DNS鯖構築

/ Linux/Unix / Comment[0]
BIND9でイントラDNS鯖を構築してみる実験

/etc/bind/named.conf
zone "lab" IN {
type master;
file "/etc/bind/labo.zone";
allow-query {
10.0.0.0/8;
127.0.0.1;
};
allow-transfer {
10.25.0.2;
};
};
options {
version "blahblah";
};
これで.labというゾーンの定義がでけた
type マスター鯖かスレーブ鯖か
file ゾーンファイル
allow-query 名前解決要求を受け付けるホスト
allow-transfer ゾーン転送を許可するホスト(スレーブ鯖)
optionsに「version "blahblah"」と記述することでバージョンを隠蔽することが出来る


次にゾーンファイルで名前とアドレスを関連付けていく
/etc/bind/labo.zone
$TTL 86400
$ORIGIN lab.
@ IN SOA ns root.localhost. (
2011042501
10800
900
604800
86400 )

@ IN NS gw

gw IN A 10.25.0.1
phantom0 IN A 10.0.0.1
blackhawk IN A 10.0.1.1
nyannyan IN A 192.168.1.10
ntt IN A 192.168.1.1

camera IN CNAME blackhawk

リロードして設定完了
# rndc reload lab


クライアントから名前解決の検証
$ su -c 'echo "nameserver 10.25.0.1" > /etc/resolv.conf'
$ host phantom0.lab

phantom0.lab has address 10.0.0.1

$ host gw.lab

gw.lab has address 10.25.0.1


ゾーン転送の検証
$ sudo ifconfig eth0 10.25.0.2
$ dig @10.25.0.1 lab axfr
; <<>> DiG 9.7.1-P2 <<>> @10.25.0.1 lab axfr
; (1 server found)
;; global options: +cmd
lab. 86400 IN SOA ns.lab. root.localhost. 2011042501 10800 900 604800 86400
lab. 86400 IN NS gw.lab.
blackhawk.lab. 86400 IN A 10.0.1.1
camera.lab. 86400 IN CNAME blackhawk.lab.
gw.lab. 86400 IN A 10.25.0.1
phantom0.lab. 86400 IN A 10.0.0.1
nyannyan.lab. 86400 IN A 192.168.1.10
ntt.lab. 86400 IN A 192.168.1.1
lab. 86400 IN SOA gw.lab. root.localhost. 2011042501 10800 900 604800 86400
;; Query time: 2 msec
;; SERVER: 10.25.0.1#53(10.25.0.1)
;; WHEN: Tue Apr 26 14:35:05 2011
;; XFR size: 9 records (messages 1, bytes 261)


バージョンが隠蔽されているか確認
$ dig @10.25.0.1 CHAOS version.bind TXT

:
version.bind. 0 CH TXT "blahblah"
:


仕上げに外部にゾーン転送しないように53/tcpのアウトバウンドパケットをiptablesでブロックする
# iptables -A OUTPUT -o bond0 -p tcp --sport 53 -j DROP
関連記事

コメント

:
:
:
:
:
管理人のみ表示を許可