Back-resolv для блока IP-адресов

Версия для печатиОтправить другуPDF version

Пора заняться поддержкой бек-резолва для выделенного блока IP-адресов. Для начала, для зарегистрированного блока IP-адресов необходимо создать на DNS-сервере PTR-записи, чтобы IP-адрес мог отрезолвиться в имя. Напомню, RIPE выдал следующий блок адресов: 194.28.100.0/22.

У меня на сервере DNS работает под управлением BIND 9. Сервер работает на IP 194.28.100.100 (ns.valor.net.ua). Файлы зон располагаются в каталоге /var/named/zones. Именно в этом каталоге необходимо создать 4 файла зон (для каждой подсети). Пример отработаем на сети 194.28.100.0/24 (остальные - по аналогии).

Создаем файл зоны:

# touch /var/named/zones/100.28.194.in-addr.arpa

Как и каждый файл зоны ДНС-сервера, необходимо наличие записей двух типов: SOA и NS. Соответственно отредактируем файл, создав "шапку" из этих записей. Вот что получилось в результате:

# cat /var/named/zones/100.28.194.in-addr.arpa
$TTL 86400
@               IN      SOA     ns.valor.net.ua. hostmaster.valor.net.ua. (
                                2010061400      ; Serial
                                3600    ; Refresh
                                3600    ; Retry
                                1209600 ; Expire
                                86400 ) ; Minimum

                IN      NS      ns.valor.net.ua.
                IN      NS      ns2.valor.net.ua.

Дальше добавляем в этот файл PTR записи для каждого из IP-адресов (от 0 до 255):

# cat /var/named/zones/100.28.194.in-addr.arpa
$TTL 86400
@               IN      SOA     ns.valor.net.ua. hostmaster.valor.net.ua. (
                                2010061400      ; Serial
                                3600    ; Refresh
                                3600    ; Retry
                                1209600 ; Expire
                                86400 ) ; Minimum

                IN      NS      ns.valor.net.ua.
                IN      NS      ns2.valor.net.ua.

0               IN      PTR     194-28-100-0.valor.net.ua.
1               IN      PTR     194-28-100-1.valor.net.ua.
2               IN      PTR     194-28-100-2.valor.net.ua.
3               IN      PTR     194-28-100-3.valor.net.ua.
4               IN      PTR     194-28-100-4.valor.net.ua.
5               IN      PTR     194-28-100-5.valor.net.ua.
6               IN      PTR     194-28-100-6.valor.net.ua.
7               IN      PTR     194-28-100-7.valor.net.ua.
ПРОПУЩЕНО 249             IN      PTR     194-28-100-249.valor.net.ua.
250             IN      PTR     194-28-100-250.valor.net.ua.
251             IN      PTR     194-28-100-251.valor.net.ua.
252             IN      PTR     194-28-100-252.valor.net.ua.
253             IN      PTR     194-28-100-253.valor.net.ua.
254             IN      PTR     194-28-100-254.valor.net.ua.
255             IN      PTR     194-28-100-255.valor.net.ua.

 

Аналогично создаем следующие файлы:

  • /var/named/zones/101.28.194.in-addr.arpa
  • /var/named/zones/102.28.194.in-addr.arpa
  • /var/named/zones/103.28.194.in-addr.arpa

Теперь пропишем их в конфигурационный файл DNS-сервера. Добавим такую секцию в  файл /var/named/etc/namedb/named.conf:

zone "100.28.194.in-addr.arpa" {
        type master;
        file "/zones/100.28.194.in-addr.arpa";
        allow-query { any; };
        allow-transfer { "slave"; };
};
zone "101.28.194.in-addr.arpa" {
        type master;
        file "/zones/101.28.194.in-addr.arpa";
        allow-query { any; };
        allow-transfer { "slave"; };
};
zone "102.28.194.in-addr.arpa" {
        type master;
        file "/zones/102.28.194.in-addr.arpa";
        allow-query { any; };
        allow-transfer { "slave"; };
};
zone "103.28.194.in-addr.arpa" {
        type master;
        file "/zones/103.28.194.in-addr.arpa";
        allow-query { any; };
        allow-transfer { "slave"; };
};

ВНИМАНИЕ! Необходимо обратить внимание на относительные пути, возможно они будут другие (зависит от настроек ДНС-сервера).

Дальше изменим права доступа на файлы, сделав их владельцем пользователя bind:

# chown bind:bind /var/named/zones/*.in-addr.arpa

 По завершению редактирования, перечитываем конфигурационный файл DNS-сервера:

# rndc reload
server reload successful

Проверяем теперь (на этом же ДНС-сервере), корректно ли работает бек-резолв:

# host 194.28.100.1
1.100.28.194.in-addr.arpa domain name pointer 194-28-100-1.valor.net.ua.

Все работает. Теперь необходимо указать вторичному ДНС-серверу, чтобы он синхронизировал зоны с master-ом. Для этого в конфигурационный файл /var/named/etc/namedb/named.conf добавим такой блок:

zone "100.28.194.in-addr.arpa" {
        type slave;
        file "slave/friends/100.28.194.in-addr.arpa";
        masters { 194.28.100.100; };
        allow-query { any; };
};

zone "101.28.194.in-addr.arpa" {
        type slave;
        file "slave/friends/101.28.194.in-addr.arpa";
        masters { 194.28.100.100; };
        allow-query { any; };
};

zone "102.28.194.in-addr.arpa" {
        type slave;
        file "slave/friends/102.28.194.in-addr.arpa";
        masters { 194.28.100.100; };
        allow-query { any; };
};

zone "103.28.194.in-addr.arpa" {
        type slave;
        file "slave/friends/103.28.194.in-addr.arpa";
        masters { 194.28.100.100; };
        allow-query { any; };
};

ВНИМАНИЕ! Необходимо обратить внимание на IP-адрес мастера!

