Στην εργασία που δουλεύω έχουμε κάποια ενδοεταιρικά domain names τα οποία δεν είναι προσβάσιμα εκτός του τοπικού δικτύου της εταιρείας έτσι ήθελα να δω πως μπορώ να εφαρμόσω αυτό σε ένα εικονικό δίκτυο από εικονικά μηχανήματα προσομοιάζοντας παρόμοια κατάσταση με αυτήν που έχω στην εργασία μου.
Έτσι λοιπόν στην προσομοίωση λέω ότι και καλά η εταιρεία μου έχει ένα website http://example.com το οποίο είναι public facing και hosted κάπου αλλού και στο «ενδοεταιρικό» μου δίκτυο έχω 2 «ενδοεταιρικές» web εφαρμογές την http://app1.intranet.example.com και την http://app2.intranet.example.com. Προκειμένου να λύσω αυτό το πρόβλημα ύστερα από αναζήτηση λέει ότι θα πρέπει να στήσω τον δικόν μου «ενδοεταιρικό» dns server.
Έτσι λοιπόν σε έναν server που χρησιμοποιώ στο εικονικό «ενδοεταιρικό» δίκτυο που τρέχει ubuntu εγκατέστησα τον bind9 με την δύσκολα-να-μαντέψεις εντολή:
sudo apt-get install bind9
Εφόσον εγκατασταθεί θα πρέπει να:
- Ρυθμίσουμε τον σέρβερ να προωθεί ότι domain δεν έχει σχέση με το intranet σε δημόσιους DNS servers
- Να ορίσουμε DNS ζώνες για τα εσωτερικά domains.
Έτσι ύστερα από ώρες αναζήτησης βρήκα ότι έπρεπε να κάνω τα εξής: Στο /etc/bind/named.conf (για ubuntu 14.04) όρισα τα εξής:
options {
directory "/var/cache/bind";
querylog yes;
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
forwarders {
8.8.8.8;
8.8.4.4;
};
//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================
dnssec-validation auto;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};
logging{
channel default_file {
file "/var/log/named/default.log" versions 3 size 5m;
severity dynamic;
print-time yes;
};
category default { default_file; };
category general { default_file; };
category database { default_file; };
category security { default_file; };
category config { default_file; };
category resolver { default_file; };
category xfer-in { default_file; };
category xfer-out { default_file; };
category notify { default_file; };
category client { default_file; };
category unmatched { default_file; };
category queries { default_file; };
category network { default_file; };
category update { default_file; };
category dispatch { default_file; };
category dnssec { default_file; };
category lame-servers { default_file; };
};
acl "intranet" { 10.42.0.0/24; };
view "intranetView" {
match-clients { "intranet"; };
recursion yes;
zone "intranet.example.com" {
type master;
file "/etc/bind/db.intranet";
};
include "/etc/bind/named.conf.default-zones";
};
view "outside" {
match-clients { any; };
recursion no;
include "/etc/bind/named.conf.default-zones";
};
Όπως παρατηρείτε χάριν ευκολίας χώρισα την ρύθμιση σε χρώματα για ευκολότερη μελέτη:
- Όσα είναι με αυτό το χρώμα υποδηλώνουν ποιους dns θα προωθεί τα requests για domains τα οποία δεν μπορεί να εξυπηρετήσει ο ίδιος ο bind. Προσωπικά προτείνω την χρήση αυτών των DNS.
- Όσα είναι με αυτό το χρώμα υποδηλώνει ρυθμίσεις για logging αυτές οι ρυθμίσεις μπορεί να παρθούν copy paste αλλά για να λειτουργήσουν θα πρέπει να εκτελέσετε τις εξής εντολές:
sudo mkdir /var/log/named/ sudo touch /var/log/named/default.log sudo chmod uag+w /var/log/named/default.log - Τέλος όσα είναι με αυτό το χρώμα αποτελεί ρυθμίσεις οι οποίες:
- Ρυθμίζουν ποιο δίκτυο θα εξυπηρετεί τι. Εμείς ορίσαμε ότι το «εταιρικό» μας τοπικό δίκτυο (10.42.0.0/24) θα εξυπηρετείτε από το intranetView το οποίο εκεί έχουμε ορίσει τα «ενδοεταιρικά» μας domain που ορίζονται με εγγραφές zone οι οποίες έχουν την εξής μορφή:
zone "^domain που εξυπηρετούν^" { type master; file "^αρχείο ρύθμισης ζώνης^"; }; - Ποιο network θα μπορεί εφόσον συνδεθεί στον σέρβερ να αναζητά για άλλα domain που δεν έχει ζώνη με την ρύθμιση recursion. Εμείς στην παραπάνω ρύθμιση επιτρέπουμε μόνο όσοι προέρχονται από το δίκτυο 10.42.0.0/24; να αναζητούν για άλλα domain.
- Και τέλος για να μην σπα σε κάθε view εγγραφή ορίσαμε εγγραφές για της προεγκατεστημένες ζώνες (include «/etc/bind/named.conf.default-zones»;)
- Ρυθμίζουν ποιο δίκτυο θα εξυπηρετεί τι. Εμείς ορίσαμε ότι το «εταιρικό» μας τοπικό δίκτυο (10.42.0.0/24) θα εξυπηρετείτε από το intranetView το οποίο εκεί έχουμε ορίσει τα «ενδοεταιρικά» μας domain που ορίζονται με εγγραφές zone οι οποίες έχουν την εξής μορφή:
Τώρα μας μένει πλέον να ορίσουμε την ζώνη μας για τον δικό μου σκοπό ύστερα από πειραματισμό βρήκα ότι είναι αυτή (αναμένετε εμπλουτισμός στο κομμάτι αυτό):
$TTL 604800
@ IN SOA intranet.example.com. root.example.com. (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS root.example.com.
@ IN A 10.42.0.1
app1 IN A 10.42.0.1
app2 IN A 10.42.0.1
Όσο αφορά το κομμάτι της ζώνης ακόμα το ψάχνω αλλά προς το παρόν έχετε το παραπάνω σαν template.
Πλέον στον εκάστοτε υπολογιστή στον δίκτυο πρέπει να ορίσετε την Ιp που είναι εγκατεστημένος ο DNS server σαν DNS. Στις περισσότερες διανομές GNU/Linux αυτό γίνεται ως εξής:
- Κάνουμε δεξί κλικ στο εικονίδιο του δικτύου.
- Επιλέγουμε «Επεξεργασία συνδέσεων»/
- Επιλέγουμε την σύνδεσή μας και κάνουμε κλικ στο «Επεξεργασία».
- Μετά επιλέγουμε την καρτέλα DNS και ορίζουμε την Ip του μηχανήματος που εγκαταστήσαμε τον Bind server.
Pc_magas' Blog 