниже.
Help Выдает полный перечень команд
Exit Выход
server машина Устанавливает сервер по умолчанию, используя
текущий сервер
lserver машин Устанавливает сервер по умолчанию, используя
исходный сервер
set type=xxx Устанавливает тип запроса
set debug Включает отладку
set d2 Включает массу отладочных средств
ls домен Выдает все машинно-адресные соответствия
Программа dig (сокр. от Domain Information Groper — искатель информации о доменах) имеет те же функциональные возможности, что и nelookup, но параметры, заложенные в ней по умолчанию, более эффективны. Кроме того, она отличается более изысканным интерфейсом пользователя.
Например, для того чтобы запросить записи MX машины anchor, используйте команду
dig anchor, cs. Colorado, edu. mx
Команда dig @berkeley.edu vangogh.berkeley.edu. any
позволяет получить все записи машины vangogh с сервера berkeley.edu, а команда
dig -х 128.32.130.2
выполняет для этой машины обратный запрос.
Команда dig довольно многословна. Ее выходная информация включает не только сведения о домене, но и данные о количестве посланных запросов и времени полного обхода ответа.
Команда dig позволяет получить больше сведений, чем nslookup, и имеет массу опций. Кроме того, эта программа работает быстрее и обладает большей интуицией, особенно в зонах обратного преобразования.