Настройка dns сервера за nat
Прошли времена, когда в нашем офисе было 2 компьютера, и DSL модем на 4 порта с интернетом в 2 мегабита
спасал ситуацию. Сейчас в офисе 5 рабочих машин и 1 сервер для задач разработчиков.
При соединении всех в свич со стандартным Tp Link шлюзом, если кто начинал качать, интернет зависал у всех. Было принято решение создать свой шлюз интернета, с шейпером трафика, DNS, DHCP и статистикой ( squid + sarg) и прокси.
В качестве сервера был выбран DualCore pentium, 4 GB RAM с установленной на борту CentOS 6.4 minimal.
Итак, приступим к конфигурации нашего будущего интернет шлюза.
Первый шаг, установка необходимого базового софта
Добавим необходимые репозитории
Очистим кеш YUM
Установим софт для сборки
Установим другие необходимые утилиты
Второй шаг, установка nginx
Создадим файл nginx.conf:
Файл для запуска:
Для Апача поставим APR, APR-UTIL, PCRE
Установка APR
Создадим файл для запуска:
Четвертый шаг, настройка раздачи интернета
На сервере установлено два сетевых интерфейса:
eth0 — Интернет от провайдера
eth1 — Наша локальная сеть
Создаем файл /iptables с содержимым:
Даем права на запуск файла:
Редактируем сетевой интерфейс:
GATEWAY — айпи eth0 интерфейса
Пятый шаг, настройка dhcpd
Устанавливаем его через yum
Здесь мы указали dns сервер, айпи нашего шлюза. В качестве DNS логично использовать что то простое, я выбрал dnsmasq
Шаг шестой, настройка dns сервера
DHCP у нас уже установлен, остальной функционал нам не нужен, конфиг файл довольно простой по принципу включать только то, что нужно
В /etc/hosts для нашей локальной сети необходимы были некоторые хосты:
SARG — генератор логов для SQUID
Шаг седьмой, установка squid
Конфигурационный файл правим до такого состояния:
Шаг восьмой, установка sarg
Т.к в нашей локальной сети не важны настройки, стандартные вполне подходят, единственное нужно было указать папку, куда сохранять логи, правим конфигурационный файл до такого состояния:
SARG желательно добавить в крон, что бы он каждый день сохранял статистику. Генерация логов производится запуском команды:
Шаг девятый, настройка HTB
Настройки шейпера зависят от ваших нужд. В нашем случае исходные данные были:
Ширина канала: 6Mbit/sec
Пользователей: 5
Примечание: Пользователи редко скачивают, часто «серфят» в интернете.
eth1-2.root — Задаем правила для всей цепочки
eth1-2:06.astraPC1 — Файл для машины, для удобства расширение файла — хост компьютера, а префикс — последний октет айпи
Данная статья будет полезна как новичкам в IT сфере, так и неопытным системным администраторам/ сетевым инженерам. Здесь затрагиваются понятия и принцип работы технологии NAT, ее значение в наше время, виды и создание с конфигурированием в программе-симуляторе Cisco Packet Tracer.
Настройка конфигурационных файлов Bind9
Для начала отредактируем файл named.conf.options
Добавим в него следующий код:
Теперь открываем файл конфигурации зон и вносим информацию о наших зонах.
Сохраняем, закрываем. Теперь проверим правильность синтаксиса конфигурационных файлов BIND.
Если конфигурационные файлы не содержат ошибок, вывод этой программы будет пуст.
Проверяем работу DNS сервера
в ответ вы должны увидеть:
Как видите зона прямого просмотра работает, нам показался ip адрес проверяемого имени. Теперь проверим работу зоны обратного просмотра
В ответ должны получить:
Как видим в ответе мы получили имя сервера по его адресу. Если у вас в ответ на nslookup так же все корректно отображается, значит вы все сделали правильно! Если нет, то проверяйте что сделали не так.
