راهنمای نصب و پیکربندی سرویس دهنده BIND DNS

• صفحه اصلی مستندات

ویرایش 1.00 ( آخرین بروزرسانی 28nd Sep 2005 ) - تغییرات صورت گرفته Changelog
آدرس اینترنتی: http://www.hezardastan.org/bind
گردآوری و تالیف : مهدی حسن پور

گواهی رفع ادعا Disclamer

این مستندات کاملا آزاد و رایگان منتشر میشوند. شما میتوانید آنها را مجددا تحت اجازه نامه GNU General Public License توسعه دهید و یا تغییراتی در آنها ایجاد نمایید.

این مستندات با امید به اینکه برای شما کاربر گرامی قابل استفاده و مفید باشد تهیه شده و توسعه میابد. در عين حال ذكر اين نكته نيز ضروری است که این مستندات بدون هرگونه ضمانت منتشر ميشوند. لطفا جهت اطلاع از جزئیات بیشتر٬ اجازه نامه GNU General Public License را مطالعه فرمایید.

نکات عمومی

1. این راهنما برای نصب و پیکربندی آسانتر سرویس دهنده BIND DNS برای کاربران فارسی زبان آماده شده است.
2. قسمت هایی که در مستطیل های مشکی رنگ میبینید، به این معناست که باید در محیط ترمینال (خط فرمان) اجرا شوند.
3. جهت جلوگیری از اشتباهات تایپی احتمالی توسط شما در هنگام تایپ دستورات، توصیه میشود دستورات نوشته شده را کپی کرده و در محیط ترمینال درج نمایید.
4. فرمان "wget" برای دریافت بسته های نرم افزاری نیاز به اتصال به اینترنت دارد.
5. برای دریافت یک فایل، در محیط مرورگر خود بر روی لینک مورد نظر راست کلیک نمایید و سپس "save link as" را انتخاب نمایید. مطمئن شوید که نام فایل و آدرس دریافت آن صحیح است.
6. جهت انتقال نظرات، پیشنهادات و انتقادات میتوانید با آدرس ایمیل mehdi AT hezardastan DOT org مکاتبه نمایید.
7. توجه نمایید که این صفحه برای مشاهده با فونت Tahoma بهینه شده، لذا در صورتی كه این فونت در سیستم شما موجود نمیباشد، جهت مشاهده بهتر این صفحه فونت Tahoma را در پوشه فونتهای سیستم خود اضافه نمایید.

ToDo

1. استفاده از Webmin به عنوان یک ابزار گرافیکی جهت ثبت و آدرس دهی دامنه های مختلف در سرویس دهنده BIND DNS
2. پیکربندی و تنظیمات سرویس دهنده DNS ثانویه

فهرست موضوعات و مطالب

شروع

1. معرفی اجمالی سرویس DNS
2. سرویس دهنده های Authoritative DNS
3. نحوه عملکرد سرویس DNS

مراحل نصب

1. دریافت و نصب BIND DNS

پیکربندی و تنظیمات

1. پیکربندی فایل مخدوم «DNS Client»
2. تنظیمات فایل named.conf
3. کاربران و فضای کار BIND
4. تنظیمات گزارش نویسی سیستمی BIND
5. تنظیم rndc
6. راه اندازی سرویس BIND DNS
7. ثبت و آدرس دهی یک دامنه در سرویس دهنده  BIND DNS
8. تنظیم Forward Zone
9. تنظیم Reverse Zone

امنیت 

1. امنیت در سرویس دهنده BIND DNS

شروع

معرفی اجمالی سرویس DNS

• اصطلاح DNS مختصر شده عبارت Domain Name System است و در واقع كار اصلی این سرویس تبدیل اسامی در محیط شبکه٬ به عنوان مثال www.hezardastan.org به IP آدرس سرویس دهنده میزبان آن دامنه٬ به عنوان مثال 80.68.80.137 است. همانطور كه میدانید به خاطر سپردن این IP آدرسها در شبكه های بزرگ مثل اینترنت بسیار دشوار است. به همین دلیل استفاده از یک سرویس دهنده DNS پایدار و امن از جمله ضروریات یک شبكه اینترنتی یا اینترانتی بزرگ است.

