BIND 9: опыт настройки и эксплуатации DNS-сервера

20.04.2020&nbsp windows | для начинающих | интернет

Изменение DNS сервера в Windows

Если вам требуется изменить DNS-сервер в Windows 10, 8.1 или Windows 7 используйте следующие шаги, которые подойдут для всех указанных версий ОС:

  1. Нажмите клавиши Win+R на клавиатуре, введите в окно «Выполнить» и нажмите Enter.
  2. В открывшемся окне нажмите правой кнопкой мыши по подключению, используемое для доступа в Интернет и выберите пункт «Свойства» в контекстном меню.
  3. В списке компонентов подключения выберите «IP версии 4» или «TCP/IPv4» и нажмите кнопку «Свойства».
  4. Установите отметку «Использовать следующие адреса DNS-серверов» и укажите нужные адреса.
  5. Примените настройки кнопкой Ок.
  6. При необходимости (обычно таковая отсутствует) измените аналогичным образом DNS для IP версии 6.

После изменения параметров DNS не обязательно, но желательно сбросить кэш DNS.

На этом процесс будет завершен, а при открытии сайтов в Интернете у вас будет использоваться заданный вами адрес DNS-сервера.

Планирование установки Active Directory в разных подсетях

Итак, у нас имеется две подсети 10.1.3.0/24 и 10.1.4.0/24, в каждой из которых некоторое количество компьютеров и сетевых шар. Нужно объединить все это в один домен. Сети соединены между собой vpn тоннелем, компьютеры пингуют друг друга в обе стороны, проблем с сетевым доступом нет.

Для нормальной работы службы Active Directory установим в каждой подсети по контроллеру домена и настроим репликацию между ними. Использовать будем Windows Server 2012R2. Последовательность действий следующая:

  • Устанавливаем контроллер домена в одной подсети, поднимаем на нем новый домен в новом лесу
  • Устанавливаем контроллер домена во второй подсети и добавляем его в домен
  • Настраиваем между доменами репликацию

Первый контроллер домена будет называться xs-winsrv с адресом 10.1.3.4, второй — xm-winsrv 10.1.4.6. Домен, который мы будем создавать будет называться

Настраиваем DNS в Linux

Практически все дистрибутивы Linux функционируют по похожему принципу. Отличаются лишь некоторые консольные команды и оформление графической оболочки. В качестве примера мы рассмотрим Ubuntu, а вы, отталкиваясь от особенностей своей сборки, тоже сможете без проблем выполнить поставленную задачу. Если трудности возникнут на уровне использования определенных команд или при поиске пунктов меню графической среды, воспользуйтесь официальной документацией дистрибутива, чтобы узнать, какая альтернативная команда или опция отвечает за осуществление нужного действия.

Способ 1: Меню графической оболочки

Этот способ в первую очередь нацелен на начинающих пользователей, поскольку чаще всего в Linux их пугает необходимость выполнять каждое действие, вводя команды в консоль. Уже давно практически во всех окружениях присутствуют соответствующие пункты, позволяющие реализовывать различные конфигурации без единого обращения к «Терминалу». К DNS это тоже относится. Давайте посмотрим, как производится данное редактирование в стандартной графической оболочке Ubuntu.

Настраиваем DNS в Linux

Как видите, этот метод максимально прост и позволяет обойтись без редактирования конфигурационных файлов через консоль. Однако некоторые пользователи не имеют возможности задействовать графический интерфейс или же настройка постоянно сбивается. В таком случае придется обращаться к «Терминалу», чему и будет посвящен наш следующий метод.

Настраиваем DNS в Linux
Настраиваем DNS в Linux
Настраиваем DNS в Linux
Настраиваем DNS в Linux

Способ 2: Редактирование конфигурационных файлов

Настраиваем DNS в Linux
Настраиваем DNS в Linux
Настраиваем DNS в Linux
Настраиваем DNS в Linux

Использование «Терминала» для редактирования конфигурационных файлов при изменении системных параметров — самый эффективный способ, поскольку все действия здесь будут осуществляться от имени суперпользователя, а также не сбросятся при первом же перезапуске системы. Для конфигурации DNS используйте следующую инструкцию.

Настраиваем DNS в Linux
Настраиваем DNS в Linux
Настраиваем DNS в Linux
Настраиваем DNS в Linux
  1. Запустите консоль так, как это было показано ранее, или используйте любой удобный способ, например, созданный значок на панели «Избранное».
  2. Для начала просмотрите список существующих сетевых интерфейсов, чтобы проверить файл для конфигурации. Введите ls /sys/class/net/ и нажмите на Enter.
  3. Проверьте, присутствует ли здесь ваше название интерфейса. По умолчанию оно выглядит так: enp0s3. В случае отсутствия подобной строки придется добавить ее самостоятельно, чему и будут посвящены следующие шаги. Пропустите их, если имя присутствует.
  4. Далее дело будет касаться взаимодействия с конфигурационными текстовыми файлами. Для этого вы можете использовать любой редактор, установленный по умолчанию, например, vi. Однако начинающим юзерам не всегда удобно управлять подобным софтом. В таких ситуациях мы советуем установить более подходящее решение. Пропишите sudo apt install nano и нажмите на Enter.
  5. Подтвердите свои намерения добавить софт, а после успешной инсталляции переходите к работе с файлами. Введите команду sudo nano /etc/network/interfaces и затем подтвердите ее.
  6. Вставьте строки auto enp0s3 и iface enp0s3 inet dhcp, чтобы задать конфигурацию интерфейса.
  7. Используйте комбинацию Ctrl + O для сохранения настроек. В будущем запомните, что знак ^ обозначает Ctrl, то есть, например, выход из редактора осуществляется через Ctrl + X.
  8. При сохранении не изменяйте имя файла для записи, а просто нажимайте на Enter.
  9. Следом в этом же файле введите dns-nameserver 8.8.8.8 для установки DNS от Google, и уже после этого можете закрыть данный объект.
  10. Далее понадобится настроить другой элемент, перейдите к нему через sudo nano /etc/dhcp/
  11. При запросе пароля суперпользователя введите его. Учтите, что символы при таком методе набора не отображаются в целях безопасности.
  12. Опуститесь в самый низ по содержимому и вставьте строку supersede domain-name-servers 8.8.8.8. Затем сохраните изменения и закройте файл.
  13. Осталось отредактировать последние параметры в sudo nano /etc/resolvconf/
  14. Вставьте строку nameserver 8.8.8.8, определяющую DNS. Перед выходом не забудьте применить изменения в этом же файле.
  15. Все изменения DNS вступят в силу сразу же после перезагрузки сети. Осуществляется это командой sudo systemctl restart networking.
  16. Появившаяся пустая строка для ввода означает, что перезапуск прошел успешно.
Настраиваем DNS в Linux
Настраиваем DNS в Linux
Настраиваем DNS в Linux

Mikrotik. Настройка DNS сервера

Когда подключение к провайдеру происходит при помощи технологии Dynamic IP или PPPoE, то ИП-адрес DNS назначается автоматически, если установлена “галочка” в соответствующем клиенте:

Mikrotik. Настройка DNS сервера

Автоматическое получение настроек DNS по DHCP-клиенту.Автоматическое получение настроек DNS по PPPoE-клиенту.

Mikrotik. Настройка DNS сервера

Рассмотрим ситуацию, когда ДНС задается вручную (подключение к провайдеру осуществляется статическим способом или значение Use Peer DNS неактивно). Выполним настройку DNS сервера для Mikrotik с помощью графической утилиты Winbox. Для этого перейдем:

  • IP => DNS.
Mikrotik. Настройка DNS сервера
  • Настроим адреса вышестоящих DNS-серверов, к которым мы будем отправлять запросы. Это могут быть значения, полученные от провайдера или публичных DNS серверов;
  • Разрешим примем удаленных запросов.
Читайте также:  Индекс производительности Windows 10 — как оценить

А также можем задать настройки для кэша:

