Portál AbcLinuxu, 8. května 2025 18:24

Kešovací DNS server BIND

Nastavení DNS serveru BIND v režimu cache-only - srozumitelný a praktický návod.

O DNS

Počítače komunikují v sítích založených na protokolu TCP/IP (IPv4) pomocí 32bitových čísel, tj. ip_adresy (např. 192.168.1.1). Pro snadnější zapamatování a vlastně i usnadnění komunikace se počítačům přidělují jména. Takže počítač o adrese 192.168.1.1 se může jmenovat třeba "zofka". Pokud bychom měli malou síť, nebylo by těžké udržovat informace o jménech, jež jsou přidělena jednotlivým adresám v jednom souboru. Avšak ve velkých strukturovaných sítích (třeba dnešní Internet) by to bylo téměř nemožné a přinejmenším velmi pracné, nemluvě o problémech, když by došlo ke změně nějakého jména. Pro lokální účely lze této možnosti s výhodou využít zapsáním jmen a adres do souboru /etc/hosts. Avšak u větších sítí je nutné zpravovat takovou databázi centrálně, což také řeší tzv. NIS (Network Information System). K problémům však dochází v případě, kdy je síť opravdu rozsáhlá, kde při každé změně si musí klienti znovu kopírovat databázi "hosts", což může při větším počtu stanic a velikosti databáze značně zatěžovat síť. Právě všechny tyto problémy řeší systém DNS (Domain Name Service).

Jak funguje DNS?

U systému DNS je využito principu klient-server. Kde se server stará o udržování databáze jmen a klient odesílá serveru dotaz, jenž je buď vyřízen přímo serverem, nebo je přeposlán na jiný server, schopný požadavek vyřídit.

Typy DNS serverů

• primární - je to tzv. autoritativní server, určuje obsahy domén;
• sekundární - jedná se o záložní server, může vyřizovat požadavky jako primární server, ale nemůže měnit obsah databáze;
• pomocný - pamatuje si jen ty odpovědi, které primárním nebo sekundárním serverům "prošly", a ty může sám vyřídit.

Mezi nejpoužívanější DNS servery patří BIND, proto se v tomto článku budu zabývat právě jím. Poslední verzi BINDu lze najít na ftp://ftp.isc.org/isc/bind9/.

Proč BIND?

BIND je bezesporu nejpoužívanějším DNS serverem na platformě Unix. Je konstruován pro obrovské zatížení, a proto se u všech velkých DNS serverů setkáme právě s touto aplikací. Trochu jiný případ je otázka "Je BIND vhodný i pro náš účel?" Hodně uživatelů totiž volí pro DNS cache v menších sítích alternativy k BINDu (např. dnsmasq, pdnsd a další). Osobně mohu říci, že BIND pro náš účel vhodný je. Existuje mnoho jiných aplikací, některé jsou dokonce vyvinuty primárně pro účel DNS cache a je na každém, jestli použije tu, nebo onu aplikaci. BIND cachování umožňuje - jak ho zprovoznit, se dozvíte v tomto textu.

DNS cache

Zprovoznění DNS cache je výhodné pro sítě, které jsou připojené do internetu pomalejší linkou. Jelikož si DNS keš pamatuje již vyřízené požadavky, další jejich vyřízení, je-li o ně opět požádáno, probíhá na úrovni lokální sítě (již není kontaktován vzdálený DNS server), což může v jistých případech příjemně snížit zatížení a zkrátit odezvy. Nutno však dodat, že BIND si po rebootu počítače obsah nakešované paměti nepamatuje.

Kompilace a instalace

Zde je použit klasický postup.

 tar -xvzf bind-9.3.1.tar.gz
 cd bind-9.3.1
 ./configure
 make
 make install

Chráněné prostředí

BIND (proces named) se standardně spouští pod uživatelem root, což není z hlediska bezpečnosti příliš přívětivé. Proto je velmi vhodné vytvořit nového uživatele, pod kterým by se BIND spouštěl. Nyní se podíváme na postup, jak vytvořit nového uživatele, a nastavení práv adresářů.