P.S. Также добавьте в файле resolv.conf свой nameserver
Нехватка IP адресов. Технология NAT
В 80х годах ХХ века заложили основу IPv4, позволяющую создавать ~4.3 млрд. адресов, но никто не предполагал, что этот запас так быстро иссякнет. С каждым годом появлялось все больше и больше пользователей и с 25 ноября 2019г. в России и в Европе официально закончились IP адреса. Лимит исчерпан.
Для решения этой проблемы было придумано несколько способов:
Первый способ заключается в усилении контроля за IP адресами.
Пусть существует некоторый сайт N с IPv4 xxx.xxx.xxx.xxx, и его хост решил прекратить его поддержание данного сайта. Сайт заброшен, а IP продолжает числиться как занятый и таких случаев может быть очень много. То бишь необходимо провести "инвентаризацию" IP адресов и изъять неиспользуемые/заброшенные.
Второй способ - в массовом использовании системы IPv6.
Протокол IPv6 разработан как преемник протокола IPv4. Основные преимущества IPv6 над IPv4 заключаются в увеличенном адресном пространстве (IPv4 имел 32 бита, что равнялось 2 32 адресам, а IPv6 имел 128 бит, что равнялось 2 128 адресам), 6 версия протокола стала безопаснее (т.к. в v4 не предусматривались многие аспекты безопасности, ибо расчет был на сторонние ПО, а в v6 появились контрольные суммы и шифрование пакетов), однако это далеко не все преимущества IPv6 над IPv4.
Проблема, казалось бы, решена, однако перейти с протокола IPv4 на IPv6 вызывает трудности, потому что эти протоколы несовместимы. И изюминкой причины тяжелого перехода на 6 версию протокола является денежная стоимость. Многие кампании не готовы вложить достаточное кол-во средств для перехода, хоть и стоит отметить, что процесс перехода с 4 на 6 версию постепенно идет.
И третий способ - использование технологии трансляции сетевых адресов - NAT.
Cогласно документу RFC 1918, IANA зарезервировала 3 блока адресов для частных IP (серых) (рис 1), остальные же IP адреса носят название публичных адресов (белых).
рис.1
Network Address Translation - это механизм в сетях TCP/IP, позволяющий изменять IP адрес в заголовке пакета, проходящего через устройство маршрутизации трафика.
Принимая пакет от локального компьютера, маршрутизатор смотрит на IP-адрес назначения. Если это локальный адрес, то пакет пересылается другому локальному компьютеру. Если нет, то пакет надо переслать наружу в интернет.
Маршрутизатор подменяет обратный IP-адрес пакета на свой внешний (видимый из интернета) IP-адрес и меняет номер порта (чтобы различать ответные пакеты, адресованные разным локальным компьютерам). Комбинацию, нужную для обратной подстановки, маршрутизатор сохраняет у себя во временной таблице. Через некоторое время после того, как клиент и сервер закончат обмениваться пакетами, маршрутизатор сотрет у себя в таблице запись об n-ом порте за сроком давности.
Основная функция NAT - сохранение публичных адресов, однако дополнительной функцией является конфиденциальность сети, путем скрытия внутренних IPv4 адресов от внешней.
Существует множество типов технологии NAT, однако основными принято считать: Статический NAT (Static Network Address Translation), Динамический NAT (Dynamic Network Address Translation) и Перегруженный NAT (Network Address Translation Overload).
рис 2
Статический NAT используется чаще всего в корпоративных сетях, когда необходимо, чтобы какой-либо IP адрес всегда был доступен из глобальной сети. Зачастую статическим IP наделяют сервера и помещают их в DМZ (рис 2).
Подготовка компьютерной сети
Логическая схема топологии сети будет выглядеть как показано на изображении (рис 3)
рис 4
Отнесем PC - станции во VLAN 2, а сервер во VLAN 3. Для этого нужно настроить коммутатор S0 (рис 4). Для того, чтобы определить PC пользователей в отдельный VLAN, необходимо создать VLAN 2 и в 3 запихнуть сам сервер (удобства ради еще и обзовем VLAN'ы именами) (показано синим на рис 4), определить область портов коммутатора, которые будут входить во VLAN 2,3 и прописать соответствующие команды (показано красным на рис 4). Следующая задача – определить один порт типа trunk, для взаимодействия с маршрутизатором (показано зеленым рис 4). Таким образом, коммутатор выступает в роли "посредника" между оконечными устройствами и маршрутизатором.
рис 5
Теперь нужно настроить непосредственно маршрутизатор. Технология sub-interface позволяет объединять несколько виртуальных интерфейсов в один и подключить их к физическому интерфейсу (на маршрутизаторе выбран физический интерфейс fa0/0). Необходимо дать для каждого VLAN'а свой под-интерфейс (показано красным на рис 5) и выдать им IP адрес (показано зеленым на рис 5).
Таким образом, в будущем мы будем NAT'ить трафик.
Дальше я бы посоветовал бы настроить протокол динамической выдачи IP адреса - DHCP, ибо прописывать каждому PC свой адрес - то еще "удовольствие".
Дадим серверу статичный IP 192.168.3.2, а остальных оставим для динамического распределения адресов.
После настройки DHCP, нужно прописать на каждом саб-интерфейсе в R0 команду "ip helper-address 192.168.3.2", тем самым указывая, куда стоит обращаться для получения IP адреса.
После данной команды, устройства получат запрашиваемые IP адреса.
рис 6
Пингуем с рандомного ПК сам сервер (1 пинг) и шлюзы маршрутизатора (2- 3 пинг) (рис 6).
Дальше для удобства будем эмулировать подключение к провайдеру, путем создания в программе-симуляторе РС провайдера, сервера Serv2 с IP 213.234.60.2 (эмулирующий остальную сеть интернет) и роутера R3.
Настройка DHCP сервера
И так приступим к настройке dhcp на Ubuntu Server 16.04 | 17.04 | 18.04
для этого нам потребуется отредактировать два файла.
Откроем в редакторе файл isc-dhcp-server.
и добавим в поле INTERFACES="" интерфейс карты, которая смотрит в локальную сеть (в моем случае это br0 объединяющая два интерфейса wlp1s0 и enp0s8).
Как настроить сетевой мост в Ubuntu Server 18.04 смотрим в этой статье
Сохраняем(Ctrl+O) и закрываем (Ctrl+X).
Файл настройки dhcp
Далее открываем файл настройки dhcp сервера:
Также закомментируйте параметры
мы их укажем чуть ниже
Далее вносим параметры для нашей сети:
- subnet — Параметр отвечает за подсеть (в нашем случае 192.168.0.0 с маской 255.255.255.0)
- range — Диапазон выдаваемых адресов от 100 до 120
- routers — Шлюз по умолчанию 192.168.0.1 (можно указывать как IP адреса так и URL адреса)
- broadcast-address — Широковещательный адрес 192.168.0.255
- domain-name-servers — IP адрес DNS сервера 192.168.0.1 (в нашем случае указываем наш сервер — IP адрес сетевой карты enp0s8)
- domain-name — Доменное имя «lan»
- subnet-mask — Маска сети 255.255.255.0″
- lease-time — Срок аренды адреса 604800 в секундах
также в настройках можно указать за какой машиной зафиксировать определенный IP адрес, за это отвечает параметр host
- home-asus — имя машины в сети (можно написать все что угодно)
- hardware — MAC адрес сетевой карты за которым закрепляем IP адрес
- fixed-address — Здесь указываем какой IP адрес назначить данной машине
У нас IP адрес 192.168.0.50 будет зафиксирован за компьютером с именем home-asus ( у него MAC адрес сетевой карты AC:22:0B:4D:B2:1D)
Сохраняем (Ctrl+O) и закрываем (Ctrl+X), после этого перезапускаем службу DHCP
Проверка статуса службы
Важное: если вы используете постоянные статические ip адреса в настройке dhcp сервера, то помните, что данные адреса ни в коем случае не должны попадать в пул динамических адресов.
Вот в принципе и все, после перезапуска службы, компьютеры в сети смогут получать IP адреса из выше указанного диапазона.
Настройка DNS сервера bind9
Открываем файл конфигурации DNS сервера
Добавим в него следующий код:
- forwarders – вышестоящий dns сервер (у меня в примере это сервера google), используется если URL запроса не найден в нашей базе.
- listen-on – с каких сетей или IP адресов будут обслуживаться запросы нашим DNS сервером.
- version — параметр задает версию DNS сервера (меняем для безопасности)
На этом все наш DNS сервер должен принимать и обрабатывать запросы от других машин в сети.
Для настройки собственной зоны DNS смотрите эту статью.
Для проверки bind9, воспользуемся командой nslookup
В ответ должны получить
В выводе на наш запрос, ответ дал нам наш DNS сервер. Если вы видите вместо своего DNS другой, то смотрим что настроили не так.
Одной из причин может стать назначение не того ip адреса или отсутствие записи dns-nameservers вообще в файле /etc/network/interfaces
Введение
Интернет - всемирная система, состоящая из объединенных компьютерных сетей на базе протокола TCP/IP.
Сейчас интернет - это не просто сеть, а целая информационная вселенная, подчиняющаяся техническим, социальным и государственным законам в различных ее частях. В современном мире люди не обходятся без доступа во всемирную паутину. Интернет открывает множество возможностей получения информации из любой точки мира.
На данный момент в интернете больше всего распространены IP адреса версии - IPv4. Это позволяет создать 4.3 млрд. IP-адресов. Однако этого, казалось бы, большого количества критично не хватает. Чтобы решить эту проблему - был создан механизм преобразования сетевых адресов - NAT.
С задачей объединения устройств в единую сеть помогают различные компании, занимающиеся разработкой и внедрением сетевого оборудования.На сей момент на рынке сетевого оборудования доминируют компании Cisco Systems и Huawei. В данной статье будем вести работу с оборудованием Cisco.
Cisco Systems разработала собственную специальную межсетевую ОС для работы с оборудованием под названием IOS (Internet Operating System). IOS - многозадачная операционная система, выполняющая функции сетевой организации, маршрутизации, коммутации и передачи данных. ОС IOS представляет собой сложную операционную систему реального времени, состоящую из нескольких подсистем и имеющую множество возможных параметров конфигурирования.
В операционной системе IOS представлен специфичный интерфейс командой строки CLI (Command Line Interface). В этом интерфейсе возможно использовать некоторое количество команд. Количество зависит от выбранного режима и от уровня привилегий пользователя (пользовательский, привилегированный, глобальной конфигурации и специфической конфигурации).
Настройка зон для DNS
Проверяем версию DNS сервера
Примерный вывод команды:
Если есть вопросы, то пишем в комментариях.
Также можете вступить в Телеграм канал, ВК или подписаться на Twitter. Ссылки в шапки страницы.
Заранее всем спасибо.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Сегодня в статье разберём распространенную ошибку в Debian подобных системах (может и не только). Данную ошибку выдал терминал при попытке Читать
Уникальный идентификатор компьютера в сети, построенной на базе стека TCP/IP. Сетевые устройства взаимодействуют друг с другом, используя его. На данный момент применяется Читать
И так в этой статье мы с вами научимся настраивать связку из DNS + DHCP + NAT на Ubuntu Server, Читать
Сегодня разберем Как очистить кэш DNS Bind9. DNS - компьютерная распределённая система для получения информации о доменах.
Сетевая технология NAT активно применяется в корпоративных и гостевых сетях и предназначена для:
- экономии количества статических IP-адресов,
- обеспечения безопасности устройств внутри локальной сети,
- предотвращения обращений извне к внутренним хостам,
- позволяет скрыть внутреннюю структуру корпоративной сети от внешнего наблюдателя.
Функция NAT DNS служит для привязки разных профилей фильтрации сервиса SkyDNS к разным устройствам за NAT (роутерам, точкам доступа, интернет-шлюзам и т. д.).
Внимание! Для корректной работы функции ваш роутер или интернет-шлюз должен быть настроен согласно инструкциям, расположенным на нашем сайте.
Пример организации контент-фильтрации в корпоративной сети с использованием опции NAT DNS
Настройка NAT DNS:
1. Зайдите в личный кабинет SkyDNS и привяжите внешний IP для роутера или интернет-шлюза с NAT к любому из профилей фильтрации (для настройки функции NAT DNS вам необходимо иметь не менее 2 профилей).
2. На конечных устройствах (отдельные роутеры, интернет-шлюзы в сети за NAT) стандартными средствами (вручную, через DHCP и т. п.) установите соответствующие нужным профилям фильтрации целевые адреса DNS серверов.
Список целевых адресов DNS:
3. В личном кабинете SkyDNS перейдите в: Настройки -> NAT DNS, выберите профиль соответственно целевому IP адресу (один IP адрес - один профиль). После того, как необходимые профили фильтрации выбраны, сохраните настройки.
4. После сохранения настроек устройства будут фильтроваться согласно установленным правилам.
5. Статистика запросов и блокировок будет отображаться на соответствующих профилях.
Внимание! Опция предназначена только для настройки в сетях с NAT. При наличии прокси-сервера фильтрация по настройкам NAT DNS производиться не будет, так как в этом случае применяются только настройки, установленные для прокси-сервера.
Настройка зоны прямого просмотра DNS
Создадим файл в котором будет храниться данные о зоне прямого просмотра. Для этого сделаем копию образца файла прямого просмотра
И открываем его на редактирование
- Записи вида А — предназначена для ip адресов версии 4
- Запись вида АААА — предназначена для ip адресов версии 6
- Запись вида NS — для DNS серверов регистратора (обычно).
Введение
Интернет - всемирная система, состоящая из объединенных компьютерных сетей на базе протокола TCP/IP.
Сейчас интернет - это не просто сеть, а целая информационная вселенная, подчиняющаяся техническим, социальным и государственным законам в различных ее частях. В современном мире люди не обходятся без доступа во всемирную паутину. Интернет открывает множество возможностей получения информации из любой точки мира.
На данный момент в интернете больше всего распространены IP адреса версии - IPv4. Это позволяет создать 4.3 млрд. IP-адресов. Однако этого, казалось бы, большого количества критично не хватает. Чтобы решить эту проблему - был создан механизм преобразования сетевых адресов - NAT.
С задачей объединения устройств в единую сеть помогают различные компании, занимающиеся разработкой и внедрением сетевого оборудования.На сей момент на рынке сетевого оборудования доминируют компании Cisco Systems и Huawei. В данной статье будем вести работу с оборудованием Cisco.
Cisco Systems разработала собственную специальную межсетевую ОС для работы с оборудованием под названием IOS (Internet Operating System). IOS - многозадачная операционная система, выполняющая функции сетевой организации, маршрутизации, коммутации и передачи данных. ОС IOS представляет собой сложную операционную систему реального времени, состоящую из нескольких подсистем и имеющую множество возможных параметров конфигурирования.
В операционной системе IOS представлен специфичный интерфейс командой строки CLI (Command Line Interface). В этом интерфейсе возможно использовать некоторое количество команд. Количество зависит от выбранного режима и от уровня привилегий пользователя (пользовательский, привилегированный, глобальной конфигурации и специфической конфигурации).
Настройка зоны обратного просмотра DNS
Давайте сделаем копию файла прямого просмотра:
Открываем его на редактирование:
Настройка NAT
Ну и наконец-то мы дошли до самой настройки NAT.
Для внедрения NAT нужно определиться какие порты будут внешними(outside), а какие внутренними(inside).
рис 7
Статичный NAT сопоставляет внутренний и внешний адреса один к одному, поэтому настроим Serv2 таким образом, чтобы любой компьютер мог подключиться к серверу, а сервер к компьютеру - нет. Для этого необходимо прописать следующие команды (рис 7):
По итогу, любой компьютер, находящийся во 2 VLAN'е может пинговать сервер провайдера, а обратно - нет (рис 8). Аналогично проделываем для Serv1, находящимся во VLAN 3.
рис 8 рис 9
А теперь, на финал, внедрим NAT Overload на R0.
Для этого создадим ACL и пропишем там сети, которые должны "натиться" (показано синим на рис 9) и, показав что нужно "натить", активируем лист (показано красным на рис 9).
Таким образом, реализовав статическую и динамическую (типа PAT) настройку NAT, мы смогли защитить небольшую сеть от подключения извне.
И так в этой статье мы с вами научимся настраивать связку из DNS + DHCP + NAT на Ubuntu Server 16.04. Для чего это нам нужно? Да все очень просто. Наш сервер будет выступать шлюзом для всех остальных машин в нашей сети, т. е. он будет раздавать интернет, назначать IP адреса всем компьютерам в сети, а также отвечать на DNS запросы.
И так приступим к конфигурированию DNS + DHCP + NAT.
Настройка NAT
Для настройки NAT воспользуемся пакетом iptables. Создадим правило, а также включим перенаправление пакетов из одной сетевой карточки в другу.
Первое: смотрим какие у нас есть интерфейсы командой
У меня на Ubuntu Server 16.04 в локальную сеть смотрит интерфейс с названием br0 объединяющий в себе два интерфейса enp0s8 и wlp1s0 , а в интернет enp0s3 . Для изменения настроек сетевых интерфейсов откройте файл
Отредактируем его в соответствии с вашими настройками. У меня он выглядит так:
Второе: создадим правило iptables и включим перенаправление пакетов. Для этого в директории /etc создадим файл с именем nat
Откроем его для редактирования
добавим в него следующий листинг
Если вдруг этот вариант не заработал то воспользуйтесь вот таким:
После этого сохраняем файл.
Выставим права на запуск.
Запустим наш скрипт
Настройка связки DNS + DHCP + NAT на этом закончена. После наших манипуляций, сервер должен начать раздавать ip адреса всем участникам сети, отвечать на DNS запросы из локальной сети, а также раздавать интернет.
Если есть вопросы, то пишем в комментариях.
Также можете вступить в Телеграм канал, ВК или подписаться на Twitter. Ссылки в шапки страницы.
Заранее всем спасибо.
Сегодня настроим DNS сервер с FQDN-доменым именем и внешним статическим ip адресом. В качестве DNS сервера будет выступать bind9 и операционная система Ubuntu Server 16.04. Так же разберем настройку двух зон: зона прямого и зона обратного просмотра.
DNS – это система доменных имен для преобразования имени в ip адреса компьютера и наоборот. Зная имя компьютера, вам не нужно запоминать его ip адрес. Простыми словами набирая адрес интернет странички в Вашем браузере DNS сервер всемирной паутины преобразует его в ip-адрес хостинга на котором расположен данный домен.
И так у нас уже есть установленная ОС Ubuntu Server 16.04 LTS и настроенный DHCP сервер isc-dhcp-server. Что от нас требуется, так это установить и настроить DNS сервер bind9
DNS сервер
DNS – это система доменных имен для преобразования имени в ip адреса компьютера и наоборот. Зная имя компьютера, вам не нужно запоминать его ip адрес. Простыми словами набирая адрес интернет странички в Вашем браузере DNS сервер всемирной паутины преобразует его в ip-адрес хостинга на котором расположен данный домен.
Установка DHCP сервера
Для установке isc-dhcp-server набираем в терминале следующую команду:
После установки нашего DHCP сервера его необходимо настроить под наши нужды.
Сервер DHCP
Для того чтобы все клиенты нашей сети получали IP адреса из одной подсети при настройках по умолчанию (автоматически), нам необходимо настроить так называемый сервер DHCP. В Ubuntu для этой цели я использую пакет isc-dhcp-server
Установка DNS сервера
Самый известный dns сервер в Linux системах без лишней скромности считается пакет bind9.
Для установки пакета bind9 в Ubuntu Server набираем в терминале:
Установка DNS сервера bind9 на Ubuntu | Debian | Linux Mint
Для установки DNS сервера нам необходимо подключиться к серверу при помощи ssh.
Как настроить доступ по ssh описано тут.
После того как подключились в первую очередь необходимо обновить систему. Вводим следующие команды.
Далее устанавливаем сам DNS сервер
Читайте также: