Настройка представлений (View) в BIND9

Настройка представлений в BIND9 может пригодиться в тех случаях, когда требуется гибко управлять разрешением имен для клиентов из разных подсетей. Это особенно актуально в конфигурациях Split DNS, а отсутствие подобного функционала в Windows ставит BIND9 в ещё более выгодное положение.

Начиная с Windows 2016 есть возможность управлять ответами сервера в зависимости от подсети клиента, скажете вы. Действительно, но в Windows этот функционал очень сырой и крайне неудобный в использовании.

Если вам интересно подробнее изучить задачи администрирования BIND9, рекомендую обратиться к соответствующему тегу на моем блоге.

Содержание

1 Настройка представлений в BIND9

Настройка представлений в BIND9

Помимо использования представлений BIND9 для реализации Split DNS, есть также некоторые другие случаи, когда этот функционал будет крайне полезным. Например в зависимости от расположения клиента – гостевая или корпоративная сеть – вы можете гибко управлять перенаправлениями запросов к разным серверам, не позволяя “чужим” устройствам ломиться к внутренним DNS.

Предварительная настройка

На данном этапе я предполагаю, что у вас уже есть настроенный и работающий сервер BIND9. Если вдруг нет, то предлагаю прочитать мою предыдущую статью – Сервер пересылки на BIND9. Именно на её основе я и буду настраивать представления.

Также помните, что одновременно использовать директивы zone и view на одном уровне нельзя, вы столкнетесь с подобными ошибками:

11-Jun-2019 14:36:37.296 config: error: /etc/bind/named.conf.default-zones:2: when using 'view' statements, all zones must be in views
11-Jun-2019 14:36:37.296 general: error: reloading configuration failed: failure

1 2	11-Jun-2019 14:36:37.296 config: error: /etc/bind/named.conf.default-zones:2: when using 'view' statements, all zones must be in views 11-Jun-2019 14:36:37.296 general: error: reloading configuration failed: failure

Если вы твердо решили иметь дела с представлениями, то директива zone должна появляться только внутри view. Собственно именно поэтому нужно исключить из named.conf вложенный конфиг, который мы добавляли в предыдущей статье. Полная строчка выглядит так:

include "/etc/bind/named.conf.default-zones";

1	include "/etc/bind/named.conf.default-zones";

Закомментируйте её и можно приступать к настройке представлений.

Базовая конфигурация

В базовом виде нам достаточно настроить списки доступа и отдельное представление (или несколько) с нужными записями. Списки доступа (acl) можно вполне взять в готовом виде из предыдущей статьи. Речь идет о файле /etc/bind/named.conf.acl и его содержимом:

acl acllist_dmz {
        172.16.0.0/12;
};
acl acllist_local {
        192.168.0.0/16;
};

acl acllist_dmz {

172.16.0.0/12;

};

acl acllist_local {

192.168.0.0/16;

};

Не забывайте, что этот файл должен быть подключен в основной конфиг /etc/bind/named.conf с помощью строчки:

include "/etc/bind/named.conf.acl";

1	include "/etc/bind/named.conf.acl";

Итак, для настройки представлений мы открываем новый файл:

nano /etc/bind/named.conf.local

1	nano /etc/bind/named.conf.local

Он будет содержать список представлений (для начала только два). Вставляем в него содержимое:

view "local" {
        match-clients {
                acllist_local;
        };

        zone "bissquit.com" {
                type master;
                allow-transfer { "none"; };
                file "/etc/bind/view/local/bissquit.com";
        };
};

view "dmz" {
        match-clients {
                acllist_dmz;
        };

        zone "bissquit.com" {
                type master;
                allow-transfer { "none"; };
                file "/etc/bind/view/dmz/bissquit.com";
        };
};

view "local" {

match-clients {

acllist_local;

};

zone "bissquit.com" {

type master;

allow-transfer { "none"; };

file "/etc/bind/view/local/bissquit.com";

};

view "dmz" {

match-clients {

acllist_dmz;

};

zone "bissquit.com" {

type master;

allow-transfer { "none"; };

file "/etc/bind/view/dmz/bissquit.com";

};

Примечание: это базовый вид представлений. На самом деле объект View включает достаточно много разных опций ¹, которые, тем не менее, по умолчанию уже имеют подходящее для нас значение. За исключением, правда, опции allow-transfer (и может чего ещё…), которая по умолчанию разрешает передачу зоны любому другому хосту.