После внесения изменений, перечитываем конфигурацию slave DNS-сервера:

# rndc reload
server reload successful

 

Проверяем, обрабатывает ли slave запросы (на ДНС-серверах в resolv.conf всегда прописываю ДНС-ником 127.0.0.1):

# host 194.28.100.1
1.100.28.194.in-addr.arpa domain name pointer 194-28-100-1.valor.net.ua.

Все в порядке. Теперь настала пора "заявить всему миру", что у нас настроена поддержка back-резолва для нашей сети. Для этого необходимо добавить в базу RIPE обьект domain. Итак, пошагово и со скриншотами.

Для начала необходимо авторизоваться с помощью выданого пароля на этой странице.

RIPE - авторизация

Дальше необходимо добавить тип обьекта - domain.

RIPE - domain

Заполняем поля согласно примера. Как говорится в одном известном рассказе: "Птица Говорун отличается умом и сообразительностью". Соответственно, проанализировав заполненные поля, не растеряетесь. Иначе предложите выполнить эту операцию знающему человеку. 

RIPE - Add domain

Если не допустили ошибок, то RIPE сообщит, что операция завершилась успешно, тоесть SUCCEEDED:

RIPE - SUCCEEDED

Проверим, действительно добавилась ли информация:

# whois -h whois.ripe.net 100.28.194.in-addr.arpa
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '100.28.194.in-addr.arpa'

domain:         100.28.194.in-addr.arpa
descr:          ValorNet RDNS
admin-c:        OLEG9-RIPE
tech-c:         KESH-RIPE
zone-c:         OLEG9-RIPE
mnt-by:         VALORNET-MNT
nserver:        ns.valor.net.ua
nserver:        ns2.valor.net.ua
source:         RIPE # Filtered

person:         Oleg Zinkov
address:        BGNet Ltd.
address:        2/21, Tarasivska str.
address:        Kyiv, Ukraine
phone:          +380442880353
e-mail:         muff [at] bg [dot] net [dot] ua
nic-hdl:        OLEG9-RIPE
mnt-by:         AS12998-MNT
source:         RIPE # Filtered

person:         Artem Stepanoff
address:        Tarasivska str. 2/21
address:        Kiev, Ukraine
phone:          +380 44 2880353
e-mail:         techdir [at] bg [dot] net [dot] ua
nic-hdl:        KESH-RIPE
mnt-by:         AS12998-MNT
source:         RIPE # Filtered

Проверка прошла успешно. Теперь поочередно добавляем оставшиеся файлы зон:

  • 101.28.194.in-addr.arpa
  • 102.28.194.in-addr.arpa
  • 103.28.194.in-addr.arpa

Осталось подождать немного времени, и информация PTR-записях будет доступна и на ДНС-серверах, которые раньше и не "догадывались" о них.

Ваша оценка: Нет Средняя: 5 (2 голоса)

Вопрос следеущий, обязательно

Вопрос следеущий, обязательно ли делать back-resolv для ip которые уже маршрутизируюся?

Если дадите сылку на место в RFC буду признателен.

Нет, не обязательно. Для

Нет, не обязательно.

Для продолжения общения советую открыть тему на форуме...

Немного не понял - где в

Немного не понял - где в райпе мы прописываем ip для ns.valor.net.ua и ns2.valor.net.ua ? Или где это прописать?

Соответствие прописываем при

Соответствие прописываем при регистрации (или модификации) домена. Необходимо создать так называемую "glue record" - когда указываем нейм-сервер в этом же домене, то необходимо указывать IP-адрес этого сервера. Пример - данные из базы Whois домена valor.net.ua:

domain: valor.net.ua
admin-c: MUFF-UANIC
tech-c:  BGN-UANIC
nserver: ns.valor.net.ua 194.28.100.100
nserver: ns2.bg.com.ua
changed: admin [at] valor [dot] net [dot] ua 20101105
source: UANIC

Довольно хорошо изложено о "glue record" - в этой статье.

Подскажите - где

Подскажите - где прописываются соответствия IP адреса и ns.valor.net.ua ?

Это должен сделать

Это должен сделать администратор, который отвечает за "вышестоящий" домен.

Re: Back-resolv для блока IP-адресов

Спасибо.
Сегодня настроил, с RIPE раньше не работал, там все запутано.
Конечно screenshots устарели но разобрался.

 

 

Aleksei

 

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".

Вставай, Україно!

Литература

В свои 20 лет он знал 9 опеpационных систем. И ни одной женщины...