  شاید بتوان مجموعه یک دامنه «Domain» و زیردامنههایش «Subdomain» را به اعضای یک خانواده تشبیه كرد. به عنوان مثال٬ می دانیم هر شخص یک نام و یک نام خانوادگی دارد. خانواده دامنه ها نیز این گونه اند. مثلا دامنه های www.hezardastan.org ٬ mail.hezardastan.org و ftp.hezardastan همگی اعضای یک خانواده و زیر دامنههای دامنه hezardastan.org هستند و هر کدام با توجه به IP آدرس خاصی که در سرویس دهنده DNS برایشان تعریف شده است٬ درخواست ها را به سرویس دهنده های مربوطه ارجاع می دهند.

  بسته نرم افزاری که ما در اینجا برای سرویس دهنده DNS نصب خواهیم کرد و به صورت پیش فرض نیز همراه خانواده Unix ها نصب می شود٬ از محصولات پروژه BIND است و daemon آن named نام دارد. اصطلاح BIND مختصر شده عبارت Berkeley Internet Name Domain است.

سرویس دهنده های Authoritative DNS

• سرویس دهنده های Authoritative DNS ٬ بزرگترین سرویس دهنده های DNS دنیا هستند و در واقع آخرین بخش نام دامنه ها مانند com ٬ org ٬ net و... بر روی این سرویس دهنده ها آدرس دهی شده است. امروزه 13 سرویس دهنده Authoritative در شبکه جهانی اینترنت قرار دارند و کلیه سرویس دهنده های DNS دیگر باید از طریق مراجعه به این سرویس دهنده های اصلی IP آدرس درخواست شده را جستجو نمایند. 

  زمانی که شما توسط یک شرکت ارائه دهنده خدمات ثبت دامنه٬ یک دامنه مانند hezardastan.org را ثبت می نمایید٬ در واقع یک record در سرویس دهنده org. اضافه می شود.

  ذکر این نکته نیز ضروری است که سرویس دهنده های DNS مستقیما به سراغ سرویس دهنده های اصلی اینترنت نمی روند٬ بلکه از طریق سرویس دهنده های 
  Caching DNS Servers آدرس IP های مورد نظر را جستجو می نمایند.

نحوه عملکرد سرویس DNS

• مراحل تبدیل نام دامنه وارد شده در مرورگر٬ به IP آدرس سرویس دهنده مربوطه

1. مرورگر یا برنامه ای که آدرس URL فوق را در آن وارد نموده اید٬ ابتدا دیتا بانک خود را برای پیدا کردن IP آدرس دامنه مورد نظر بررسی می نماید. مثلا اگر شما از یک مرورگر اینترنتی استفاده می نمایید٬ مرورگر قبل از مراجعه و سوال از سرویس دهنده DNS ابتدا از  Cache  داخلی خود آدرس را جستجو می نماید و در صورتی که پاسخ لازم را دریافت نماید٬ دیگر سراغ DNS نخواهد رفت.
2. مرورگر یا برنامه ای که آدرس URL فوق را در آن وارد نموده اید٬ سراغ فایل مخدوم سرویس دهنده DNS یعنی etc/resolv.conf/ میرود و نام یا IP آدرس سرویس دهنده های DNS که میتواند درخواست های خود را برای آنها بفرستد را از این فایل دریافت می نماید.
3. فرض نمایید مرورگر یا برنامه ای که آدرس URL فوق را در آن وارد نموده اید٬ از روش 2 درمیابد که برای تبدیل نام دامنه های وارد شده به آدرس IP سرویس دهنده مربوطه٬ باید به سرویس دهنده DNS با IP آدرس 192.9.9.3 مراجعه نماید.
4. سرویس دهنده 192.9.9.3 ابتدا در Cache خود درخواست شما را جستجو می نماید٬ در صورتی که پاسخ را پیدا کند این پاسخ را برای شما ارسال می نماید و به محل دیگری مراجعه نخواهد کرد و در صورتی که پاسخ را پیدا ننماید٬ سرویس دهنده DNS به دنبال این می گردد که آیا دامنه مورد درخواست برنامه شما به صورت محلی «local» در خودش وجود دارد یا خیر٬ در صورتی که به صورت محلی نیز دامنه مورد درخواست شما در این سرویس دهنده DNS نباشد٬ سرویس دهنده DNS آخرین قسمت دامنه مورد درخواست شما (TLD (Top Level Domain مثل com. را گرفته و درخواست را برای یک سرویس دهنده root اصلی یا Authoritative ارسال نموده و پاسخ را از آن دریافت می نماید. سپس سرویس دهنده 192.9.9.3 به سراغ قسمت دوم دامنه مورد نظر شما رفته و جواب را به همین ترتیب از سرویس دهنده های مربوطه دریافت می نماید.
5. پس از دریافت آخرین record ٬ سرویس دهنده 192.9.9.3 پاسخ را به شما برگردانده و ضمنا برای استفاده های بعدی این پاسخ را در حافظه Cache خود نگهداری مینماید.