Сохраняем файл и закрываем. Далее создадим один родительский каталог и ещё по одному каталогу для каждого представления. Это поможет упорядочить конфигурацию:

mkdir /etc/bind/view /etc/bind/view/dmz /etc/bind/view/local

1	mkdir /etc/bind/view /etc/bind/view/dmz /etc/bind/view/local

Ну а теперь создаем файлы зон ² (сначала для представления local). Откроем для редактирования:

nano /etc/bind/view/local/bissquit.com

1	nano /etc/bind/view/local/bissquit.com

Вставляем содержимое:

$TTL    86400
$ORIGIN bissquit.com.
@       1D      IN      SOA     ns1.bissquit.com.       hostmaster.bissquit.com. (
                                2019060801 ; serial
                                3H ; refresh
                                15 ; retry
                                1w ; expire
                                3h ; nxdomain ttl
                                )
@       IN      NS      ns1.bissquit.com.
@       IN      MX      10      mx1.bissquit.com.
@       IN      MX      10      mx2.bissquit.com.
@       IN      A       192.168.0.15


ns1     IN      A       192.168.0.14
blog    IN      A       192.168.0.15

www.blog        IN      CNAME   blog.bissquit.com.

mx1.bissquit.com.     IN      A       192.168.0.11
mx2     IN      A       192.168.0.12

$TTL 86400

$ORIGIN bissquit.com.

@ 1D IN SOA ns1.bissquit.com. hostmaster.bissquit.com. (

2019060801 ; serial

3H ; refresh

15 ; retry

1w ; expire

3h ; nxdomain ttl

)

@ IN NS ns1.bissquit.com.

@ IN MX 10 mx1.bissquit.com.

@ IN MX 10 mx2.bissquit.com.

@ IN A 192.168.0.15

ns1 IN A 192.168.0.14

blog IN A 192.168.0.15

www.blog IN CNAME blog.bissquit.com.

mx1.bissquit.com. IN A 192.168.0.11

mx2 IN A 192.168.0.12

Примечание: обратите внимание, что записи внутри зоны могут быть определены по-разному – они могут быть полностью или не полностью квалифицированными. Если запись в конце имеет точку ³, то она называется полностью квалифицированной. В противном случае запись не полностью квалифицирована и в конце к ней будет добавлено значение, которое определено в переменной $ORIGIN ⁴, либо имя файла зоны (такое поведение может быть нежелательным, именно поэтому важно явно устанавливать значение $ORIGIN). Кстати, смысл “собачки” – @ – внутри файла зоны у определенных записей ни что иное, как ссылка на значение переменной $ORIGIN. Вот так-то.

Теперь открываем для редактирования файл представления dmz:

nano /etc/bind/view/dmz/bissquit.com

1	nano /etc/bind/view/dmz/bissquit.com

Вот его содержимое:

$TTL    86400
$ORIGIN bissquit.com.
@       1D      IN      SOA     ns1.bissquit.com.       hostmaster.bissquit.com. (
                                2019060801 ; serial
                                3H ; refresh
                                15 ; retry
                                1w ; expire
                                3h ; nxdomain ttl
                                )
@       IN      NS      ns1.bissquit.com.
@       IN      MX      10      mx1.bissquit.com.
@       IN      MX      10      mx2.bissquit.com.
@       IN      A       172.16.0.168


ns1     IN      A       172.16.0.14
blog    IN      A       172.16.0.168

www.blog        IN      CNAME   blog.bissquit.com.

mx1     IN      A       172.16.0.11
mx2     IN      A       172.16.0.12

$TTL 86400

$ORIGIN bissquit.com.

