Back-resolv для блока IP-адресов
Пора заняться поддержкой бек-резолва для выделенного блока IP-адресов. Для начала, для зарегистрированного блока IP-адресов необходимо создать на DNS-сервере PTR-записи, чтобы IP-адрес мог отрезолвиться в имя. Напомню, RIPE выдал следующий блок адресов: 194.28.100.0/22.
У меня на сервере DNS работает под управлением BIND 9. Сервер работает на IP 194.28.100.100 (ns.valor.net.ua). Файлы зон располагаются в каталоге /var/named/zones. Именно в этом каталоге необходимо создать 4 файла зон (для каждой подсети). Пример отработаем на сети 194.28.100.0/24 (остальные - по аналогии).
Создаем файл зоны:
# touch /var/named/zones/100.28.194.in-addr.arpa |
Как и каждый файл зоны ДНС-сервера, необходимо наличие записей двух типов: SOA и NS. Соответственно отредактируем файл, создав "шапку" из этих записей. Вот что получилось в результате:
# cat /var/named/zones/100.28.194.in-addr.arpa
$TTL 86400
@ IN SOA ns.valor.net.ua. hostmaster.valor.net.ua. (
2010061400 ; Serial
3600 ; Refresh
3600 ; Retry
1209600 ; Expire
86400 ) ; Minimum
IN NS ns.valor.net.ua.
IN NS ns2.valor.net.ua.
|
Дальше добавляем в этот файл PTR записи для каждого из IP-адресов (от 0 до 255):
# cat /var/named/zones/100.28.194.in-addr.arpa
$TTL 86400
@ IN SOA ns.valor.net.ua. hostmaster.valor.net.ua. (
2010061400 ; Serial
3600 ; Refresh
3600 ; Retry
1209600 ; Expire
86400 ) ; Minimum
IN NS ns.valor.net.ua.
IN NS ns2.valor.net.ua.
0 IN PTR 194-28-100-0.valor.net.ua. |
Аналогично создаем следующие файлы:
- /var/named/zones/101.28.194.in-addr.arpa
- /var/named/zones/102.28.194.in-addr.arpa
- /var/named/zones/103.28.194.in-addr.arpa
Теперь пропишем их в конфигурационный файл DNS-сервера. Добавим такую секцию в файл /var/named/etc/namedb/named.conf:
zone "100.28.194.in-addr.arpa" {
type master;
file "/zones/100.28.194.in-addr.arpa";
allow-query { any; };
allow-transfer { "slave"; };
};
zone "101.28.194.in-addr.arpa" {
type master;
file "/zones/101.28.194.in-addr.arpa";
allow-query { any; };
allow-transfer { "slave"; };
};
zone "102.28.194.in-addr.arpa" {
type master;
file "/zones/102.28.194.in-addr.arpa";
allow-query { any; };
allow-transfer { "slave"; };
};
zone "103.28.194.in-addr.arpa" {
type master; |
ВНИМАНИЕ! Необходимо обратить внимание на относительные пути, возможно они будут другие (зависит от настроек ДНС-сервера).
Дальше изменим права доступа на файлы, сделав их владельцем пользователя bind:
# chown bind:bind /var/named/zones/*.in-addr.arpa |
По завершению редактирования, перечитываем конфигурационный файл DNS-сервера:
# rndc reload server reload successful |
Проверяем теперь (на этом же ДНС-сервере), корректно ли работает бек-резолв:
# host 194.28.100.1 1.100.28.194.in-addr.arpa domain name pointer 194-28-100-1.valor.net.ua. |
Все работает. Теперь необходимо указать вторичному ДНС-серверу, чтобы он синхронизировал зоны с master-ом. Для этого в конфигурационный файл /var/named/etc/namedb/named.conf добавим такой блок:
zone "100.28.194.in-addr.arpa" {
type slave;
file "slave/friends/100.28.194.in-addr.arpa";
masters { 194.28.100.100; };
allow-query { any; };
};
zone "101.28.194.in-addr.arpa" {
type slave;
file "slave/friends/101.28.194.in-addr.arpa";
masters { 194.28.100.100; };
allow-query { any; };
};
zone "102.28.194.in-addr.arpa" {
type slave;
file "slave/friends/102.28.194.in-addr.arpa";
masters { 194.28.100.100; };
allow-query { any; };
};
zone "103.28.194.in-addr.arpa" {
type slave; |
ВНИМАНИЕ! Необходимо обратить внимание на IP-адрес мастера!