مراحل نصب

دریافت و نصب BIND DNS

• پیش از آغاز نصب ذکر این نکته ضروری است که مراحل نصب با سطح دسترسی کاربر root انجام می شوند و اجرای این daemon با سطح دسترسی کاربر root از نظر امنیتی کار خطرناکی است٬ لذا محیط اجرای این daemon را درون Jail یا زندان یا محیط بسته محبوس می نماییم.
  

# cd /usr/local 
# wget -c ftp://ftp.isc.org/isc/bind9/9.3.1/bind-9.3.1.tar.gz 
# tar zxf bind-9.3.1.tar.gz 
# cd bind-9.3.1 
# ./configure --prefix=/usr/local/bind 
# make 
# make install 
# mkdir -p /usr/local/bind/{etc,namedb,dev,var/run}

• در صورتی که مراحل بالا با موفقیت انجام شد٬ سرویس دهنده BIND در مسیر usr/local/bind/ نصب شده است.

پیکربندی و تنظیمات

پیکربندی فایل مخدوم «DNS Client»

• مخدوم DNS یا DNS Client فایلی است که ابزارهای سیستمی برای دریافت پاسخ سوالات DNS به این فایل مراجعه نموده و آدرس سرویس دهنده های DNS را از این فایل دریافت می نمایند. این فایل هر بار برای گرفتن پاسخ درخواست ها به سرویس دهنده DNS مراجعه می نماید. توجه نمایید که این فایل پاسخ درخواست ها را در خود نگهداری نمی نماید.

  فایل پیکربندی DNS Client ٬ فایل etc/resolv.conf/ است. فایل resolv.conf در واقع دارای دو ستون است.

  ستون اول شامل :

1. Name Server : در مقابل آن IP آدرس سرویس دهنده DNS كه این ماشین برای دریافت اطلاعات مربوط به یک دامنه باید به آن مراجعه نماید درج میشود.
2. Domain : نام دامنه محلی این ماشین، مثلا اگر این ماشین mehdi.hezardastan.org است٬ قسمت hezardastan.org را در مقابل Domain مینویسیم.
3. Search  : در مقابل Search نام ماشینی را می نویسیم كه ماشین محلی برای دریافت اطلاعات مربوط به یک دامنه به آن مراجعه می نماید. در صورتی که در این قسمت بخواهید چند اسم ماشین بدهید می توانید اسامی را با فاصله از هم جدا نمایید. ضمنا برای ماشین های موجود در دامنه محلی، پسوند دامنه لازم نیست.
   