Mikrotik. Настройка DNS сервера
  • Cache Size – определяет размер кэша ДНС. Указывается в килобайтах;
  • Cache Max TTL — Максимальное время хранения записей для кэша. При этом учитываются меньшие значение TTL полученные от вышестоящих ДНС-серверов;

Чтобы посмотреть содержимое кэша на устройстве Mikrotik:

Mikrotik. Настройка DNS сервера
  • нажмем кнопку Cache:

Если нужно удалить кэшированные страницы, то:

Mikrotik. Настройка DNS сервера
  • нажимаем Flush Cache:

Важно! Параметр Allow Remote Requests разрешает роутеру Mikrotik работать DNS-сервером для сторонних клиентов (будь то локальные или из интернета).

Mikrotik. Настройка DNS сервера

Поэтому необходимо создать правило в firewall:

  • IP => Firewall => «+»:
Mikrotik. Настройка DNS сервера

Разрешим принимать ДНС запросы от всех, кроме WAN интерфейса:

  • Chain: input;
Mikrotik. Настройка DNS сервера
  • Protocol: 17 (udp);
  • Dst. Port: 53;
  • In. interface: ! ether1 – Выбрать интерфейс с настроенным интернетом от провайдера. Обратите внимание на восклицательный знак перед интерфейсом (“!”), он означает выражение “НЕ”.
  • Откроем вкладку Action:
Mikrotik. Настройка DNS сервера

Для примера приведу рабочую конфигурацию firewall, где выполнена данная настройка:

Для более глубокого понимания работы брандмаура советуем изучить статью MikroTik настройка firewall.

Mikrotik. Настройка DNS сервера

Mikrotik DNS. Статические записи

Если мы сами служим DNS-сервером, то можем создавать статические записи. До версии RouterOS, служба доменных имен в Mikrotik могла создавать записи только типа A (соответствие между именем узла и ИП-адресом). Но начиная с версии появилась возможность создавать и другие типы основных ресурсных записей:

Mikrotik. Настройка DNS сервера

DNS static. Настройка

Используя статические записи, можно блокировать сайты. Рассмотрим это на примере Запретим пользователям доступ к этому ресурсу, перенаправив ДНС-запросы на localhost.

Mikrotik. Настройка DNS сервера

Создадим статическую запись для сайта :

  • IP => DNS => Static;
Mikrotik. Настройка DNS сервера

Нажимаем «+». В открывшимся окне:

  • Name – указываем имя хоста;
  • Type – A;
  • Address – указываем IP-адрес;
  • OK.
Mikrotik. Настройка DNS сервера

Однако, при этом поддомены сайта будут доступны. Чтобы запретить сайт со всеми поддоменами, создадим статическую запись для доменного имени:

  • Regexp: .*\.mail\.ru
  • Type: A
  • Address: 127.0.0.1
Mikrotik. Настройка DNS сервера

Чтобы заблокировать все сайты, в строке которых содержится слово «mail», создадим запись:

  • Regexp: .*mail.*
  • Type: A
  • Address: 127.0.0.1
  • OK.
Mikrotik. Настройка DNS сервера

DNS Static. Настройка из консоли

Настройки, описанные выше, только из командной строки:

Mikrotik. Настройка DNS сервера

Настройка DNS Forward

Также возможно пересылать определенные запросы DNS на другой сервер. Предположим, что у нас есть небольшой филиал и нам нужно настроить forward запросов для имени внутреннего домена на ДНС сервера Active Directory. Для этого Mikrotik использует тип записи FWD. Данная функция появилась, начиная с RouterOS

  • Откроем:
Читайте также:  Как заблокировать IP или сайт с помощью PowerShell в Windows 10

Все запросы, которые пришли на «» Mikrotik разрешит через

Из консоли:

> ip dns static add regexp= «.*\\.ad\\.local» forward-to=

А также рекомендуем изучить статьи:

  • MikroTik backup;
  • MikroTik сброс на заводские настройки;
  • Настройка DHCP MikroTik;
  • L2TP настройка MikroTik.

Немного теории

Основная цель DNS — это отображение доменных имен в IP-адреса и наоборот — IP в DNS. Решено было рассмотреть BIND (Berkeley Internet Name Domain, ранее Berkeley Internet Name Daemon), как самый распространенный софт для решения задачи DNS. BIND входит в состав любого дистрибутива UNIX. Основу BIND составляет демон named, который для своей работы использует порт UDP/53 и для части запросов TCP/53. Очень подробно о нем рассказано в статье на Хабре.

Если хочешь познакомиться с «новым» BIND, то рекомендую к чтению вот эту статью. В двух словах: версия 9 была последней, с 10-й версии права передают сообществу, и это ПО ныне известно как Bundy.

DNS под атакой

Наверняка вы слышали про фишинг. Нечистые на руку веб-мастера создают фальшивые сайты, которые выглядят как обычные вроде сайтов знакомств, платёжных систем и т.д. Они распространяют ссылки на этот фальшивый сайт при помощи спама, вредоносной рекламы и прочих методов. Если ничего не подозревающий пользователь зайдёт на такой сайт, он может оставить там свой логин и пароль от реального сайта. Мошенники обычно используют эти данные для извлечения прибыли.

Поддельные сайты может выдать адресная строка. Если глядеть туда внимательно, можно избежать фишинга. Бывают совсем невероятные адреса, когда вы хотели зайти на LinkedIn, а в адресной строке вместо этого отображается Другие стараются обмануть вас более изощрённо, адресами вроде , а также очень длинными адресами, которые скрывают в себе реальный домен. Если приглядываться, то вы должны отличить подделку.

DNS под атакой

Именно здесь в дело вступает отравление кеша DNS. Это такой вид атаки, когда в DNS внедряется неправильная информация. Обычно это означает манипуляции с кешем. Пользователь набирает правильный адрес домена, отравленная система DNS возвращает IP-адрес ложного сайта, адресная строка браузера показывает адрес правильного сайта. Если только злоумышленники не ошиблись, никаких визуальных подсказок о мошенничестве не видно.

Читайте также:  Индекс производительности Windows 10 — как оценить

Похожая атака называется перехват DNS и происходит на вашем компьютере. Вредоносное приложение в системе получает доступ к настройкам TCP/IP и переключает на управляемый хакерами сервер DNS. Это работает только в том случае, если вредоносная программа смогла обойти ваш антивирус, но бывает и такое.

Контентная фильтрация. Настройка:

Для того, чтобы настроить работу контентной фильтрации через — необходимо в качестве DNS-серверов пописать в сетевых настройках сервера контентной фильтрации IP-адреса В нашем случае это  и 

1. Заходим на наш сервер по SSH и редактируем файл /etc/network/interfaces и «прописываем» DNS-адреса:

2.  Сохраняем изменения и перезапускаем сервис сети (либо просто перезагрузите сервер).

Контентная фильтрация. Настройка:

3. Переходим к рабочему месту сотрудника и проверяем работу фильтра:

Заказать установку сервера контентной фильтрации

Источники:

Интересная статья? Поделитесь ей с друзьями!

Контентная фильтрация. Настройка:

Похожие записи:Контентная фильтрация в школе (Часть 4)VirtualBox — пробрасываем портыПодключение сканера Epson Perfection V37/ 370 в Debian 9Установка Google Chrome в Debian Jessie из репозитория

Как найти самый быстрый DNS-сервер для себя?

Сегодня есть специальный инструмент, который называется (подходит для компьютера). Основная суть данного средства заключается в том, что он анализирует множество DNS-сервером и сравнивает результаты их производительности. Естественно, можно сравнивать не только предустановленные варианты, но и добавлять собственные. После завершения теста, утилита показывает лучший DNS-сервер по скорости в конкретной программной среде.

В данном случае самым быстрым DNS-сервером оказался второстепенный IP-адрес CloudFlare 1.0.0.1. На втором месте основной IP от Google DNS. По результатам программы можно определить, что в данном случае самым лучшим DNS является:

  • Основной: 1.0.0.1;
  • Второстепенный: 8.8.8.8

Никто не запрещает совмещать несколько DNS-серверов от разных производителей. Поле деятельности для экспериментов здесь действительно широкое.