После внесения изменений, перечитываем конфигурацию slave DNS-сервера:
# rndc reload server reload successful |
Проверяем, обрабатывает ли slave запросы (на ДНС-серверах в resolv.conf всегда прописываю ДНС-ником 127.0.0.1):
# host 194.28.100.1 1.100.28.194.in-addr.arpa domain name pointer 194-28-100-1.valor.net.ua. |
Все в порядке. Теперь настала пора "заявить всему миру", что у нас настроена поддержка back-резолва для нашей сети. Для этого необходимо добавить в базу RIPE обьект domain. Итак, пошагово и со скриншотами.
Для начала необходимо авторизоваться с помощью выданого пароля на этой странице.
Дальше необходимо добавить тип обьекта - domain.
Заполняем поля согласно примера. Как говорится в одном известном рассказе: "Птица Говорун отличается умом и сообразительностью". Соответственно, проанализировав заполненные поля, не растеряетесь. Иначе предложите выполнить эту операцию знающему человеку.
Если не допустили ошибок, то RIPE сообщит, что операция завершилась успешно, тоесть SUCCEEDED:
Проверим, действительно добавилась ли информация:
# whois -h whois.ripe.net 100.28.194.in-addr.arpa % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: This output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '100.28.194.in-addr.arpa' domain: 100.28.194.in-addr.arpa descr: ValorNet RDNS admin-c: OLEG9-RIPE tech-c: KESH-RIPE zone-c: OLEG9-RIPE mnt-by: VALORNET-MNT nserver: ns.valor.net.ua nserver: ns2.valor.net.ua source: RIPE # Filtered
person: Oleg Zinkov
address: BGNet Ltd.
address: 2/21, Tarasivska str.
address: Kyiv, Ukraine
phone: +380442880353
e-mail: muff [at] bg [dot] net [dot] ua
nic-hdl: OLEG9-RIPE
mnt-by: AS12998-MNT
source: RIPE # Filtered
person: Artem Stepanoff
address: Tarasivska str. 2/21
address: Kiev, Ukraine
phone: +380 44 2880353
e-mail: techdir [at] bg [dot] net [dot] ua
nic-hdl: KESH-RIPE
mnt-by: AS12998-MNT
source: RIPE # Filtered
|
Проверка прошла успешно. Теперь поочередно добавляем оставшиеся файлы зон:
- 101.28.194.in-addr.arpa
- 102.28.194.in-addr.arpa
- 103.28.194.in-addr.arpa
Осталось подождать немного времени, и информация PTR-записях будет доступна и на ДНС-серверах, которые раньше и не "догадывались" о них.
Вопрос следеущий, обязательно
Вопрос следеущий, обязательно ли делать back-resolv для ip которые уже маршрутизируюся?
Если дадите сылку на место в RFC буду признателен.
Нет, не обязательно. Для
Нет, не обязательно.
Для продолжения общения советую открыть тему на форуме...
Немного не понял - где в
Немного не понял - где в райпе мы прописываем ip для ns.valor.net.ua и ns2.valor.net.ua ? Или где это прописать?
Соответствие прописываем при
Соответствие прописываем при регистрации (или модификации) домена. Необходимо создать так называемую "glue record" - когда указываем нейм-сервер в этом же домене, то необходимо указывать IP-адрес этого сервера. Пример - данные из базы Whois домена valor.net.ua:
admin-c: MUFF-UANIC
tech-c: BGN-UANIC
nserver: ns.valor.net.ua 194.28.100.100
nserver: ns2.bg.com.ua
changed: admin [at] valor [dot] net [dot] ua 20101105
source: UANIC
Довольно хорошо изложено о "glue record" - в этой статье.
Подскажите - где
Подскажите - где прописываются соответствия IP адреса и ns.valor.net.ua ?
Это должен сделать
Это должен сделать администратор, который отвечает за "вышестоящий" домен.
Re: Back-resolv для блока IP-адресов
Спасибо.
Сегодня настроил, с RIPE раньше не работал, там все запутано.
Конечно screenshots устарели но разобрался.
Aleksei