• یک نمونه فایل resolv.conf

search     test.com   test.net   test.org
domain     test.com
name server   192.168.0.1
name server     192.9.9.3

تنظیمات فایل named.conf

• فایل named.conf که در مسیر usr/local/bind/etc/ قرار دارد٬ فایل اصلی پیکربندی BIND DNS می باشد. ما کلیه تنظیمات اصلی را در این فایل انجام میدهیم. قسمتهایی که با عبارت Options شروع می شوند٬ برای تنظیمات کلی و عمومی همه دامنه ها و قسمتهایی که با عبارت Zone شروع می شوند٬ مقادیر تنظیمات اختصاصی مربوط به هر دامنه خاص هستند.

options {
 directory "/namedb";
 version "I do not give any version info";
 pid-file "/var/run/named.pid";
 allow-transfer { none ;};
};

zone "." IN {
 type hint;
 file "/etc/named.root";
};

• ذکر این نکته نیز ضروری است که مسیرهای مشخص شده در این فایل همگی در مسیر عمومی usr/local/bind/ قرار دارند. به عنوان مثال خط فرمان
  ;"directory "/namedb در حقیقت به مسیر کامل usr/local/bind/namedb/ اشاره می نماید و نه به namedb/ ٬ یا مثلا  var/run/named.pid/ در حقیقت به مسیر کامل usr/local/bind/var/run/named.pid/ اشاره می نماید. امیدوارم با این توضیحات نحوه مسیر دهی در این فایل روشن شده باشد. از یاد نبرید که BIND دریک محیط بسته (به صورت زندانی) قرار گرفته است٬ بنابراین تمامی مسیر ها باید داخل آن محدوده باشند.

• در فایل named.conf در قسمت "." zone فایلی به نام named.root فراخوانی شده است. این فایل در واقع فایلی است که IP تمامی سرویس دهنده های root را دارا می باشد. بندرت IP آدرس سرویس دهنده های root تغییر می کنند. شما همواره می توانید آخرین و جدیدترین فایل named.root را از آدرس ftp://ftp.internic.com/domain/named.root دریافت نمایید. 

فایل named.conf را دریافت می نماییم.

# cd /usr/local/bind/etc 
# wget ftp://ftp.internic.com/domain/named.root

كاربران و فضای كاری BIND

• پس از انجام این مراحل اکنون میبایست پوشه های بسته (Jail) و کاربران سیستمی bind را بسازیم.
  

# groupadd named 
# useradd named -d /usr/local/bind -s /bin/false -g named -c "DNS Jail User" 
# mknod /usr/local/bind/dev/null c 1 3 
# mknod /usr/local/bind/dev/random c 1 8 
# chmod 666 /usr/local/bind/dev/{null,random}
# cp /etc/localtime /usr/local/bind/etc/

تنظیمات گزارش نويسی سيستمی BIND

•  از آنجاییکه ما BIND را در محیط بسته (Jail) نصب نموده ایم با تنظیمات فعلی٬ سیستم گزارش نویسی (Log نویسی) مختل می شود و در واقع کاربر named به محیطی غیر از محیط بسته خود دسترسی ندارد٬ بنابراین نمی تواند در فایل syslog یا messages به خوبی گزارش نویسی نماید. لینوکس گزارش نویسی رکوردهای DNS را از طریق فرستادن رکوردها به سوکت dev/log/ انجام می دهد که خارج از مسیر بسته ما قرار دارد. برای حل این مشکل به این طریق عمل می نماییم :

ذکر این نکته نیز ضروری است که با توجه به اینکه تنظیماتی که باید اعمال شوند در فایل تنظیمی syslog نیستند٬ این تنظیمات باید در بخش پیکربندی نحوه بالا آمدن syslog daemon انجام شوند٬ که بسته به توزیعهای مختلف لینوکس متفاوت می باشند.

فایل پیکربندی بالا آمدن syslog daemon در مسیر etc/rc.d/init.d/syslog/ قرار دارد. در این فایل٬ به دنبال خط فرمان زیر بگردید.

daemon syslogd -m 0

daemon syslogd -m 0 -a /usr/local/bind/dev/log

در فایل etc/rc.d/rc.inet2/ خط فرمان a /usr/local/bind/dev/log- را به خط فرمان usr/bin/syslogd/ اضافه نمایید.