1. vytvoříme novou skupinu v /etc/group: named:x:200:;
2. vytvoříme uživatele v /etc/password:

 named:x:200:200:,,,:/var/named:/bin/false

3. dále vytvoříme potřebnou adresářovou strukturu a soubory;

 mkdir /var/named/dev
 mkdir /var/named/etc
 mkdir /var/named/etc/namedb
 mkdir /var/named/etc/namedb/slave
 mkdir /var/named/var
 mkdir /var/named/var/run
 cp -p /etc/named.conf /var/named/etc/
 cp -a /var/named/* /var/named/etc/namedb/
 mknod /var/named/dev/null c 1 3
 mknod /var/named/dev/random c 1 8
 chmod 666 /chroot/named/dev/{null,random}

4. nyní nastavíme práva:

 chown named:named /var/named
 chown -R named:named /var/named/*

Konfigurace DNS cache

Vlastní konfigurace je poměrně jednoduchá. zde se zaměřuji na nastavení BINDu z hledika kešování. Zabývat se ostatními volbami by značně přesáhlo rámec tohoto článku. Veškeré nastavení se nyní bude týkat souboru /var/named/etc/named.conf.

 controls {
       inet 127.0.0.1 port 953
               allow { 127.0.0.1; } keys { "rndc-key"; };
 };

 options {
  directory "/var/named";
  query-source address 193.178.150.241 port 53; # pro komunikaci s DNS použijeme port 53
  auth-nxdomain no; # neposkytujeme informace o síti
  forward first; # pokud neví, ptá se níže uvedených serverů
  forwarders {    # adresy DNS serverů, kterých se budeme ptát
   193.179.149.2;
   212.47.0.4;
   212.47.1.4;
  };
   listen-on { # naslouchá na těchto IP adresách
    127.0.0.1;
    192.168.33.1;
  };
 };

 # nastavení cache-only nameserveru

 zone  "." IN {
  type hint;
  file  "named.ca";
 };

 zone  "localhost" IN {
  type master;
  file  "localhost.zone";
         allow-update { none; };
 };

 zone  "0.0.127.in-addr.arpa" IN {
  type master;
  file  "named.local";
  allow-update { none; };
  #file  "0.0.127.in-addr.arpa.zone";
 };

Poslední nastavení provedeme v /etc/resolv.conf, kde uvedeme náš loopback jako DNS server:

 nameserver 127.0.0.1

Spuštění

Proces named musí být spuštěn s právy našeho nově vytvořeného uživatele. Pokud budeme spouštět named ručně, postačí příkaz:

 named -u named -t /var/named

U mnoha distribucí bude spouštěcí skript v /etc/rc.d nebo /etc/init.d, do kterého doplníme nebo upravíme uvedený příkaz ke spuštění.

Pracuje cache?

Pokud se chceme přesvědčit, zda náš DNS server opravdu pracuje, jak má, můžeme si vypsat obsah keše:

 rndc -k /var/named/etc/rndc.key dumpdb

Závěr

Je možné, že budou někteří uživatelé volit alternativy BINDu, zejména co se keše týče. Věřím ale, že pro tento úkol má BIND své uplatnění také a zvládá ho velmi dobře. Proto ať je tento návod skromným pomocníkem těm, kteří ho potřebují.

Diskuse k tomuto článku

$TTL	86400
@       IN      SOA     localhost. root.localhost.  (
                                      1997022700 ; Serial
                                      28800      ; Refresh
                                      14400      ; Retry
                                      3600000    ; Expire
                                      86400 )    ; Minimum
              IN      NS      localhost.

1       IN      PTR     localhost.

Vážení přátelé, používám již léta na našich DNS cache a DNS serverech balík od DJB (viz subj) a naprostá spokojenost. Tvrdit, že BIND je určen pro obrovské zatížení mi připadá tak trochu přitažené za vlasy, spíše je to DNS server snažící se implementovat poslední standardy v DNS. Pro dané použití se mi zdá naprosto nevhodný (spotreba systemovych prostredku). Obcas miva take problemy s bezpecnosti. Je to jen vyjadreni meho nazoru vyplyvajiciho ze zkusenosti.

6.5.2005 11:32 Antonín Kolísek | skóre: 33 | blog: PDA | Vyškov
Rozbalit Rozbalit vše Re: tinydns a dnscache

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

V článku je psané, že existují různé alternativy k tomuto účelu a mnoho uživatelů je volí raději. Nicméně Bind DNS kešování umožňuje a cílem článku bylo ukázat základní postup jak to nastavit. Co se týká bezpečnosti, tak mám pocit že řada 9.X.Y je na tom o mnoho lépe než řada 8 a nižší, takže co se týká bezpečnosti toho bych se nebál. Další vec je ta, že DNS keš pracuje jen v lokální síti, takže pro vnější svět je nepřístupná, což také eliminuje rizika. Ohledně Bindu a velkého zatížení, nejsem si jist co běží na kořenových a dalších velkých DNS serverech, ale mám silný pocit, že to bude právě většinou Bind :)

6.5.2005 11:44 jm
Rozbalit Rozbalit vše Re: tinydns a dnscache

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Obcas miva take problemy s bezpecnosti.

