Verder Terug Inhoud

5. Een voorbeeld van een echt domein

In dit hoofdstuk laten we eindelijk wat echte zone bestanden zien.

Gebruikers van deze HOWTO vroegen om voorbeelden van een echt zone bestand. Het bestand dat hier gebruikt wordt is gemaakt door David Bullock van LAND-5, met wat aanpassingen van mezelf. Wat je hier ziet kan dus iets verschillen van de informatie die je krijgt als je met nslookup de LAND-5 nameservers ondervraagt.

5.1 /etc/named.conf (of /var/named/named.conf)

Hieronder staat de zone informatie voor LAND-5's subnet, 206.6.177, en de 'reverse zones'. Merk op dat de bestanden niet in een directory pz geplaatst worden zoals dat in deze HOWTO gebeurt, maar dat de directory zone heet.


// Boot file for LAND-5 name server

options {
        directory "/var/named";
};

zone "." {
        type hint;
        file "root.hints";
};

zone "0.0.127.in-addr.arpa" {
        type master;
        file "zone/127.0.0";
};

zone "land-5.com" {
        type master;
        file "zone/land-5.com";
};

zone "177.6.206.in-addr.arpa" {
        type master;
        file "zone/206.6.177";
};

Als je dit in je named.conf bestand plaats, zet als *alsjeblieft* `notify no;' in de zone secties voor de twee LAND-5 zones om ongelukken te voorkomen.

5.2 /var/named/root.hints

Het bestand hieronder is inmiddels verouderd. Je zal dus zelf een nieuwe versie aan moeten maken. Het aanmaken van een root.hints bestand wordt verderop in deze HOWTO beschreven.


; <<>> DiG 8.1 <<>> @A.ROOT-SERVERS.NET. 
; (1 server found)
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10
;; flags: qr aa rd; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13
;; QUERY SECTION:
;;      ., type = NS, class = IN

;; ANSWER SECTION:
.                       6D IN NS        G.ROOT-SERVERS.NET.
.                       6D IN NS        J.ROOT-SERVERS.NET.
.                       6D IN NS        K.ROOT-SERVERS.NET.
.                       6D IN NS        L.ROOT-SERVERS.NET.
.                       6D IN NS        M.ROOT-SERVERS.NET.
.                       6D IN NS        A.ROOT-SERVERS.NET.
.                       6D IN NS        H.ROOT-SERVERS.NET.
.                       6D IN NS        B.ROOT-SERVERS.NET.
.                       6D IN NS        C.ROOT-SERVERS.NET.
.                       6D IN NS        D.ROOT-SERVERS.NET.
.                       6D IN NS        E.ROOT-SERVERS.NET.
.                       6D IN NS        I.ROOT-SERVERS.NET.
.                       6D IN NS        F.ROOT-SERVERS.NET.

;; ADDITIONAL SECTION:
G.ROOT-SERVERS.NET.     5w6d16h IN A    192.112.36.4
J.ROOT-SERVERS.NET.     5w6d16h IN A    198.41.0.10
K.ROOT-SERVERS.NET.     5w6d16h IN A    193.0.14.129
L.ROOT-SERVERS.NET.     5w6d16h IN A    198.32.64.12
M.ROOT-SERVERS.NET.     5w6d16h IN A    202.12.27.33
A.ROOT-SERVERS.NET.     5w6d16h IN A    198.41.0.4
H.ROOT-SERVERS.NET.     5w6d16h IN A    128.63.2.53
B.ROOT-SERVERS.NET.     5w6d16h IN A    128.9.0.107
C.ROOT-SERVERS.NET.     5w6d16h IN A    192.33.4.12
D.ROOT-SERVERS.NET.     5w6d16h IN A    128.8.10.90
E.ROOT-SERVERS.NET.     5w6d16h IN A    192.203.230.10
I.ROOT-SERVERS.NET.     5w6d16h IN A    192.36.148.17
F.ROOT-SERVERS.NET.     5w6d16h IN A    192.5.5.241

;; Total query time: 215 msec
;; FROM: roke.uio.no to SERVER: A.ROOT-SERVERS.NET.  198.41.0.4
;; WHEN: Sun Feb 15 01:22:51 1998
;; MSG SIZE  sent: 17  rcvd: 436

5.3 /var/named/zone/127.0.0

In dit bestand staat niet bijzonders, alleen het verplichte SOA record en een record dat 127.0.0.1 laat verwijzen naar de lokale machine. Ook dit laatste is verplicht. In dit bestand hoeft verder niets te staan. Ook zal het nooit aangepast hoeven worden, tenzij het adres van je nameserver of hostmaster verandert.