# chown named:named /usr/local/bind 
# chown -R named:named /usr/local/bind/var 
# chmod 700 /usr/local/bind

تنظیم rndc

# cd /usr/local/bind/sbin
# ./rndc-confgen > rndc.conf
# ./rndc-confgen -a

# Start of rndc.conf
key "rndc-key" {
	algorithm hmac-md5;
	secret "oTp9kfWXibrALQmvdDEixw==";
};

# key "rndc-key" {
# algorithm hmac-md5;
# secret "oTp9kfWXibrALQmvdDEixw==";
# };
# 
# controls {
# inet 127.0.0.1 port 953
# allow { 127.0.0.1; } keys { "rndc-key"; };
# };

راه اندازی سرويس BIND DNS

• با خط فرمان زیر سرویس BIND DNS شروع به کارخواهد نمود.
  

# /usr/local/bind/sbin/named -u named -t /usr/local/bind -c /etc/named.conf

# ps aux | grep -v grep | grep named

# /usr/local/bind/sbin/rndc status

در صورتی که با موفقیت به این مرحله رسیده اید٬ و به اینترنت متصل هستید با خط فرمان زیر اولین درخواست را برای سرویس دهنده DNS بفرستید (query بگیرید).

# host www.linux.org 127.0.0.1 
www.linux.org has address 198.182.196.56

# /usr/local/bind/sbin/rndc status

# /usr/local/bind/sbin/rndc reload

ثبت و آدرس دهی يک دامنه در سرويس دهنده BIND DNS

• تنظيم Forward Zone

فرض کنید دامنه ای به نام hezardastan.org را از یک ارائه دهنده سرویس دامنه مانند register.com خریداری نموده ایم و می خواهیم آنرا در سرویس دهنده DNS خود ثبت کرده٬ سپس زیر دامنه های mail و www را برای آن ایجاد نموده و به سرویس دهنده های مختلف مسیردهی نماییم.

zone "hezardastan.org" { 
        type master ; 
        file "hezardastan.org.zone"; 
        allow-query {any;}; 
        allow-update { none; };   
};

$TTL 14400 

hezardastan.org. 	IN 	SOA 	ns1.hezardastan.org. 	mehdi.hezardastan.org. ( 
2005030601 	; serial 
7200 	; Refresh 
7200 	; Retry 
604800 	; Expire 
86400) 	; Minimum 

hezardastan.org. 	IN 	NS 	ns1.hezardastan.org.
hezardastan.org. 	IN 	A 	192.168.0.200
mail.hezardastan.org. 	IN 	CNAME 	hezardastan.org. 
www.hezardastan.org. 	IN 	CNAME 	hezardastan.org. 
hezardastan.org. 	IN 	MX 	5 	mail.hezardastan.org. 
ftp.hezardastan.org. 	IN 	A 	192.168.0.201 

مقادیری که در zone فایل نوشته می شوند انواع مختلفی دارند.

MX برای Mail
A برای Forward Lookups
PTR برای Reverse Lookups
CNAME برای شرایط مشابه یا alias ها
SOA  برای Start Of Authority

ساختار کلی قسمت SOA به این شکل است

 Name   Class   Type  Name-Server   Email-Address   Serial-No   Refresh  Retry   Expiry   Minimum-TTL

86400 = 1D= 1 شبانه روز

لطفا فراموش نکنید که باید بعد از هر اسم دامنه٬ کاراکتر . را قرار دهید.

Serial Number را مخصوص هر zone فایل می دهیم. این شماره سریال ها را معمولا به صورت تاریخ روز شماره گذاری می کنیم. به عنوان نمونه در Zone فایل دامنه hezardastan.org که در مثال بالا مطرح شد 2005030601 سال 2005 ماه 03 روز 06 و 01 نیز به معنی اولین دامنه ایجاد شده در آن روز می باشد. توجه نمایید که خطوطی که بعد از ; نوشته شده اند توضیح (Comment) هستند.

در Zone فایلی که ما در بالا درست کرده ایم خط

hezardastan.org.    IN      A      192.168.0.200

خط  

ftp.hezardastan.org.    IN      A      192.168.0.201

به این معنی است که زیر دامنه ftp.hezardastan.org بر روی سرویس دهنده ای با IP آدرس 192.168.0.201 میزبانی میشود. 

خط

hezardastan.org.       IN      MX      5      mail.hezardastan.org.

قسمت پایینی zone فایل را به جای روش بالا٬ به این صورت نیز می توانید ویرایش نمایید.

hezardastan.org.    IN      A         192.168.0.200
www           IN      CNAME       hezardastan.org.
mail           IN      CNAME       hezardastan.org.

به این ترتیب می توانید زیر دامنه هایی را که نیاز دارید ایجاد نموده و با مشخص کردن IP آدرس سرویس دهنده های میزبان٬ این زیر دامنه ها را به سرویس دهنده های مختلفی ارجاع دهید.

• تنظیم Reverse Zone

$TTL 14400 

0.168.192.in-addr.arpa. IN SOA ns1.hezardastan.org. mehdi.hezardastan.org. ( 
2005030602 ; serial 
7200 ; Refresh 
7200 ; Retry 
604800 ; Expire 
86400) ; Minimum 

0.168.192.in-addr.arpa. IN NS ns1.hezardastan.org.
200.0.168.192.in-addr.arpa. IN PTR hezardastan.org.
www.0.168.192.in-addr.arpa. IN CNAME hezardastan.org. 
mail.0.168.192.in-addr.arpa. IN CNAME hezardastan.org. 
201.0.168.192.in-addr.arpa. IN PTR ftp.hezardastan.org.

پس از انجام تنظیمات فوق می بایست سرویس named را راه اندازی دوباره (restart) نمایید. 

خط فرمان

# kill -1 `pidof named`

و یا

# /usr/local/bind/sbin/rndc reload

یک بار سرویس named سرویس دهنده شما را راه اندازی مجدد خواهد نمود.

اكنون سرویس DNS ما دوباره راه اندازی شده است و می تواند به درخواست های ما پاسخ دهد. به عنوان مثال به کمک درخواست زیر٬ سرویس دهنده DNS به ما پاسخ می دهد كه كدام سرویس دهنده ایمیل مسؤل دریافت ایمیل های فرستاده شده به دامنه hezardastan.org است .

# host -t mx hezardastan.org 127.0.0.1
hezardastan.org mail is handled by 5 mail.hezardastan.org.

امنيت

امنيت در سرويس دهنده BIND DNS

1. در مستندات RFC تاكید شده است كه سرویس دهنده های Authoritative DNS و Cache-Only بر روی یک سرویس دهنده نباشند.
   نباید از سرویس دهنده های Authoritative در فایل etc/resolv.conf/ استفاده نمایید.
2. سرویس دهنده DNS که با روش بالا پیکربندی کرده ایم٬ هم سرویس Authoritative و هم سرویس Cache هم زمان دارد. در صورتی که مایل به داشتن هر دوی این سرویس ها بر روی این سرویس دهنده نیستید٬ می توانید خط فرمانهای زیر را از فایل usr/local/bind/named/named.conf/ حذف نمایید.

 zone "." IN {
            type hint;
            file "named.root";
             };

3. درخواست های بازگشتی (query های recursive) می بایست غیر فعال شوند. این عمل مخصوصا زمانی برای سرویس دهنده شما مفید خواهد بود كه شما پهنای باند محدودی در اختیار دارید. برای این كار خط فرمان زیر را در فایل usr/local/bind/named/named.conf/ بین خط فرمانهای بخش options درج نمایید.
   

 allow-recursion { none; };

4. در صورتی که تمایل دارید ضریب امنیت را بسیار بالا ببرید٬ میتوانید كلیه درخواستها به غیر از درخواستهایی كه مربوط به Zone های داخلی سرویس دهنده شما هستند را غیر فعال نمایید.

 allow-query {any;};

 allow-query { none; };

 allow-query {192.168.1.0/24;};