Nejaky priklad dejme tomu za posledni dva roky?

P.S. Pred usetrenymi par MB RAM teda rozhodne davam prednost dodrzovani standardu, ktere tinydns a spol. dodrzuje akorat tehdy, kdyz se to autorovi hodi do kramu a bugreporty v tomto smeru zvesela ignoruje a jejich autory oznacuje za blbce, kteri nepochopili jeho genialni reseni.

8.5.2005 18:07 kmarty | skóre: 15
Rozbalit Rozbalit vše Re: tinydns a dnscache

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

To mne zajima. Cim djbdns nedodrzuje standardy?

8.5.2005 19:03 jm
Rozbalit Rozbalit vše Re: tinydns a dnscache

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

A6 (RFC 2874), DNAME (RFC 2672), DNSSEC (RFC 2535, 2931, 3008), Dynamic DNS (RFC 2136), IXFR (RFC 1995), TSIG (RFC 2845)...

Jinak tady si muzes precist seznam znamych bugu...

P.S. No, a pak to ma jeste "prima" licenci. :-P

8.5.2005 21:55 kmarty | skóre: 15
Rozbalit Rozbalit vše Re: tinydns a dnscache

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Zkuste z toho prosim vyjmenovat ty ktera nejsou "Experimental", "Proposed" ci "Draft".

Hadat se s Vami nechci (nejspis bych prohral ), ale tenhle seznam se az moc se podoba seznamu od jisteho pana Knowlese kteremu jak se zda Bernstein poradne slapl na kuri oko. A ze Bernstein umi byt ..."neomaleny" to je o nem znamo (tedy, povida se to o nem).

9.5.2005 00:49 jm
Rozbalit Rozbalit vše Re: tinydns a dnscache

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Vite, me je to vcelku ukradene, co je experimental nebo draft. Vsechny tyhle veci BIND umi, djbdns neumi, djbdns ma krom toho X neresenych bugu, na ktere autor umyslne kasle a jeste je vydava za prednosti a navrch jako bonus domrseny transfer zonovych souboru a debilni licenci. Fakt sama pozitiva a socialni jistoty. :-P

Pěkný článek. Dříve jsem bind jako cache server používal na pomalém připojení, bez problémů. Protože jsem bind používal (a používám) na různých strojích v konfiguraci prim. a sek. DNS serveru, ani jsem neuvažoval o jiném sw řešení.

Nářek nad systémovými prostředky mi v dnešní době přijde k smíchu.

[frank]$ uname -prs FreeBSD 4.11-RELEASE-p25 i386

6.5.2005 23:23 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: hezké

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Nářek nad systémovými prostředky mi v dnešní době přijde k smíchu.

Ono pokud to ma clovek na notebooku kvuli pomalemu GPRS a jede z baterky, tak je zajimavy kazdy procento vykonu.

Hello world ! Segmentation fault (core dumped)

7.5.2005 19:47 Frank J. Tomes | skóre: 29 | Plzeň
Rozbalit Rozbalit vše Re: hezké

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Docela by mě zajímalo, kolik minut provozu na baterky ušetříte tím, že místo bindu vám tam pojede jiné řešení.

[frank]$ uname -prs FreeBSD 4.11-RELEASE-p25 i386

7.5.2005 21:14 Krakonoš | skóre: 17 | Nová Ves v Horách
Rozbalit Rozbalit vše Re: hezké

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Tak tohle me zaujalo. Myslim, ze pokud bind nic nedela, neprokazuje ani znatelny vykon (tj. neco pod 1% vykonu procesoru?), tak ani nebude setrit baterku (5 procesu, ale kazdej jenom nasloucha na nejakem portu, ceka na nejaky signal a tak), takze pokud ten clovek prezije o 16MB mene (jak nekdo napsal ze si bind vezme), tak si klidne muze bind dovolit. Neco jineho je, kdyz chcu dns pro domaci sit rozbehat na 486 s 12MB ram, kam sem rad kdyz nacpu jadro, nejakej init, iptables,...Pak mi zalezi na kazdem kB a i na kazdem procentu vykonu (abych se vesel pod 50%, coz neni problem).

Jo, baterii by to setrilo az ve chvili, kdyz by clovek aktivne routoval pro velkou sit, ale to v pripade notebooku je nesmysl ;]

#dhcp_eth0="release nodns nontp nonis" # Only get an addres

options {
        pid-file "/var/run/named/named.pid";
        directory "/etc/bind";
};

search gavanet.czf
nameserver 127.0.0.1
nameserver 213.180.32.2
nameserver 213.180.33.225

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.