@               IN      SOA     land-5.com. root.land-5.com. (
                                199609203       ; Serial
                                28800   ; Refresh
                                7200    ; Retry
                                604800  ; Expire
                                86400)  ; Minimum TTL
                        NS      land-5.com.
        
1                       PTR     localhost.

5.4 /var/named/zone/land-5.com

In dit bestand zien we het verplichte SOA record en de benodigde NS records. We kunnen zien dat er een secundaire nameserver aanwezig is op ns2.psi.net. Dit is ook zoals het zou moeten zijn; neem altijd een secundaire nameserver in een ander netwerk. Als je netwerk platligt is je secundaire DNS server nog steeds beschikbaar. We zien ook dat er een centrale server is genaamd land-5, die verschillende Internet servers draait. Naar deze machine wordt verwezen met CNAME records, dit zou je ook met A records kunnen doen.

Zoals je in het SOA record kan zien, is de oorsprong van dit zone bestand land-5.com en is de contactpersoon root@land-5.com. In plaats van root wordt ook het adres hostmaster vaak hiervoor gebruikt. Het serienummer is in het JJJJMMDDS formaat: de datum en het serienummer van de dag. Dit bestand is waarschijnlijk de zesde versie van 9 september 1996. Onthoud dat het serienummer altijd hoger moet zijn dat het vorige serienummer. Hier wordt slechts 1 cijfer gebruikt voor het serienummer van de dag. Als er op een dag 9 versies worden gemaakt, moet hij weer wachten tot de volgende dag voordat nieuwe versies kunnen worden gemaakt. Om dit te voorkomen zou je twee getallen kunnen gebruiken voor het serienummer.


@       IN      SOA     land-5.com. root.land-5.com. (
                        199609206       ; serial, todays date + todays serial #
                        8H              ; refresh, seconds
                        2H              ; retry, seconds
                        1W              ; expire, seconds
                        1D )            ; minimum, seconds
                NS      land-5.com.
                NS      ns2.psi.net.
                MX      10 land-5.com.  ; Primary Mail Exchanger
                TXT     "LAND-5 Corporation"

localhost       A       127.0.0.1

router          A       206.6.177.1
        
land-5.com.     A       206.6.177.2
ns              A       206.6.177.3
www             A       207.159.141.192

ftp             CNAME   land-5.com.
mail            CNAME   land-5.com.
news            CNAME   land-5.com.

funn            A       206.6.177.2

;
;       Workstations
;
ws-177200       A       206.6.177.200
                MX      10 land-5.com.   ; Primary Mail Host
ws-177201       A       206.6.177.201
                MX      10 land-5.com.   ; Primary Mail Host
ws-177202       A       206.6.177.202
                MX      10 land-5.com.   ; Primary Mail Host
ws-177203       A       206.6.177.203
                MX      10 land-5.com.   ; Primary Mail Host
ws-177204       A       206.6.177.204
                MX      10 land-5.com.   ; Primary Mail Host
ws-177205       A       206.6.177.205
                MX      10 land-5.com.   ; Primary Mail Host
; {Many repetitive definitions deleted - SNIP}
ws-177250       A       206.6.177.250
                MX      10 land-5.com.   ; Primary Mail Host
ws-177251       A       206.6.177.251
                MX      10 land-5.com.   ; Primary Mail Host
ws-177252       A       206.6.177.252
                MX      10 land-5.com.   ; Primary Mail Host
ws-177253       A       206.6.177.253
                MX      10 land-5.com.   ; Primary Mail Host
ws-177254       A       206.6.177.254
                MX      10 land-5.com.   ; Primary Mail Host

Als je goed naar de land-5 nameserver kijkt, zie je dat de namen van de vorm ws_nummer zijn. In nieuwere versies mag het underscoreteken niet gebruikt worden, daarom is dat hier vervangen door een minteken.

Iets anders dat het opmerken waard is, is dat de werkstations geen individuele namen hebben, maar dat de laatste twee getallen van het IP adres gebruikt worden om unieke namen te maken. Dit vereenvoudigt de administratie, maar is een beetje onpersoonlijk. Het kan zijn dat gebruikers dit soort namen niet op prijs stellen.

We zien ook dat funn.land-5.com een alias is voor land-5.com, maar hier wordt gebruik gemaakt van een A record in plaats van een CNAME record. Zoals eerder opgemerkt is, is dat een goed gebruik.

5.5 /var/named/zone/206.6.177

Onderstaand bestand zal in deze sectie besproken worden.


@               IN      SOA     land-5.com. root.land-5.com. (
                                199609206       ; Serial
                                28800   ; Refresh
                                7200    ; Retry
                                604800  ; Expire
                                86400)  ; Minimum TTL
                        NS      land-5.com.
                        NS      ns2.psi.net.
;
;       Servers
;
1       PTR     router.land-5.com.
2       PTR     land-5.com.
2       PTR     funn.land-5.com.
;
;       Workstations
;
200     PTR     ws-177200.land-5.com.
201     PTR     ws-177201.land-5.com.
202     PTR     ws-177202.land-5.com.
203     PTR     ws-177203.land-5.com.
204     PTR     ws-177204.land-5.com.
205     PTR     ws-177205.land-5.com.
; {Many repetitive definitions deleted - SNIP}
250     PTR     ws-177250.land-5.com.
251     PTR     ws-177251.land-5.com.
252     PTR     ws-177252.land-5.com.
253     PTR     ws-177253.land-5.com.
254     PTR     ws-177254.land-5.com.

De reverse zone is het deel van de DNS configuratie dat het meeste problemen oplevert. Het wordt gebruikt om erachter te komen welke machinenaam bij een IP adres hoort. Voorbeeld: Stel dat een Noorse IRC server alleen verbindingen wil accepteren van Noorse IRC clients. De irc server kan er makkelijk achter komen wat het IP adres van de client is. Dit IP adres zit namelijk in elk IP pakket dat de client stuurt. Nu wil de server weten welke machinenaam bij dit IP adres hoort. De server roept dan de functie gethostbyaddr aan. Deze functie zoekt vervolgens 200.177.6.206.in-addr.arpa op door te beginnen bij een . server, en steeds een niveau verder te gaan. Deze methode staat beschreven in de sectie "droge theorie". De nameserver voor 177.6.206.in-addr.arpa heeft een 'PTR ws-177200.land-5.com' record voor 200.177.6.206.in-addr.arpa, wat betekent dat bij 206.6.177.200 de machinenaam ws-177200.land-5.com hoort. Zoals eerder gezegd klopt deze uitleg niet helemaal, maar het komt aardig in de buurt van de werkelijkheid.

Even terug naar het voorbeeld van de IRC server. De IRC server accepteert alleen connecties van Noorse clients. Door de reverse lookup weet de server dat het verzoek afkomstig is van ws-177200.land-5.com. Omdat alleen verbindingen vanaf .no machines zijn toegestaan, zal de verbinding in dit geval niet opgebouwd worden. Als de reverse lookup zou falen, zou er helemaal geen hostname gevonden worden, en wordt er ook geen verbinding gemaakt.

Sommige mensen zeggen dat reverse lookups alleen belangrijk zijn voor servers, of dat ze helemaal niet belangrijk zijn. Dat is niet waar. Sommige ftp, news, IRC of zelfs HTTP servers accepteren geen connecties van een machine als er geen machinenaam gevonden kan worden. Reverse lookups zijn dus zelfs verplicht.


Verder Terug Inhoud