@ 1D IN SOA ns1.bissquit.com. hostmaster.bissquit.com. (

2019060801 ; serial

3H ; refresh

15 ; retry

1w ; expire

3h ; nxdomain ttl

)

@ IN NS ns1.bissquit.com.

@ IN MX 10 mx1.bissquit.com.

@ IN MX 10 mx2.bissquit.com.

@ IN A 172.16.0.168

ns1 IN A 172.16.0.14

blog IN A 172.16.0.168

www.blog IN CNAME blog.bissquit.com.

mx1 IN A 172.16.0.11

mx2 IN A 172.16.0.12

Примечание: некоторые вопросы могут вызвать размышления над оптимальным значением поля serial внутри записи SOA. Одним из возможных подходов является установка даты с добавлением индекса (на случай, если внутри дня зону придется менять несколько раз) в формате YYYYMMDDxx ⁵. Индексом xx может также служить отметка времени или что-то другое. Тем не менее в нашем случае это все не имеет большого значения – зону мы никому не передаем.

Подключаем дополнительный конфиг named.conf.local в основной – /etc/bind/named.conf:

echo 'include "/etc/bind/named.conf.local";' >> /etc/bind/named.conf

1	echo 'include "/etc/bind/named.conf.local";' >> /etc/bind/named.conf

Подгружаем новую конфигурацию:

rndc reload

1	rndc reload

Если вдруг имена разрешаются неправильно или не разрешаются вообще, то в логах можно посмотреть ошибки подгружения конфигов командой:

 >/var/log/named/default.log && rndc reload && grep -e 'error' /var/log/named/default.log

1	>/var/log/named/default.log && rndc reload && grep -e 'error' /var/log/named/default.log

Например можете увидеть что-то подобное:

09-Jun-2019 19:05:47.282 general: error: dns_master_load: /etc/bind/view/view.dmz:16: www.blog.bissquit.com: CNAME and other data
09-Jun-2019 19:05:47.282 general: error: zone bissquit.com/IN/dmz: loading from master file /etc/bind/view/view.dmz failed: CNAME and other data
09-Jun-2019 19:05:47.282 general: error: zone bissquit.com/IN/dmz: not loaded due to errors.

09-Jun-2019 19:05:47.282 general: error: dns_master_load: /etc/bind/view/view.dmz:16: www.blog.bissquit.com: CNAME and other data

09-Jun-2019 19:05:47.282 general: error: zone bissquit.com/IN/dmz: loading from master file /etc/bind/view/view.dmz failed: CNAME and other data

09-Jun-2019 19:05:47.282 general: error: zone bissquit.com/IN/dmz: not loaded due to errors.

Если ошибок у вас нет, самое время проверить как все работает.

Проверка

Итак, с любого клиента в подсети dmz (у меня это 172.16.0.0/12, как и определено в файле named.conf.acl) выполним ряд запросов и убедимся, что сервер отдает именно то, что мы ожидаем:

# dig +short -t A @192.168.1.14 bissquit.com
172.16.0.168
# dig +short -t A @192.168.1.14 blog.bissquit.com
172.16.0.168
# dig +short -t MX @192.168.1.14 bissquit.com
10 mx2.bissquit.com.
10 mx1.bissquit.com.
# dig +short -t CNAME @192.168.1.14 www.blog.bissquit.com
blog.bissquit.com.

# dig +short -t A @192.168.1.14 bissquit.com

172.16.0.168

# dig +short -t A @192.168.1.14 blog.bissquit.com

172.16.0.168

# dig +short -t MX @192.168.1.14 bissquit.com

10 mx2.bissquit.com.

10 mx1.bissquit.com.

# dig +short -t CNAME @192.168.1.14 www.blog.bissquit.com

blog.bissquit.com.

Где 192.168.1.14 – напоминаю, адрес вашего бинда. Если у вас все ещё нет утилиты dig, поставим её командой:

apt-get update && apt-get install -y dnsutils

1	apt-get update && apt-get install -y dnsutils

Примечание: можно также воспользоваться всем знакомой кроссплатформенной утилитой nslookup. Либо используйте командлет Resolve-DnsName, если у вас только Windows-клиенты. Инструмент не так важен, ответы сервера во всех случаях должны совпадать.

Теперь смотрим что возвращается клиентам в подсети local:

# dig +short -t A @192.168.1.14 bissquit.com
192.168.0.15
# dig +short -t A @192.168.1.14 blog.bissquit.com
192.168.0.15
# dig +short -t MX @192.168.1.14 bissquit.com
10 mx2.bissquit.com.
10 mx1.bissquit.com.
# dig +short -t CNAME @192.168.1.14 www.blog.bissquit.com
blog.bissquit.com.

# dig +short -t A @192.168.1.14 bissquit.com

192.168.0.15

# dig +short -t A @192.168.1.14 blog.bissquit.com

192.168.0.15

# dig +short -t MX @192.168.1.14 bissquit.com

10 mx2.bissquit.com.

10 mx1.bissquit.com.

# dig +short -t CNAME @192.168.1.14 www.blog.bissquit.com

blog.bissquit.com.

Как видно, адреса отличаются, а значит все работает как мы и хотели.

Расширенная конфигурация

С базовой настройкой разобрались и теперь пришло время выяснить какой ещё функционал можно реализовать, используя представления в BIND9. Помните, что в каждое представление вы можете засунуть сколько угодно зон разных типов.

После любого изменения не забывайте подгружать конфигурацию с помощью rndc.

Зоны обратного просмотра

Например вот так может выглядеть файл named.conf.local с секцией обратной зоны внутри представления local (на местах многоточия часть конфигурации пропущена для наглядности):

view "local" {
...
        zone "0.168.192.in-addr.arpa" {
                type master;
                allow-transfer { "none"; };
                file "/etc/bind/view/local/0.168.192.IN-ADDR.ARPA";
        };
};
...

view "local" {

...

zone "0.168.192.in-addr.arpa" {

type master;

allow-transfer { "none"; };

file "/etc/bind/view/local/0.168.192.IN-ADDR.ARPA";

};

...

Сам файл 0.168.192.IN-ADDR.ARPA может иметь приблизительно такой вид ⁶, основываясь на данных зоны bissquit.com, которую настраивали в предыдущих главах:

$TTL    86400
$ORIGIN 0.168.192.IN-ADDR.ARPA.
@  1D  IN       SOA     ns1.bissquit.com.       hostmaster.bissquit.com. (
                                2019061101 ; serial
                                3H ; refresh
                                15 ; retry
                                1w ; expire
                                3h ; minimum
                                )
@       IN      NS      ns1.bissquit.com.
14      IN      PTR     ns1.bissquit.com.
168     IN      PTR     blog.bissquit.com.

$TTL 86400

$ORIGIN 0.168.192.IN-ADDR.ARPA.

@ 1D IN SOA ns1.bissquit.com. hostmaster.bissquit.com. (

2019061101 ; serial

3H ; refresh

15 ; retry

1w ; expire

3h ; minimum

)

@ IN NS ns1.bissquit.com.

14 IN PTR ns1.bissquit.com.

168 IN PTR blog.bissquit.com.

Проверь корректность разрешения записей можно командой:

dig -t ptr @192.168.1.14 168.0.168.192.in-addr.arpa.

1	dig -t ptr @192.168.1.14 168.0.168.192.in-addr.arpa.

Идем дальше.

Перенаправление запросов

Предположим, что все локальные зоны (*.local) в нашей воображаемой инфраструктуре хостит контроллер домена и запросы надо перенаправлять на него. Сделать это можно путем добавления дополнительной секции с типом зоны forward:

view "local" {
...
        zone "local" {
                type forward;
                forward only;
                forwarders 172.16.0.50 # DC address
        };
};
...

view "local" {

...

zone "local" {

type forward;

forward only;

forwarders 172.16.0.50 # DC address

};

...

Для наглядности также пропускаю описанные ранее участки конфигурации.

Стандартные зоны

Есть ряд зон, которые обязательно должны присутствовать в конфигурации сервера имен согласно RFC 1912 ⁷. Собственно эти зоны уже по умолчанию поставляются в BIND9. В основную конфигурацию они подключались файлом named.conf.default-zones, который мы закомментировали в самом начале статьи. Теперь пришло время вернуть дефолтные файлы зон обратно.

Примечание: включать файлы зон нужно отдельно в каждое представление. Это является хорошей практикой. То есть не рекомендуется один и тот же файл зоны подгружать одновременно в разных представлениях. Тем не менее сейчас я это правило нарушу, ведь все равно эти зоны менять не планируется.

Файлы уже лежат в каталоге /etc/bind. Просто добавим в представления следующие куски конфигурации:

view "local" {
...
        zone "localhost" {
                type master;
                file "/etc/bind/db.local";
        };

        zone "127.in-addr.arpa" {
                type master;
                file "/etc/bind/db.127";
        };

        zone "0.in-addr.arpa" {
                type master;
                file "/etc/bind/db.0";
        };

        zone "255.in-addr.arpa" {
                type master;
                file "/etc/bind/db.255";
        };
};
...

view "local" {

...

zone "localhost" {

type master;

file "/etc/bind/db.local";

};

zone "127.in-addr.arpa" {

type master;

file "/etc/bind/db.127";

};

zone "0.in-addr.arpa" {

type master;

file "/etc/bind/db.0";

};

zone "255.in-addr.arpa" {

type master;

file "/etc/bind/db.255";

};

...

Готово.

Корневые подсказки

Осталось добавить в наши представления файл зоны со стандартным набором корневых серверов, который также поставляется по умолчанию:

view "local" {
...
        zone "." {
                type hint;
                file "/etc/bind/db.root";
        };
};
...

view "local" {

...

zone "." {

type hint;

file "/etc/bind/db.root";

};

...

Итого представление local внутри файл конфигурации named.conf.local примет следующий вид:

view "local" {
        match-clients {
                acllist_local;
        };

        zone "bissquit.com" {
                type master;
                allow-transfer { "none"; };
                file "/etc/bind/view/local/bissquit.com";
        };

        zone "0.168.192.in-addr.arpa" {
                type master;
                allow-transfer { "none"; };
                file "/etc/bind/view/local/0.168.192.IN-ADDR.ARPA";
        };

        zone "local" {
                type forward;
                forward only;
                forwarders 172.16.0.50 # DC address
        };

        zone "localhost" {
                type master;
                file "/etc/bind/db.local";
        };

        zone "127.in-addr.arpa" {
                type master;
                file "/etc/bind/db.127";
        };

        zone "0.in-addr.arpa" {
                type master;
                file "/etc/bind/db.0";
        };

        zone "255.in-addr.arpa" {
                type master;
                file "/etc/bind/db.255";
        };

        zone "." {
                type hint;
                file "/etc/bind/db.root";
        };
};
...

view "local" {

match-clients {

acllist_local;

};

zone "bissquit.com" {

type master;

allow-transfer { "none"; };

file "/etc/bind/view/local/bissquit.com";

};

zone "0.168.192.in-addr.arpa" {

type master;

allow-transfer { "none"; };

file "/etc/bind/view/local/0.168.192.IN-ADDR.ARPA";

};

zone "local" {

type forward;

forward only;

forwarders 172.16.0.50 # DC address

};

zone "localhost" {

type master;

file "/etc/bind/db.local";

};

zone "127.in-addr.arpa" {

type master;

file "/etc/bind/db.127";

};

zone "0.in-addr.arpa" {

type master;

file "/etc/bind/db.0";

};

zone "255.in-addr.arpa" {

type master;

file "/etc/bind/db.255";

};

zone "." {

type hint;

file "/etc/bind/db.root";

};

...

На его основе вы можете создать представления любой сложности и столько, сколько вам нужно.

Notes:

Настройка представлений в BIND9

Предварительная настройка

Базовая конфигурация

Проверка

Расширенная конфигурация

Зоны обратного просмотра

Перенаправление запросов

Стандартные зоны

Корневые подсказки

Похожие статьи: