
  DNS HOGYAN


    Nicolai Langfeldt (|dns-howto[at]langfeldt.net|), Jamie Norrish s msok

v9.0, 2001.12.20
------------------------------------------------------------------------
/HOGYAN legynk rvid id alatt DNS-adminisztrtorok./
------------------------------------------------------------------------


    1. Elsz

Kulcsszavak: DNS, BIND, BIND 4, BIND 8, BIND 9, named, dialup, PPP,
slip, ISDN, Internet, domain, name, resolution, hosts, caching.

Ez a dokumentum a Linux Dokumentcis Projekt rsze.


    1.1 Szerzi jog

(C)opyright 1995-2001 Nicolai Langfeldt, Jamie Norrish & Co. Ne
vltoztasd a szerzi jogi rsz helyesbtse nlkl, terjeszd szabadon,
de tartsd meg a szerzi jogi megjegyzst.


    1.2 Ksznetnyilvntsok s segtsgkrs

Meg szeretnm ksznni mindenkinek, akit zavartam e HOGYAN olvassval
(k tudjk), s az sszes olvasnak, akik javaslataikat s
megjegyzseiket elkldtk levlben.

Ez soha nem lesz egy vgleges dokumentum; krlek, kldj egy levelet
problmidrl s sikereidrl. Ezzel jobb teheted ezt a HOGYANt. Krlek,
a megjegyzseidet s/vagy krdseidet vagy a pnzt kldd a
janl@langfeldt.net <janl@langfeldt.net> cmre. Vagy vedd meg a DNS
knyvemet (a cme "The Concise Guide to DNS and BIND", az
irodalomjegyzkben megtallhatk az ISBN szmok). Ha levelet kldesz, s
szeretnl vlaszt r, krlek, mutass egy kis udvariassgot azzal, hogy
megbizonyosodsz rla, hogy a vlaszcm helyes s mkdik. *Krlek*,
olvasd el a Krdsek s vlaszok <#qanda> fejezetet, mieltt rsz nekem.
Egy msik dolog, hogy csak norvgl s angolul rtek.

Ez egy HOGYAN. 1995 ta tartottam karban, az LDP rszeknt. 2000
folyamn megrtam egy knyvet hasonl trggyal. Szeretnm elmondani,
hogy br ez a HOGYAN sok tekintetben olyan, mint egy knyv, ez /nem/ a
letisztzott, piacra ksztett knyvvltozat. Ezen HOGYAN olvasi
segtettek annak felismersben, hogy mi az, amit nehz megrteni a
DNS-rl. Ez segtett a knyv megrsban, de a knyv szintn segtett
tbbet gondolkodnom azon, hogy ennek a HOGYANnak mire van szksge. A
HOGYAN hozta ltre a knyvet. A knyv hozta ltre e HOGYAN 3-as
vltozatt. Ksznetem a knyvkiadnak, Que-nak, aki adott egy eslyt :-)


    1.3 Ajnls

Ajnlom ezt a HOGYANt Anne Line Norheim Langfeldt-nek. Br 
valsznleg soha sem fogja elolvasni, mert nem az a fajta lny.


    1.4 Frisstett vltozatok

Eme HOGYAN frisstett vltozatait megtallhatod a
http://langfeldt.net/DNS-HOWTO/ s a http://www.tldp.org/ oldalon is.
Olvasd el azokat is, ha ez a dokumentum 9 hnapnl regebb.


    1.5 Magyar fordts

A magyar fordtst Fri Zoltn <mailto:zfuri@avaya.com_NO_SPAM>
ksztette (2003.05.06). A lektorlst Szjjrt Lszl
<mailto:laca@janus.gimsz.sulinet.hu_NO_SPAM> vgezte el (2003.07.01).
Brmilyen fordtssal kapcsolatos szrevtelt a linuxhowto@sch.bme.hu
<mailto:linuxhowto@sch.bme.hu_NO_SPAM> cmre kldjetek. Eme dokumentum
legfrissebb vltozata megtallhat a Magyar Linux Dokumentcis Projekt
<http://tldp.fsf.hu/index.html> honlapjn.


    2. Bevezets

*Mi ez, s mi nem*

A DNS a Domain Name Server (Domain Nv Szerver). A DNS talaktja a
gpneveket IP cmekk, amellyel minden hlzati gp rendelkezik. A nevet
cmm, s a cmet nvv fordtja (vagy "mappeli", ahogy a zsargon
hvja), s mg egyb feladatokat is ellt. Ez a HOGYAN azt dokumentlja,
hogyan definiljunk ilyen megfeleltetseket Unix rendszer hasznlatval,
pr Linux-specifikus dologgal egytt.

A mappels egy egyszer megfeleltets kt dolog kztt, ez esetben egy
gpnv, pldul |/ftp.linux.org/|, s a gp IP szma (vagy cme),
1|99.249.150.4| kztt. A DNS szintgy tartalmazza a msik irny
megfeleltetst is IP szmbl gpnvv; ennek neve "fordtott
megfeleltets" (reverse mapping).

A DNS, a beavatatlanok szmra (ez vagy te ;-), a hlzati
adminisztrci egyik legkdsebb terlete. Szerencsre a DNS valjban
nem ilyen nehz. Ez a HOGYAN megprbl egy pr dolgot vilgosabb tenni.
Lerja egy /egyszer/ DNS nvszerver fellltst, kezdve egy csak
gyorsttras szerverrel, s folytatva egy tartomny szmra egy
elsdleges DNS szerver fellltsval. Bonyolultabb belltsokhoz
tnzheted ezen dokumentum Krdsek s vlaszok <#qanda> fejezett. Ha
az nincs lerva ott, el kell /olvasnod/ a Valdi Dokumentcit. Az
utols fejezetben <#bigger> visszatrek r, mit is tartalmaz ez a Valdi
Dokumentci.

Mieltt belekezdesz, be kell lltanod a gpedet, hogy be tudj r, s ki
tudj rla telnetelni, s sikerljn mindenfle hlzati kapcsolatokat
ltrehozni, valamint klnsen fontos, hogy kpes legyl a |telnet
127.0.0.1| parancsot kiadni, s a sajt gpedet elrni (prbld ki
most!). Kiindulsknt szksged lesz mg j, mkd
|/etc/nsswitch.conf/|, |/etc/resolv.conf/| s |/etc/hosts/| llomnyokra
is, br funkcijukat nem fogom itt elmagyarzni. Ha mg nincs mindez
belltva s nem mkdik, a Networking-HOWTO (Hlzatok-HOGYAN) s/vagy
a Networking-Overview-HOWTO (Hlzatok-ttekints-HOGYAN) elmagyarzza,
hogyan kell ezeket belltani. Olvasd el ket.

Amikor azt mondom "a te gped", arra a gpre gondolok, amelyiken a DNS-t
prblod belltani, s nem akrmelyik msik gpet, amely a hlzati
krnyezetedben megtallhat.

Felttelezem, hogy nem vagy olyan tzfal mgtt, amely blokkolja a
nvlekrdezseket. Ha mgis, klnleges belltsokra lesz szksged -
lsd a Krdsek s vlaszok <#qanda> fejezetet.

A nvszolgltatst UNIX alatt a |named| program vgzi. Ez rsze a "BIND"
csomagnak, mely fejlesztst a /The Internet Software Consortium/
koordinlja. A |named| programot tartalmazza a legtbb Linux
disztribci, s ltalban |/usr/sbin/named| programknt van teleptve,
a csomag ksztjnek hbortjtl fgg kis- vagy nagybets |BIND|
csomagbl.

Ha van egy named programod, valsznleg hasznlhatod; ha nincs,
beszerezhetsz egyet a Linux ftp oldalrl, vagy letltheted a legutols
s legnagyszerbb forrskdot az ftp://ftp.isc.org/isc/bind9/
webhelyrl. Ez a HOGYAN a 9-es verzij BIND-rl szl. A HOGYAN rgebbi
vltozatai, a 4-es s 8-as verzij BIND-rl, mg mindig elrhetk a
http://langfeldt.net/DNS-HOWTO/ honlapon, abban az esetben, ha 4-es vagy
8-as verzij BIND-et hasznlsz (mellkesen, ezt a HOGYANt is
megtallhatod ott). Ha a named kziknyv oldala (man page) a
|named.conf| llomnyrl beszl (a legeslegvgn, a FILES (LLOMNYOK)
fejezetben), 8-as BIND-ed van; ha |named.boot| llomnyrl van sz, 4-es
BIND-ed van. Ha 4-esed van, s tudatosan a biztonsgra trekszel,
tnyleg frisstened kell a 8-as BIND legfrissebb vltozatra. Most.

A DNS egy hlzati szint adatbzis. Vigyzz, mit raksz bele. Ha
szemetet raksz bele, te s msok is szemetet fognak kinyerni belle.
Tartsd DNS-ed rendben s konzisztensen, s egy j szolgltatst fogsz
kapni. Tanuld meg hasznlni, adminisztrlni, megkeresni hibit, s egy
jabb j rendszergazda leszel, aki megvdi a hlzatot attl, hogy
"megfekdjn" a flremenedzsels miatt.

*Tipp:* Kszts biztonsgi msolatot az sszes llomnyrl, amelynek
megvltoztatsra utastalak, ha mr megvannak, gy ha esetleg semmi sem
mkdik, visszajuthatsz a rgi, mkd llapotba.


    2.1 Ms nvszerver megvalstsok

Ezt a fejezetet Joost van Baal rta.

Klnbz csomagok lteznek DNS szerver teleptshez a gpedre. Van a
BIND csomag ( http://www.isc.org/products/BIND/); a megvalsts, amirl
ez a HOGYAN szl. Ez a legnpszerbb nvszerver mindenfel, s szerte az
Interneten a nvszolgltat gpeinek dnt tbbsgn ezt hasznljk, s
az 1980-as vek ta fejlesztik. A BSD licenc felttelei szerint
hasznlhat. Mivel ez a legnpszerbb programcsomag, egy csom
dokumentci s tudsanyag tallhat a BIND-rl mindenfel. Azonban
biztonsgi problmk voltak vele.

Aztn van a djbdns ( http://djbdns.org/), egy viszonylag j DNS csomag,
amelyet Daniel J. Bernstein ksztett, aki a qmail programot is rta. Ez
egy nagyon modulris kszlet: klnbz kis programok gondoskodnak a
klnbz feladatokrl, amit egy nvszervernek kezelnie kell. A
biztonsg szempontjnak figyelembe vtelvel terveztk. Egy egyszerbb
zna-llomny formtumot hasznl, s ltalnossgban egyszerbb
belltani. Azonban, mivel kevsb ismert, a helyi guru nem biztos, hogy
segthet vele kapcsolatban. Sajnos ez a szoftver nem nylt forrskd. A
szerz hirdetse a http://cr.yp.to/djbdns/ad.html honlapon tallhat.

Hogy DJB szoftvere tnyleg fejlds-e a rgi alternatvkkal szemben,
sok vita trgyt kpezi. Az ISC csapata otthont ad egy beszlgetsnek
(vagy inkbb anyzsnak?) a BIND kontra djbdns-rl a
http://www.isc.org/ml-archives/bind-users/2000/08/msg01075.html honlapon.


    3. A felold, gyorsttras nvszerver

*Az els ugrs a DNS belltshoz. Nagyon hasznos betrcszs,
kbel-modemes, ADSL s hasonl felhasznlk szmra.*

A Red Hat s a Red Hat-hoz kapcsold disztribcik esetn ezen HOGYAN
els fejezethez hasonl gyakorlati eredmny rhet el a |bind|,
|bind-utils| s |caching-nameserver| csomagok teleptsvel. Ha Debiant
hasznlsz, egyszeren csak teleptsd a |bind| (vagy a |bind9| csomagot,
mivel jelenleg a BIND 9-est nem tmogatja a Debian Stable (potato)) s a
|bind-doc| csomagot. Persze csak ezen csomagok teleptsvel nem tanulsz
annyit, mint e HOGYAN olvassval. Szval teleptsd a csomagokat, azutn
olvass tovbb, s ellenrizd az ltaluk teleptett llomnyokat.

A gyorsttras nvszerver megtallja a vlaszt a nvlekrdezsekre, s
megjegyzi a vlaszt a legkzelebbi alkalomig, amikor szksged lesz r.
Ez jelentsen le fogja rvidteni a vrakozsi idt a kvetkez
alkalommal, klnsen ha lass a kapcsolatod.

Elszr szksged lesz egy |/etc/named.conf| nev llomnyra (Debianban:
|/etc/bind/named.conf|). Ez betltdik amikor a named elindul. Egyelre
csak ezt kell tartalmaznia:

------------------------------------------------------------------------

// Konfigurcis llomny kizrlag gyorsttras nvszerver szmra
//
// A HOGYAN ezen vltozata tartalmazhat a sor elejn szkzket
// tartalmaz sorokat ebben s ms llomnyokban. El kell tvoltanod
// a szkzket, hogy bizonyos dolgok mkdjenek.
//
// Figyelem, az llomnynevek s a knyvtrak nevei klnbzhetnek, m
// a lnyegi tartalmuknak hasonlnak kell lennik.

options {
        directory "/var/named";
        // E sor engedlyezse segthet, ha tzfalon keresztl kell
        // tmenned, s a dolog nem mkdik. De valsznleg beszlned
        // kell a tzfal adminisztrtorval.
        // query-source port 53;
};

controls {
        inet 127.0.0.1 allow { localhost; } keys { rndc_key; };
};

key "rndc_key" {
        algorithm hmac-md5;
        secret "c3Ryb25nIGVub3VnaCBmb3IgYSBtYW4gYnV0IG1hZGUgZm9yIGEgd29tYW4K";
};

zone "." {
        type hint;
        file "root.hints";
};

zone "0.0.127.in-addr.arpa" {
        type master;
        file "pz/127.0.0";
};

------------------------------------------------------------------------

A Linux disztribcis csomagok eltr llomnyneveket hasznlhatnak
minden egyes, itt emltett llomnytpusra; azonban kzel ugyanazt
fogjk tartalmazni.

A "|directory|" sor megmondja a named programnak, hol keresse az
llomnyokat. Minden ezutn megnevezett llomny ehhez lesz viszonytva.
Teht a |pz| egy knyvtr a |/var/named| alatt, azaz megegyezik a
|/var/named/pz| knyvtrral. A |/var/named| a helyes knyvtr, a /Linux
Fjlrendszer Szabvny/ alapjn.

A |/var/named/root.hints| llomny is megemltdik benne. A
|/var/named/root.hints| llomnynak ezt kell tartalmaznia:

------------------------------------------------------------------------


;
; Nyit megjegyzsek lehetnek itt, ha mr megvan ez az llomnyod.
; Ha nem, ne aggdj.
;
; A kezd szkzkrl a sorok elejn: tvoltsd el ket!
; A sornak egy ;-vel, .-tal vagy betvel kell kezddnik, nem szkzzel.
;
.                       6D  IN      NS      A.ROOT-SERVERS.NET.
.                       6D  IN      NS      B.ROOT-SERVERS.NET.
.                       6D  IN      NS      C.ROOT-SERVERS.NET.
.                       6D  IN      NS      D.ROOT-SERVERS.NET.
.                       6D  IN      NS      E.ROOT-SERVERS.NET.
.                       6D  IN      NS      F.ROOT-SERVERS.NET.
.                       6D  IN      NS      G.ROOT-SERVERS.NET.
.                       6D  IN      NS      H.ROOT-SERVERS.NET.
.                       6D  IN      NS      I.ROOT-SERVERS.NET.
.                       6D  IN      NS      J.ROOT-SERVERS.NET.
.                       6D  IN      NS      K.ROOT-SERVERS.NET.
.                       6D  IN      NS      L.ROOT-SERVERS.NET.
.                       6D  IN      NS      M.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET.     6D  IN      A       198.41.0.4
B.ROOT-SERVERS.NET.     6D  IN      A       128.9.0.107
C.ROOT-SERVERS.NET.     6D  IN      A       192.33.4.12
D.ROOT-SERVERS.NET.     6D  IN      A       128.8.10.90
E.ROOT-SERVERS.NET.     6D  IN      A       192.203.230.10
F.ROOT-SERVERS.NET.     6D  IN      A       192.5.5.241
G.ROOT-SERVERS.NET.     6D  IN      A       192.112.36.4
H.ROOT-SERVERS.NET.     6D  IN      A       128.63.2.53
I.ROOT-SERVERS.NET.     6D  IN      A       192.36.148.17
J.ROOT-SERVERS.NET.     6D  IN      A       198.41.0.10
K.ROOT-SERVERS.NET.     6D  IN      A       193.0.14.129
L.ROOT-SERVERS.NET.     6D  IN      A       198.32.64.12
M.ROOT-SERVERS.NET.     6D  IN      A       202.12.27.33

------------------------------------------------------------------------

Ez az llomny rja le a f nvszervereket a vilgban. A szerverek
idrl idre vltoznak, s frissteni kell ket most s ksbb is. A
Karbantarts <#maint> fejezetben olvashatsz ezek naprakszen tartsrl.

A kvetkez rsz a |named.conf| llomnyban a |zone| (zna). Hasznlatt
egy ksbbi fejezetben fogom elmagyarzni; most csak nevezzk el ezt az
llomnyt |127.0.0|-nak a |pz| alknyvtrban. /(jfent, krlek tvoltsd
el a sor eleji szkzket, ha kivgod s beilleszted ezt.)/

------------------------------------------------------------------------


$TTL 3D
@               IN      SOA     ns.linux.bogus. hostmaster.linux.bogus. (
                                1       ; Serial
                                8H      ; Refresh
                                2H      ; Retry
                                4W      ; Expire
                                1D)     ; Minimum TTL
                        NS      ns.linux.bogus.
1                       PTR     localhost.

------------------------------------------------------------------------

A |key| s a |control| rszek azt hatrozzk meg, hogy a named programod
tvolrl irnythat az |rndc| programmal ha egy helyi llomsrl
kapcsoldik, ekkor egy kdolt titkos kulccsal azonostja magt. Ez a
kulcs olyan, mint egy jelsz. Az rndc mkdshez az |/etc/rndc.conf|
llomnynak meg kell egyeznie ezzel:

------------------------------------------------------------------------

key rndc_key {
    algorithm "hmac-md5";
    secret "c3Ryb25nIGVub3VnaCBmb3IgYSBtYW4gYnV0IG1hZGUgZm9yIGEgd29tYW4K";
};

options {
    default-server localhost;
    default-key    rndc_key;
};

------------------------------------------------------------------------

Amint ltod, a secret bejegyzsek megegyeznek. Ha az |rndc| programot
egy msik gprl szeretnd hasznlni, a kt gp egymshoz viszonytott
rendszeridejnek 5 percen bell kell lennie. Ehhez ajnlom az ntp
(|xntpd| s |ntpdate|) szoftvert.

s most, szksged lesz egy ehhez hasonl |/etc/resolv.conf| llomnyra:
/(jfent: Tvoltsd el a szkzket!)/

------------------------------------------------------------------------

search altartomny.a-te-tartomnyod.edu a-te-tartomnyod.edu
nameserver 127.0.0.1

------------------------------------------------------------------------

A "|search|" sor hatrozza meg, milyen tartomnyban trtnjen a keress
az llomsok utn, amelyekhez kapcsoldni akarsz. A "|nameserver|" sor
hatrozza meg a nvszervered cmt, ebben az esetben a sajt gpedet,
mert ez az, ahol a named programod fut (a 127.0.0.1 cm helyes, nem
szmt, ha a gpednek van egy msik cme is). Ha tbb nvszervert akarsz
felsorolni, rakd mindegyiket egy-egy "|nameserver|" sorba. (Megjegyzs:
A named soha nem olvassa el ezt az llomnyt, a named programot hasznl
felold teszi ezt. Megjegyzs 2: Nhny resolv.conf llomnyban a
"domain" sort tallod. Ez helyes, de ne hasznld a "search" s a
"domain" kulcsszt is egyszerre, csak az egyikk fog mkdni.)

Annak bemutatsra, hogy ez az llomny mit csinl: Ha az gyfl
megprblja kikeresni a |foo|-t, akkor a
|foo.altartomny.a-te-tartomnyod.edu|-t prblja elszr, majd a
|foo.a-te-tartomnyod.edu|-t, s vgl a |foo|-t. Ne akarj tl sok
tartomnyt rakni a keressorba, mivel mindet vgigkeresni idt vesz ignybe.

A plda felttelezi, hogy az |altartomny.a-te-tartomnyod.edu|
tartomnyba tartozol. A keressornak nem szabad tartalmaznia a legfels
tartomnyodat (TLD - Top Level Domain), ebben az esetben az "|edu|"-t.
Ha gyakran kell kapcsoldnod msik tartomnyban lev llomsokhoz,
hozzadhatod azt a tartomnyt a keressorhoz, gy: /(Ne felejtsd el
eltvoltani a szkzket a sor elejn, ha vannak)/

------------------------------------------------------------------------

search altartomny.a-te-tartomnyod.edu a-te-tartomnyod.edu msik-tartomny.com

------------------------------------------------------------------------

s gy tovbb. Nyilvnvalan valdi tartomnyneveket kell helyettk
beraknod. Krlek figyeld meg a tartomnynevek vgn a pontok hinyt. Ez
fontos!


    3.1 A named indtsa

Mindezek utn itt az id a named indtsra. Ha betrcszs kapcsolatot
hasznlsz, elszr csatlakozz. Most indtsd a named-et, vagy a boot
szkript futtatsval: |/etc/init.d/named start|, vagy a named-et
kzvetlenl: |/usr/sbin/named|. Ha kiprbltad a BIND elz verziit,
valsznleg az ndc-t hasznltad. A BIND 9-ben ezt az |rndc| program
vltotta fel, ami tvolrl vezrelheti a named-et, de mr nem tudja a
named-et indtani. Ha megnzed a rendszerzenetek naplllomnyt
(ltalban |/var/log/messages|, a Debianban |/var/log/daemon|, meg lehet
mg keresni a |/var/log| egy msik llomnyban is), mialatt indtod a
named-et (ezt a |tail -f /var/log/messages|-el teheted meg), valami
ilyesmit kell ltnod:

(a \-el vgzd sorok a kvetkez sorban folytatdnak)

    | |

Dec 23 02:21:12 lookfar named[11031]: starting BIND 9.1.3
Dec 23 02:21:12 lookfar named[11031]: using 1 CPU
Dec 23 02:21:12 lookfar named[11034]: loading configuration from \
    '/etc/named.conf'
Dec 23 02:21:12 lookfar named[11034]: the default for the \
    'auth-nxdomain' option is now 'no'
Dec 23 02:21:12 lookfar named[11034]: no IPv6 interfaces found
Dec 23 02:21:12 lookfar named[11034]: listening on IPv4 interface lo, \
    127.0.0.1#53
Dec 23 02:21:12 lookfar named[11034]: listening on IPv4 interface eth0, \
    10.0.0.129#53
Dec 23 02:21:12 lookfar named[11034]: command channel listening on \
    127.0.0.1#953
Dec 23 02:21:13 lookfar named[11034]: running

Ha brmilyen hibazenet megjelenik, akkor ott hiba van. A named
megnevezi az llomnyt, amit pp olvas. Menj vissza, s ellenrizd le az
llomnyt. Indtsd jbl a named-et, ha megjavtottad.

Most letesztelheted a belltsodat. Hagyomnyosan az |nslookup|
hasznlatos erre. Napjainkban azonban mr a |dig| ajnlott:

    | |

$ dig -x 127.0.0.1
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26669
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;1.0.0.127.in-addr.arpa.                IN      PTR

;; ANSWER SECTION:
1.0.0.127.in-addr.arpa. 259200  IN      PTR     localhost.

;; AUTHORITY SECTION:
0.0.127.in-addr.arpa.   259200  IN      NS      ns.linux.bogus.

;; Query time: 3 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 02:26:17 2001
;; MSG SIZE  rcvd: 91

Ha ilyen zeneteket kaptl, akkor mkdik. Remljk. Ha brmi teljesen
eltrt kapsz, menj vissza, s ellenrizz le mindent. Minden alkalommal,
amikor megvltoztatsz egy llomnyt, futtasd az |rndc reload| parancsot.

Most mr beadhatsz egy lekrdezst. Prblj meg valami hozzd kzeli
gpet. A |pat.uio.no| kzel van hozzm, az Osli Egyetemen:

    | |

$ dig pat.uio.no
; <<>> DiG 9.1.3 <<>> pat.uio.no
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15574
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 0

;; QUESTION SECTION:
;pat.uio.no.                    IN      A

;; ANSWER SECTION:
pat.uio.no.             86400   IN      A       129.240.130.16

;; AUTHORITY SECTION:
uio.no.                 86400   IN      NS      nissen.uio.no.
uio.no.                 86400   IN      NS      nn.uninett.no.
uio.no.                 86400   IN      NS      ifi.uio.no.

;; Query time: 651 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 02:28:35 2001
;; MSG SIZE  rcvd: 108

Ezttal a |dig| megkrte a named-et, hogy keresse meg a |pat.uio.no|
gpet. Az pedig kapcsoldott a |root.hints| llomnyodban lev egyik
nvszerver gphez, s lekrdezte az tvonalt onnan. Eltarthat egy rpke
pillanatig, mg megkapod az eredmnyt, mivel vgig kell keresnie az
sszes tartomnyt, amit a |/etc/resolv.conf|-ban megneveztl.

Ha mg egyszer lekrdezed ugyanazt, ezt kapod:

    | |

$ dig pat.uio.no

; <<>> DiG 8.2 <<>> pat.uio.no
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3
;; QUERY SECTION:
;;      pat.uio.no, type = A, class = IN

;; ANSWER SECTION:
pat.uio.no.             23h59m58s IN A  129.240.130.16

;; AUTHORITY SECTION:
UIO.NO.                 23h59m58s IN NS  nissen.UIO.NO.
UIO.NO.                 23h59m58s IN NS  ifi.UIO.NO.
UIO.NO.                 23h59m58s IN NS  nn.uninett.NO.

;; ADDITIONAL SECTION:
nissen.UIO.NO.          23h59m58s IN A  129.240.2.3
ifi.UIO.NO.             1d23h59m58s IN A  129.240.64.2
nn.uninett.NO.          1d23h59m58s IN A  158.38.0.181

;; Total query time: 4 msec
;; FROM: lookfar to SERVER: default -- 127.0.0.1
;; WHEN: Sat Dec 16 00:23:09 2000
;; MSG SIZE  sent: 28  rcvd: 162

Ahogy azt nyilvnvalan lthatod, ezttal ez sokkal gyorsabb volt, 4 ms
a korbbi tbb, mint fl msodperccel ellenttben. A vlasz benne volt a
gyorsttrban. A gyorsttrban lv eredmnyeknl esly van arra, hogy
mr elavult, de az eredeti szerverek befolysolhatjk azt az idt, amg
a letrolt vlaszok rvnyesknt lesznek nyilvntartva. Vgl is nagy a
valsznsg arra, hogy a kapott vlasz /rvnyes/.


    3.2 Nvfelolds

Minden opercis rendszer, ami a C API szabvnyt alkalmazza, rendelkezik
a gethostbyname s a gethostbyaddr hvsokkal. Ezek klnbz
forrsokbl szerezhetik be az informcit. Hogy melyik forrsbl szerzik
ezt be, az Linux (s egyes Unix) rendszereken az |/etc/nsswitch.conf|
llomnyban van belltva. Ez egy hossz llomny, amely megadja mely
llomnyokbl vagy adatbzisokbl szerezhetk be klnbz adattpusok.
ltalban hasznos megjegyzseket tartalmaz a fejlcben, melyeket
krltekinten olvass el. Ezutn keresd meg a "|hosts:|" kulcsszval
kezdd sort; gy kell kinznie:

------------------------------------------------------------------------

hosts:      files dns

------------------------------------------------------------------------

(/Emlkszel mg a szkzkre a sor elejn? Nem akarom jra megemlteni./)

Ha nincs "|hosts:|" kulcsszval kezdd sor, szrd be a fentieket. Ezek
a sorok azt jelentik, hogy a programoknak elszr a |/etc/hosts|
llomnyban kell keresnik, majd leellenrzik a DNS-t a |resolv.conf|
llomny alapjn.


    3.3 Gratullok

Most mr tudod, hogyan kell belltani a gyorsttras named-et. Bonts
egy srt, tejet, vagy brmit, amivel nnepelni szeretsz.


    4. Tovbbts (forwarding)

Nagy, jl szervezett, egyetemi vagy Internet szolgltati (ISP)
hlzatokban nha megfigyelheted, hogy a hlzati szakemberek a DNS
szerverek tovbbti hierarchijt hoztk ltre, ami segt a bels
hlzati terhels cskkentsben, s a kls szerverekn gyszintn. Nem
knny megtudni, hogy egy ilyen hlzatban vagy-e. De ha a hlzati
szolgltatd DNS szervert "tovbbtknt" hasznlod, a lekrdezsekre
adott reakcikat gyorsabb teheted, s cskkentheted a forgalmat a
hlzatodon. Ez a te nvszervered lekrdezseinek az ISP nvszervere
fel trtn tovbbtsval mkdik. Minden egyes alkalommal, amikor
ilyen trtnik, az ISP nvszervernek nagy gyorsttrba nylsz bele,
gy felgyorstva a lekrdezseket, nvszerverednek pedig nem kell
mindent magnak vgeznie. Ha modemet hasznlsz ez nagy elny lehet. A
plda kedvrt ttelezzk fel, hogy a hlzati szolgltatdnak kt
nvszervere van amiket hasznlni akarsz, |10.0.0.1| s |10.1.0.1| IP
cmekkel. Ebben az esetben a |named.conf| llomnyodba, az "|options|"
kulcsszval kezdd rszbe szrd be ezeket a sorokat:

------------------------------------------------------------------------

           forward first;
           forwarders {
                10.0.0.1;
                10.1.0.1;
            };

------------------------------------------------------------------------

Van mg egy szp trkk a tovbbtkat hasznl betrcszs gpek
szmra, amely a Krdsek s vlaszok <#qanda> fejezetben van lerva.

Indtsd jra a nvszerveredet, s teszteld a |dig|-el. Mg mindig
rendben kell mkdnie.


    5. Egy /egyszer/ tartomny

*Hogyan kell fellltani a sajt tartomnyodat?*


    5.1 De elszr egy kis szraz elmlet

Mindenekeltt: elolvastad az sszes cuccot ez eltt, ugye? Erre szksg van.

Mieltt /tnyleg/ elkezdjk ezt a fejezetet, kzzteszek egy kis
elmletet, s egy pldt, hogyan mkdik a DNS. s te el fogod olvasni,
mert az j neked. Ha nem akarod, legalbb fusd t nagyon gyorsan. Fejezd
be a futst, ha oda rsz, hogy minek kell a |named.conf| llomnyodba
kerlnie.

A DNS egy hierarchikus, fa struktrj rendszer. A tetejt "."-nak rjk
s "gykr"-nek (root) ejtik, ahogy az megszokott a fa-tpus
adatstruktrknl. A . alatt szmos legfelsbb szint tartomny (TLD -
Top Level Domain) van; a legismertebbek az |ORG|, |COM|, |EDU| s a
|NET|, de mg sok ms is van. ppgy mint a fnak, ennek is van gykere
s elgazik. Ha van egy kis szmtstechnikai httered, a DNS-t, mint
egy keresft azonosthatod, s megtallhatod a csompontokat, az gakat
s a cscsokat. A pontok a csompontok, a cscsok a neveken vannak.

Egy gp keressekor a lekrdezs rekurzv mdon halad a hierarchiban, a
gykrtl kiindulva. Ha a |prep.ai.mit.edu| cmt akarod megtallni, a
nvszerverednek el kell kezdenie valahol. A gyorsttrban val
keresssel kezdi. Ha ebben megvan a vlasz mert korbban eltrolta,
azonnal vlaszolni fog, ahogy ezt a legutbbi fejezetben lttuk. Ha nem
tudja, megnzi milyen kzeli vlaszt tud adni a keresett nvhez, s
felhasznl brmilyen informcit, amit mr eltrolt. A legrosszabb
esetben nincs ms tallata, csak a nv "."-ja (gykere), s a
fszerverekhez kell fordulni. El fogja tvoltani a baloldali rszeket,
egyenknt ellenrizve, hogy tud-e valamit az |ai.mit.edu.| tartomnyrl,
utna a |mit.edu.|-rl, utna az |edu.|-rl, s ha nem, utna a .-rl,
mert ez volt a hints llomnyban. Ezutn megkrdezi a . szervert a
|prep.ai.mit.edu| tartomnyrl. Ez a . szerver nem fogja tudni a
vlaszt, de segteni fog a szerverednek a sajt mdjn egy hivatkozs
megadsval, amellyel megmondja, hol keressen inkbb. Ezek a
hivatkozsok a szerveredet vgl ahhoz a nvszerverhez vezetik, amelyik
tudja a vlaszt. Most ezt fogom bemutatni. A |+norec| azt jelenti, hogy
a dig egy nem-rekurzv lekrdezst vgez, gy a rekurzit magunknak kell
elvgeznnk. A tbbi opci a dig folyamat cskkentsre vannak, gy ez
nem fog tbb oldalon t futni:

    | |

$ ;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 980
;; flags: qr ra; QUERY: 1, ANSWER: 0, AUTHORITY: 13, ADDITIONAL: 0

;; AUTHORITY SECTION:
.                       518400  IN      NS      J.ROOT-SERVERS.NET.
.                       518400  IN      NS      K.ROOT-SERVERS.NET.
.                       518400  IN      NS      L.ROOT-SERVERS.NET.
.                       518400  IN      NS      M.ROOT-SERVERS.NET.

.                       518400  IN      NS      A.ROOT-SERVERS.NET.
.                       518400  IN      NS      B.ROOT-SERVERS.NET.
.                       518400  IN      NS      C.ROOT-SERVERS.NET.
.                       518400  IN      NS      D.ROOT-SERVERS.NET.
.                       518400  IN      NS      E.ROOT-SERVERS.NET.
.                       518400  IN      NS      F.ROOT-SERVERS.NET.
.                       518400  IN      NS      G.ROOT-SERVERS.NET.
.                       518400  IN      NS      H.ROOT-SERVERS.NET.
.                       518400  IN      NS      I.ROOT-SERVERS.NET.

Ez egy hivatkozs. Ez csak egy felgyeleti rszt ("Authority section")
hoz ltre neknk, vlasz rszt ("Answer section") pedig nem. A sajt
nvszervernk egy nvszerverhez kld tovbb. Vlasszunk ki
vletlenszeren egyet:

    | |

$ dig +norec +noques +nostats +nocmd prep.ai.mit.edu. @D.ROOT-SERVERS.NET.
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58260
;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 3, ADDITIONAL: 3

;; AUTHORITY SECTION:
mit.edu.                172800  IN      NS      BITSY.mit.edu.
mit.edu.                172800  IN      NS      STRAWB.mit.edu.
mit.edu.                172800  IN      NS      W20NS.mit.edu.

;; ADDITIONAL SECTION:
BITSY.mit.edu.          172800  IN      A       18.72.0.3
STRAWB.mit.edu.         172800  IN      A       18.71.0.151
W20NS.mit.edu.          172800  IN      A       18.70.0.160

Ez azonnal a MIT.EDU szerverhez kld minket. jra vlasszuk ki egyet
vletlenszeren:

    | |

$ dig +norec +noques +nostats +nocmd prep.ai.mit.edu. @BITSY.mit.edu.
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29227
;; flags: qr ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4

;; ANSWER SECTION:
prep.ai.mit.edu.        10562   IN      A       198.186.203.77

;; AUTHORITY SECTION:
ai.mit.edu.             21600   IN      NS      FEDEX.ai.mit.edu.
ai.mit.edu.             21600   IN      NS      LIFE.ai.mit.edu.
ai.mit.edu.             21600   IN      NS      ALPHA-BITS.ai.mit.edu.
ai.mit.edu.             21600   IN      NS      BEET-CHEX.ai.mit.edu.

;; ADDITIONAL SECTION:
FEDEX.ai.mit.edu.       21600   IN      A       192.148.252.43
LIFE.ai.mit.edu.        21600   IN      A       128.52.32.80
ALPHA-BITS.ai.mit.edu.  21600   IN      A       128.52.32.5
BEET-CHEX.ai.mit.edu.   21600   IN      A       128.52.32.22

Ezttal kapunk egy "ANSWER SECTION"-t, s vlaszt a krdsnkre. Az
"AUTHORITY SECTION" azt az informcit tartalmazza, hogy mely
szervereket krdezzk legkzelebb az |ai.mit.edu|-rl. gy, kvetkez
alkalommal amikor az |ai.mit.edu| nevekrl kvncsiskodsz, kzvetlenl
ket krdezheted. A named informcit gyjttt a |mit.edu|-rl is, gy
legkzelebb ha a |www.mit.edu| lekrdezse fordul el, sokkal knnyebb
lesz majd megvlaszolni a krdst.

gy a .-tl kezdden a hivatkozsok alapjn megtalltuk az egyms utni
nvszervereket, a tartomnynv minden egyes szintjhez. Ha a sajt DNS
szerveredet hasznltad volna mindezen szerverek helyett, a named-ed
termszetesen eltrolta volna mindezt az informcit amit a kutakods
sorn tallt, s egy ideig nem kellene jra lekrdeznie.

A fa-analgiban minden "." a nvben egy elgazsi pont, s minden rsz
a "."-ok kztt az egyes gak nevei a fn. A fa bejrsakor fogjuk a
nevet amit keresnk (prep.ai.mit.edu), megkrdezve a gykeret (.) vagy
brmelyik szervert a gykrtl a |prep.ai.mit.edu| fel, amelyikrl van
informcink a gyorsttrban. Ha a gyorsttr elri kapacitsnak
hatrait, a rekurzv felold a kls szervereket krdezi le, kvetve a
hivatkozsokat (leket) tovbb a nvben.

Valamivel kevesebbet beszltnk rla, de ppoly fontos az |in-addr.arpa|
tartomny. Ez is pp gy szervezett, mint a "kznsges" tartomnyok. Az
|in-addr.arpa| lehetv teszi szmunkra, hogy megkapjuk az lloms
nevt, ha megvan a cme. Egy fontos dolog, amit meg kell jegyezni, hogy
az IP cmek fordtott sorrendben vannak rva az |in-addr.arpa|
tartomnyban. Ha egy gpnek a cme: |198.186.203.77|, a named a keresst
a |77.203.168.198.in-addr.arpa|-ra vgzi, ppgy, ahogy azt a
|prep.ai.mi.edu|-ra tette. Plda: Ha nem tallsz egyetlen tallati
bejegyzst a gyorsttrban csak a "."-ot, krdezz le egy fszervert, az
|m.root-servers.net| valamelyik msik fszerverhez irnyt. A
|b.root-servers.net| kzvetlenl a |bitsy.mit.edu| tartomnyhoz irnyt.
Onnan mr kpes leszel leszedni.


    5.2 A sajt tartomnyunk

Most kvetkezik a sajt tartomnyunk meghatrozsa. A |linux.bogus|
tartomnyt fogjuk ltrehozni, s megadjuk a gpeket benne. Egy teljesen
hamis tartomnynevet hasznlok, hogy biztos ne zavarjunk senkit Ott Kint.

Mg egy dolog, mieltt elkezdjk: Nem minden karakter megengedett a
gpnevekben. Az angol bc betire vagyunk korltozva: a-z, s a 0-9
szmok s a "-" (ktjel) karakter. Tartsd magad ezekhez a karakterekhez
(a 9-es BIND nem fog hibsan mkdni, ha megszeged ezt a szablyt, de a
8-as BIND igen). A kis- s nagybetk egyformk a DNS szmra, teht a
|pat.uio.no| megegyezik a |Pat.UiO.No|-val.

Mr elkezdtk ezt a rszt a named.conf-ban ezzel a sorral:

------------------------------------------------------------------------

zone "0.0.127.in-addr.arpa" {
        type master;
        file "pz/127.0.0";
};

------------------------------------------------------------------------

Krlek, vedd szre a "." hinyt a tartomnynevek vgn ebben az
llomnyban. Azt jelenti, hogy mi most a |0.0.127.in-addr.arpa| znt
fogjuk megadni, hogy mi vagyunk a mesterszerver szmra, s hogy a
|pz/127.0.0| llomnyban van trolva. Mr belltottuk ezt az llomnyt:

------------------------------------------------------------------------

$TTL 3D
@               IN      SOA     ns.linux.bogus. hostmaster.linux.bogus. (
                                1       ; Serial
                                8H      ; Refresh
                                2H      ; Retry
                                4W      ; Expire
                                1D)     ; Minimum TTL
                        NS      ns.linux.bogus.
1                       PTR     localhost.

------------------------------------------------------------------------

Krlek, vedd szre a "."-ot a teljes tartomnynevek vgn ebben az
llomnyban, ellenttben a fenti |named.conf| llomnnyal. Egyesek
szeretnek minden znallomnyt az |//$ORIGIN| direktvval kezdeni, de
ez felesleges. Egy znallomny eredete (ahov a DNS hierarchiban
tartozik) a |named.conf| llomny zna fejezetben van meghatrozva;
ebben az esetben ez a |0.0.127.in-addr.arpa|.

Ez a "znallomny" 3 "erforrsbejegyzst" (RR - resource record)
tartalmaz: egy SOA RR-t, egy NS RR-t s egy PTR RR-t. A SOA a
Jogosultsg Kezdetnek a rvidtse (SOA - Start Of Authority). A "@"
egy specilis jel ami az eredetet jelenti, s mivel a "tartomny" oszlop
ezen llomny esetn az 0.0.127.in-addr-arpa-t tartalmazza, az els sor
valjban ezt jelenti:

    | |

0.0.127.in-addr.arpa.   IN      SOA ...

Az NS a Nvszerver RR. Itt nincs "@" a sor elejn; magtl rtetd,
mivel az elz sor egy "@"-el kezddtt. Ez megtakart egy kis gpelst.
Teht az NS sort gy is lehet rni:

    | |

0.0.127.in-addr.arpa.   IN      NS      ns.linux.bogus

Ez megmondja a DNS-nek, melyik gp a |0.0.127.in-addr.arpa| tartomny
nvszervere, ez az |ns.linux.bogus|. Az "ns" egy szokvnyos nv a
nvszerverek szmra, ppgy, mint a web szerverek esetben, amiknek
szokvnyosan |www.|/valami/ a nevk. A nv brmi lehet.

Vgl a PTR (Tartomny Nv Mutat) bejegyzs megmondja, hogy a
|0.0.127.in-addr.arpa| alhlzat 1-es cmn, azaz a 127.0.0.1 cmen
tallhat gp neve |localhost|.

A SOA bejegyzs a bevezet az /sszes/ znallomnyhoz, s pontosan
egynek kell lennie minden egyes znallomnyban, a tetejn (de a $TTL
direktva utn). Ez lerja a znt, honnan szrmazik (egy
|ns.linux.bogus| nev gprl), ki felels annak tartalmrt
(|hostmaster@linux.bogus|, a sajt e-mail cmedet kell idernod), melyik
vltozat znallomny ez (serial: 1), s egyb, a gyorsttrazssal s
a msodlagos DNS szerverekkel kapcsolatos dolgokat. A maradk mezk
(refresh - frissts, retry - jraprblkozs, expire - lejrat s
minimum) tekintetben hasznld az ebben a HOGYANban hasznlt szmokat,
s nem lesz baj. A SOA el jn egy ktelez sor, a |$TTL 3D|. Rakd bele
az sszes znallomnyodba.

Most indtsd jra a named-et (|rndc stop; named|) s hasznld a |dig|-et
gyeskedsed megvizsglshoz. A | -x| fordtott lekrdezst kr:

    | |

$ dig -x 127.0.0.1
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30944
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;1.0.0.127.in-addr.arpa.                IN      PTR

;; ANSWER SECTION:
1.0.0.127.in-addr.arpa. 259200  IN      PTR     localhost.

;; AUTHORITY SECTION:
0.0.127.in-addr.arpa.   259200  IN      NS      ns.linux.bogus.

;; Query time: 3 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:02:39 2001
;; MSG SIZE  rcvd: 91

Szval ez gondoskodik arrl, hogy a 127.0.0.1-bl |localhost|-ot
kapjunk; rendben. Most a f clunk, a linux.bogus tartomny rdekben,
szrjunk be egy j "zone" rszt a |named.conf| llomnyba:

------------------------------------------------------------------------

zone "linux.bogus" {
        type master;
        notify no;
        file "pz/linux.bogus";
};

------------------------------------------------------------------------

Figyeld meg jbl a |named.conf| llomnyban a tartomnynv vgn a "."
hinyt.

A |linux.bogus| znallomnya berakunk nmi teljesen valtlan adatot:

------------------------------------------------------------------------

;
; Zone file for linux.bogus
;
; The full zone file
;
$TTL 3D
@       IN      SOA     ns.linux.bogus. hostmaster.linux.bogus. (
                        199802151       ; serial, todays date + todays serial #

                        8H              ; refresh, seconds
                        2H              ; retry, seconds
                        4W              ; expire, seconds
                        1D )            ; minimum, seconds
;
                NS      ns              ; Inet Address of name server
                MX      10 mail.linux.bogus     ; Primary Mail Exchanger
                MX      20 mail.friend.bogus.   ; Secondary Mail Exchanger
;
localhost       A       127.0.0.1
ns              A       192.168.196.2
mail            A       192.168.196.4

------------------------------------------------------------------------

Kt dolgot meg kell jegyezni a SOA bejegyzsrl. Az |ns.linux.bogus|-nak
egy "A" bejegyzssel rendelkez valdi gpnek /kell/ lennie. Nem
megengedett az SOA bejegyzsben emltett gphez CNAME bejegyzst
rendelni. A nevnek nem kell "ns"-nek lennie, brmely vals gp neve
lehet. Az ezt kvet |hostmaster.linux.bogus|-t
hostmaster@linux.bogus-nak kell olvasni. Ennek egy olyan levlcmnek
kell lennie, amelyet a DNS-t karbantart szemly, vagy szemlyek gyakran
olvasnak. Brmely, a tartomnnyal kapcsolatos levl az itt megadott
cmre lesz elkldve. A nvnek nem kell "hostmaster"-nek lennie, lehet ez
a rendes e-mail cmed, de a "hostmaster" e-mail cm ltezse sokszor
szintn elvrs.

Egy j RR tpus tallhat ebben az llomnyban, az MX, vagy a Mail
eXchanger (levlkiszolgl) RR. Ez megmondja a levelezrendszereknek,
hova legyen kldve a |valaki@linux.bogus|-nak cmzett levl, nv szerint
a |mail.linux.bogus|-nak, vagy a |mail.friend.bogus|-nak. A szm minden
gp neve eltt az adott MX RR prioritsa. A legkisebb szmmal (10)
rendelkez RR az, amelyik, ha lehetsges a levelet kapni fogja. Ha ez
nem sikerl, a levelet el lehet kldeni egy magasabb szmmal
rendelkeznek, egy msodlagos levlkezelnek, azaz a
|mail.friend.bogus|-nak, amelynek a prioritsa itt 20.

Tltsk be a tartomnyokat jbl az |rndc reload| futtatsval.
Vizsgljuk meg az eredmnyeket a |dig|-el:

    | |


$ dig any linux.bogus
; <<>> DiG 9.1.3 <<>> any linux.bogus
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55239
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;linux.bogus.               IN      ANY

;; ANSWER SECTION:
linux.bogus.        259200  IN      SOA     ns.linux.bogus. \
      hostmaster.linux.bogus. 199802151 28800 7200 2419200 86400
linux.bogus.        259200  IN      NS      ns.linux.bogus.
linux.bogus.        259200  IN      MX      20 mail.friend.bogus.
linux.bogus.        259200  IN      MX      10 mail.linux.bogus.linux.bogus.

;; AUTHORITY SECTION:
linux.bogus.        259200  IN      NS      ns.linux.bogus.

;; ADDITIONAL SECTION:
ns.linux.bogus.     259200  IN      A       192.168.196.2

;; Query time: 4 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:06:45 2001
;; MSG SIZE  rcvd: 184

Alapos vizsglat utn egy hibt fogsz tallni. A

    | |

linux.bogus.        259200  IN MX        10 mail.linux.bogus.linux.bogus.

sor teljesen rossz. Ennek gy kellene kinznie:

    | |

linux.bogus.        259200  IN MX        10 mail.linux.bogus.

Szndkosan hibt vtettem, gyhogy tanulhatsz belle :-) Beletekintve a
znallomnyba ezt a sort talljuk:

    | |

               MX      10 mail.linux.bogus     ; Primary Mail Exchanger

Hinyzik egy pont. Vagy a "linux.bogus"-ban tl sok van. Ha egy gpnv a
znallomnyban nem vgzdik pontra, az eredete hozzaddik a vghez, a
megduplzott |linux.bogus.linux.bogus|-t eredmnyezve. Szval vagy

------------------------------------------------------------------------

                MX      10 mail.linux.bogus.    ; Primary Mail Exchanger

------------------------------------------------------------------------

vagy

------------------------------------------------------------------------

                MX      10 mail                 ; Primary Mail Exchanger

------------------------------------------------------------------------

a helyes. n az utbbi vltozatot preferlom, kevesebbet kell gpelni.
Vannak olyan BIND szakrtk, akik nem rtenek egyet ezzel, s vannak
olyanok akik igen. Egy znallmnyban a tartomnyt vagy ki kell rni, s
"."-al lezrni, vagy egyltaln nem kell meghatrozni, mely esetben az
eredet lesz az alaprtelmezs.

Ki kell hangslyoznom, hogy a named.conf llomnyban /nem/ kell "."-nak
lennie a tartomnynevek utn. El sem brod kpzelni, hny esetben
kavarta ssze a dolgokat a tl sok vagy tl kevs pont, s hozta ki az
rdgt az emberekbl.

Szval, kifejtve rveimet itt van az j znallomny, nmi extra
informcival kiegsztve:

------------------------------------------------------------------------

;
; Zone file for linux.bogus
;
; The full zone file
;
$TTL 3D
@       IN      SOA     ns.linux.bogus. hostmaster.linux.bogus. (
                        199802151       ; serial, todays date + todays serial #
                        8H              ; refresh, seconds
                        2H              ; retry, seconds
                        4W              ; expire, seconds
                        1D )            ; minimum, seconds
;
                TXT     "Linux.Bogus, your DNS consultants"
                NS      ns              ; Inet Address of name server
                NS      ns.friend.bogus.
                MX      10 mail         ; Primary Mail Exchanger
                MX      20 mail.friend.bogus. ; Secondary Mail Exchanger

localhost       A       127.0.0.1

gw              A       192.168.196.1
                TXT     "The router"

ns              A       192.168.196.2
                MX      10 mail
                MX      20 mail.friend.bogus.
www             CNAME   ns

donald          A       192.168.196.3
                MX      10 mail
                MX      20 mail.friend.bogus.
                TXT     "DEK"

mail            A       192.168.196.4
                MX      10 mail
                MX      20 mail.friend.bogus.

ftp             A       192.168.196.5
                MX      10 mail
                MX      20 mail.friend.bogus.

------------------------------------------------------------------------

A CNAME (Canonical NAME - kanonikus NV) egy mdszer tbb nv megadsra
egy gp szmra. gy a www egy lnv az ns szmra. A CNAME bejegyzs
hasznlata egy kicsit ktrtelm. A legbiztosabb azt a szablyt kvetni,
hogy egy MX, CNAME vagy SOA bejegyzs /soha/ nem hivatkozhat egy CNAME
bejegyzsre, csak egy "A" bejegyzssel rendelkez valamire
hivatkozhatnak, teht megengedhetetlen a

------------------------------------------------------------------------

foobar          CNAME   www                     ; NEM!

------------------------------------------------------------------------

de helyes a

------------------------------------------------------------------------


foobar          CNAME   ns                      ; IGEN!

------------------------------------------------------------------------

Tltsk be az j adatbzist az |rndc reload| futtatsval, amely a named
llomnyainak jbli beolvasst eredmnyezi.

    | |


$ dig linux.bogus axfr

; <<>> DiG 9.1.3 <<>> linux.bogus axfr
;; global options:  printcmd
linux.bogus.            259200  IN      SOA     ns.linux.bogus. hostmaster.linux.bogus. 199802151 28800 7200 2419200 86400
linux.bogus.            259200  IN      NS      ns.linux.bogus.
linux.bogus.            259200  IN      MX      10 mail.linux.bogus.
linux.bogus.            259200  IN      MX      20 mail.friend.bogus.

donald.linux.bogus.     259200  IN      A       192.168.196.3
donald.linux.bogus.     259200  IN      MX      10 mail.linux.bogus.
donald.linux.bogus.     259200  IN      MX      20 mail.friend.bogus.
donald.linux.bogus.     259200  IN      TXT     "DEK"
ftp.linux.bogus.        259200  IN      A       192.168.196.5
ftp.linux.bogus.        259200  IN      MX      10 mail.linux.bogus.

ftp.linux.bogus.        259200  IN      MX      20 mail.friend.bogus.
gw.linux.bogus.         259200  IN      A       192.168.196.1
gw.linux.bogus.         259200  IN      TXT     "The router"
localhost.linux.bogus.  259200  IN      A       127.0.0.1
mail.linux.bogus.       259200  IN      A       192.168.196.4
mail.linux.bogus.       259200  IN      MX      10 mail.linux.bogus.
mail.linux.bogus.       259200  IN      MX      20 mail.friend.bogus.
ns.linux.bogus.         259200  IN      MX      10 mail.linux.bogus.
ns.linux.bogus.         259200  IN      MX      20 mail.friend.bogus.
ns.linux.bogus.         259200  IN      A       192.168.196.2
www.linux.bogus.        259200  IN      CNAME   ns.linux.bogus.
linux.bogus.            259200  IN      SOA     ns.linux.bogus. hostmaster.linux.bogus. 199802151 28800 7200 2419200 86400
;; Query time: 41 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:12:31 2001
;; XFR size: 23 records

Ez j. Amint ltod, egy kicsit gy nz ki, mint a znallomny maga.
Ellenrizzk, mit mond egyedl a |www|-re:

    | |

$ dig www.linux.bogus

; <<>> DiG 9.1.3 <<>> www.linux.bogus
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16633
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;www.linux.bogus.               IN      A

;; ANSWER SECTION:
www.linux.bogus.        259200  IN      CNAME   ns.linux.bogus.
ns.linux.bogus.         259200  IN      A       192.168.196.2

;; AUTHORITY SECTION:
linux.bogus.            259200  IN      NS      ns.linux.bogus.

;; Query time: 5 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:14:14 2001
;; MSG SIZE  rcvd: 80

Ms szval a |www.linux.bogus| valdi neve |ns.linux.bogus|, s tovbbi
informcit is ad neked amivel rendelkezik az ns-rl, elegendt a hozz
val csatlakozshoz, ha egy program lennl.

Most vagyunk flton


    5.3 A fordtott zna

Most mr a programok t tudjk alaktani a linux.bogus-ban a neveket
cmekk, amelyekhez csatlakozni tudnak. De szksg van egy fordtott
znra is, olyanra, amely lehetv teszi a DNS szmra a cmek
talaktst nevekk. Ezt a nevet rengeteg klnbz tpus szerver
(FTP, IRC, WWW s msok) hasznlja annak eldntsre, hogy akar-e veled
kommuniklni vagy nem, s ha igen, taln mg arra is, hogy milyen
prioritst kapjl. Az Internet sszes szolgltatsnak teljes elrshez
a fordtott zna szksges.

Rakd be ezt a |named.conf| llomnyba:

------------------------------------------------------------------------

zone "196.168.192.in-addr.arpa" {
        type master;
        notify no;
        file "pz/192.168.196";
};

------------------------------------------------------------------------

Ez pontosan ugyanaz, mint a |0.0.127.in-arpa|-val, s a tartalmuk is
hasonl:

------------------------------------------------------------------------

$TTL 3D
@       IN      SOA     ns.linux.bogus. hostmaster.linux.bogus. (
                        199802151 ; Serial, todays date + todays serial
                        8H      ; Refresh
                        2H      ; Retry
                        4W      ; Expire
                        1D)     ; Minimum TTL
                NS      ns.linux.bogus.

1               PTR     gw.linux.bogus.
2               PTR     ns.linux.bogus.
3               PTR     donald.linux.bogus.
4               PTR     mail.linux.bogus.
5               PTR     ftp.linux.bogus.

------------------------------------------------------------------------

Most jra tltsd be a named-et (|rndc reload|), s vizsgld meg a
munkdat a |dig|-el jra:

------------------------------------------------------------------------


$ dig -x 192.168.196.4

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58451
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;4.196.168.192.in-addr.arpa.    IN      PTR

;; ANSWER SECTION:
4.196.168.192.in-addr.arpa. 259200 IN   PTR     mail.linux.bogus.

;; AUTHORITY SECTION:
196.168.192.in-addr.arpa. 259200 IN     NS      ns.linux.bogus.

;; ADDITIONAL SECTION:
ns.linux.bogus.         259200  IN      A       192.168.196.2

;; Query time: 4 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:16:05 2001
;; MSG SIZE  rcvd: 107

------------------------------------------------------------------------

teht jnak nz ki, szedjk ki az egszet, hogy azt is megvizsgljuk:

------------------------------------------------------------------------

$ dig 196.168.192.in-addr.arpa. AXFR

; <<>> DiG 9.1.3 <<>> 196.168.192.in-addr.arpa. AXFR
;; global options:  printcmd
196.168.192.in-addr.arpa. 259200 IN     SOA     ns.linux.bogus. \

        hostmaster.linux.bogus. 199802151 28800 7200 2419200 86400
196.168.192.in-addr.arpa. 259200 IN     NS      ns.linux.bogus.
1.196.168.192.in-addr.arpa. 259200 IN   PTR     gw.linux.bogus.
2.196.168.192.in-addr.arpa. 259200 IN   PTR     ns.linux.bogus.
3.196.168.192.in-addr.arpa. 259200 IN   PTR     donald.linux.bogus.
4.196.168.192.in-addr.arpa. 259200 IN   PTR     mail.linux.bogus.
5.196.168.192.in-addr.arpa. 259200 IN   PTR     ftp.linux.bogus.
196.168.192.in-addr.arpa. 259200 IN     SOA     ns.linux.bogus. \
        hostmaster.linux.bogus. 199802151 28800 7200 2419200 86400
;; Query time: 6 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:16:58 2001
;; XFR size: 9 records

------------------------------------------------------------------------

Jl nz ki! Ha kimeneted nem ilyen, akkor keresd a hibazeneteket a
syslog-ban, az els fejezetben, A named indtsa <#starting> fejezetben
elmagyarztam, hogyan tedd ezt.


    5.4 Int szavak

Van pr dolog, amit itt kzre kell adnom. A fenti pldban hasznlt IP
szmok a "magnhlzatok" egyik blokkjbl lettek vve, azaz nyilvnos
hasznlatuk az Interneten nem megengedett. gy ht biztonsgos a
hasznlatuk egy HOGYAN egy pldjban. A msik dolog a |notify no;| sor.
Ez megmondja a named-nek, hogy ne rtestse a msodlagos (slave)
szervert, amikor az egyik znallomnya frisslt. A 8-as s ksbbi
BIND-ben a named rtestheti a znallomnyban az NS bekezdsben
felsorolt tbbi szervert, amikor a zna frisslt. Ez gyes dolog rendes
mkdskor. De ksrletezsek esetn ennek a lehetsgnek kikapcsolva
kell lennie - nem akarjuk, hogy a ksrlet megkavarja az Internetet, ugye?

s persze, ez a tartomny ersen hamis, s ppgy a cmek benne. Egy
valdi tartomny vals pldjrt nzd meg a kvetkez ffejezetet.


    5.5 Mirt nem mkdnek a fordtott lekrdezsek?

Van egy pr normlis krlmnyek kztt nvlekrdezsekkel elkerlhet
"csapda", amellyel gyakran tallkozni fordtott znk belltsnl.
Mieltt folytatod, szksged lesz a fordtott lekrdezsek mkdsre a
sajt nvszervereden. Ha ez nincs gy, menj vissza, s javtsd ki
mieltt folytatod.

A fordtott lekrdezsek kt hibjrl fogok szlni, ahogy azok a
hlzaton kvlrl ltszdnak:


      A fordtott zna nincs deleglva

Ha egy hlzati szolgltattl egy hlzati cmtartomnyt s egy
tartomnynevet krsz, a tartomnynv rendes esetben deleglva van, mint
egy magtl rtetd dolog. A delegls az az sszeragaszt NS
bejegyzs, amely segt eljutnod az egyik nvszervertl a msikig, ahogy
ez a szraz elmleti fejezetben el lett magyarzva. Elolvastad, ugye? Ha
a fordtott znd nem mkdik, menj vissza, s olvasd el. Most.

A fordtott znnak szintn deleglva kell lennie. Ha a |192.168.196|-os
hlzatot kapod a |linux.bogus| tartomnnyal a szolgltatdtl, be kell
rakniuk az NS bejegyzst a fordtott znd szmra ppgy, mint a
tovbbt znd szmra. Ha kveted a lncolatot az |in-addr.arpa|-tl
felfel a hlzatodig, valsznleg szakadst tallsz majd a lncban, a
leginkbb valszn, hogy a szolgltatdnl. Miutn megtalltad a
szakadst a lncolatban, vedd fel a kapcsolatot a szolgltatddal, s
krd meg ket a hiba kijavtsra.


      Egy osztlyon kvli alhlzatod van

Ez egy kiss bonyolultabb tma, de az osztlyon kvli alhlzatok
nagyon elterjedtek manapsg, s valsznleg egy ilyened van, ha egy kis
cg vagy.

Az osztlyon kvli alhlzatok azok, amik az Internetet manapsg
ltetik. Nhny vvel ezeltt sok volt a hh az IP cmek fogyatkozsa
miatt. A blcs emberek az IETF-nl (Internet Engineering Task Force, k
tartjk mkdsben az Internetet) sszedugtk a fejket, s megoldottk
a problmt. Bizonyos ron. Az r ott mutatkozik, hogy egy "C"
alhlzatnl kisebbet kapsz, s bizonyos dolgok nem mkdhetnek. Krlek
nzd t az Ask Mr. DNS <http://www.acmebw.com/askmrdns/00007.htm>
(Krdezd DNS urat) cikket egy j magyarzatrt, s hogy hogyan kezeld ezt.

Elolvastad? Nem fogom elmagyarzni, szval krlek olvasd el.

A problma els rsze az, hogy az ISP-dnek rtenie kell a Mr. DNS ltal
lert technikt. Nem minden kis ISP-nek van hozzrt dolgozja ehhez.
Ha gy van, lehet, hogy el kell nekik magyarznod, s kitartnak kell
lenned. De elszr lgy biztos benne, hogy te rted ;-). Ezutn be
fognak lltani egy rendes fordtott znt a szerverkn, melynek
helyessgt megvizsglhatod a dig-el.

A problma msodik s egyben utols rsze az, hogy meg kell rtened a
technikt. Ha nem vagy biztos benne, menj vissza, s olvass rla ismt.
Ezutn bellthatod a sajt osztlyon kvli fordtott zndat gy,
ahogy azt az Ask Mr. DNS lerja.

Lapul egy msik csapda is itt. A (nagyon) rgi feloldk /nem/ lesznek
kpesek kvetni a CNAME trkkt a feloldsi lncban, s nem lesznek
kpesek fordtva feloldani a gpedet. Ez egy szolgltats esetben
helytelen hozzfrsi osztly hozzrendelst, a hozzfrs megtagadst
vagy ezekhez hasonlt eredmnyezhet. Ha egy ilyen szolgltatsba
tkzl, az egyetlen megolds (amirl n tudok) az ISP-d szmra az,
hogy belerakja a PTR bejegyzsedet kzvetlenl az  trkks osztlyon
kvli znallomnyukba a trkks CNAME bejegyzs helyett.

Bizonyos ISP-k ms mdokat fognak ajnlani ennek kezelsre, gymint
Web-alap rlapokat a fordtott hozzrendels megadshoz, vagy ms
automgikus rendszereket.


    5.6 Msodlagos (slave) szerverek

Amint helyesen belltottad a znidat az elsdleges (master) szerveren,
fel kell lltanod legalbb egy msodlagos (slave) szervert. A
msodlagos szerverek a robusztussg miatt szksgesek. Ha az elsdleges
lell, az emberek ott kint a hln mg mindig kpesek lesznek
informcit kapni a tartomnyodrl a szolgtl. A msodlagosnak olyan
messze kell lennie tled, amennyire csak lehetsges. Az albbi dolgok
kzl az elsdlegesnek s a msodlagosnak minl kevesebben kellene
osztozniuk: ramellts, LAN, ISP, vros s orszg. Ha ez mind ms az
elsdleges s a msodlagos esetben, egy tnyleg j msodlagos szervert
talltl.

A msodlagos szerver egyszeren egy olyan nvszerver, amely a
znallomnyokat lemsolja az elsdlegesrl. Ekkpp llthatod be:

------------------------------------------------------------------------

zone "linux.bogus" {
        type slave;
        file "sz/linux.bogus";
        masters { 192.168.196.2; };
};

------------------------------------------------------------------------

Az adatok msolsra a znatvitel nev mechanizmust hasznljk. A
znatvitelt az SOA bejegyzsed irnytja:

------------------------------------------------------------------------

@       IN      SOA     ns.linux.bogus. hostmaster.linux.bogus. (
                        199802151       ; serial, todays date + todays serial #
                        8H              ; refresh, seconds
                        2H              ; retry, seconds
                        4W              ; expire, seconds
                        1D )            ; minimum, seconds

------------------------------------------------------------------------

Egy zna csak akkor kerl tvitelre, ha a sorozatszma (serial) az
elsdleges szerveren nagyobb, mint a msodlagoson. Frisstsi
intervallumonknt (refresh) a msodlagos szerver le fogja ellenrizni,
hogy az elsdleges frisslt-e. Ha az ellenrzs nem hoz eredmnyt (mert
az elsdleges nem elrhet), jraprblja a megadott intervallumonknt
(retry). Ha az ellenrzsek a lejrati idszak (expire) alatt sem hoznak
eredmnyt, a msodlagos szerver el fogja tvoltani a znt az
llomnyrendszerbl, s nem lesz tbb szerver szmra.


    6. Alapvet biztonsgi belltsok

/Jamie Norrish/

*A konfigurcis opcik belltsa a problmk valsznsgnek
cskkentse rdekben.*

Van nhny egyszer lps amelyet megtehetsz, ezek biztonsgosabb
teszik a szerveredet, s esetlegesen cskkentik a terhelst is. Az itt
bemutatott anyag nem tbb, mint egy kiindulsi pont; ha rdekelt vagy a
biztonsgban (s gy kellene lennie), krlek tanulmnyozz t ms
forrsmunkkat is a hlzaton (lsd az utols fejezetet <#bigger>).

A kvetkez belltsi direktvk fordulnak el a |named.conf|
llomnyban. Az options rszben tallhat direktvk az sszes znra
vonatkoznak. Ha a |zone| bejegyzsben fordul el, csak arra a znra
vonatkozik. Egy |zone| bejegyzs fellrja az |options| bejegyzst.


    6.1 A znatvitelek korltozsa

Annak rdekben, hogy a msodlagos szervere(i)d kpes legyen vlaszolni
a tartomnyodra vonatkoz lekrdezsekre, kpeseknek kell lennik
thozni a znainformcit az elsdleges szerveredrl. Nagyon sokan
szeretnnek szintn gy cselekedni. Ezrt korltozd a znatvitelt az
|allow-transfer| opci hasznlatval, felttelezve, hogy 192.168.1.4 az
ns.friend.bogus cme, s hozzadva sajt magadat hibakeressi clbl:

------------------------------------------------------------------------

zone "linux.bogus" {
      allow-transfer { 192.168.1.4; localhost; };
};

------------------------------------------------------------------------

A znatvitelek korltozsval biztostod, hogy az egyetlen elrhet
informci az, amit az emberek kzvetlenl krdeznek - senki sem
krdezheti le csak gy belltsod sszes rszlett.


    6.2 Vdekezs az "tejts" ellen

Legelszr kapcsolj ki minden lekrdezst, ami nem az ltalad birtokolt
tartomnyokra irnyul, kivve a bels/helyi gpeidrl indulkat. Ez nem
csak a DNS szervered rosszindulat kihasznlst elzi meg, de cskkenti
szervered felesleges hasznlatt is.

------------------------------------------------------------------------

options {
      allow-query { 192.168.196.0/24; localhost; };
};

zone "linux.bogus" {
      allow-query { any; };
};

zone "196.168.192.in-addr.arpa" {
      allow-query { any; };
};

------------------------------------------------------------------------

Tovbb kapcsold ki a rekurzv lekrdezseket, kivve a bels/helyi
gpektl. Ez cskkenti a gyorsttr-mrgezses tmadsok eslyt
(amikor hamis adatokkal tmik a szerveredet).

------------------------------------------------------------------------

options {
        allow-recursion { 192.168.196.0/24; localhost; };
};

------------------------------------------------------------------------


    6.3 A named futtatsa nem-root-knt

Egy j tlet a named-et a root-tl klnbz felhasznlknt futtatni,
gy ha feltrik a cracker ltal szerzett jogok a lehet
legkorltozottabbak. Elszr ltre kell hoznod egy felhasznlt ami
alatt a named fusson, majd mdostani brmely ltalad hasznlt, a
named-et indt init szkriptet. Az j felhasznlnevet s csoportot a
named-nek az -u s -g kapcsolk segtsgvel add meg.

Pldul: Debian GNU/Linux 2.2-ben mdostanod kell a |/etc/init.d/bind|
szkriptet, hogy tartalmazza a kvetkez sort (ahol a |named| felhasznl
mr ltre lett hozva):

------------------------------------------------------------------------

start-stop-daemon --start --quiet --exec /usr/sbin/named -- -u named

------------------------------------------------------------------------

Ugyanez megtehet a Red Hat-al s ms disztribcikkal is.

Dave Lugo lert egy biztonsgos ketts chroot belltst, amely a
http://www.etherboy.com/dns/chrootdns.html honlapon tallhat, ez mg
biztonsgosabb teheti a gpet, amelyen a named-et futtatod.


    7. Egy valdi tartomny-plda

*Ahol bemutatunk nhny /igazi/ znallomnyt*

A felhasznlk javasoltk, hogy illesszem be egy mkd tartomny vals
pldjt is, mint szemlltet pldt.

E pldt David Bullock engedlyvel a LAND-5-tl hasznlom. Ezek az
llomnyok 1996. szeptember 24.-n voltak aktulisak, s ezutn
szerkesztettem t ket, hogy megfeleljenek a 8-as BIND megktseinek s
kiterjeszts-hasznlatnak. Szval az amit ltsz, klnbzik egy kicsit
attl, amit a LAND-5 nvszerverek lekrdezsekor tallsz.


    7.1 /etc/named.conf (vagy /var/named/named.conf)

Itt tallhatk az elsdleges szerver znafejezetei a kt szksges
fordtott zna szmra: a 127.0.0 hlzat ppgy, mint a LAND-5
|206.6.177|-es alhlzata, s az elsdleges sor a land-5 |land5.com|
tovbbt znja szmra. Figyeld meg, hogy az llomnyok |pz| nev
knyvtrba val pakolsa helyett, ahogy n ezt ebben a HOGYANban teszem,
 a |zone| nev knyvtrba rakja ket.

------------------------------------------------------------------------

// Boot file for LAND-5 name server

options {
        directory "/var/named";
};

controls {
        inet 127.0.0.1 allow { localhost; } keys { rndc_key; };
};

key "rndc_key" {
        algorithm hmac-md5;
        secret "c3Ryb25nIGVub3VnaCBmb3IgYSBtYW4gYnV0IG1hZGUgZm9yIGEgd29tYW4K";
};

zone "." {
        type hint;
        file "root.hints";
};

zone "0.0.127.in-addr.arpa" {
        type master;
        file "zone/127.0.0";
};

zone "land-5.com" {
        type master;
        file "zone/land-5.com";
};

zone "177.6.206.in-addr.arpa" {
        type master;
        file "zone/206.6.177";
};

------------------------------------------------------------------------

Ha ezt berakod a named.conf llomnyodba ksrletezs cljbl, *KRLEK*
rakd be a "|notify no;|"-t a kt |land-5| zna zone fejezetbe, hogy
elkerljk az tkzseket.


    7.2 /var/named/root.hints

Tartsd szem eltt, hogy ez az llomny dinamikus, s az itt kzztett
vltozat rgi. Jobban teszed ha egy jabbat hasznlsz, amint azt mr
korbban elmagyarztam.

------------------------------------------------------------------------

; <<>> DiG 8.1 <<>> @A.ROOT-SERVERS.NET.
; (1 server found)
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10
;; flags: qr aa rd; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13
;; QUERY SECTION:
;;      ., type = NS, class = IN

;; ANSWER SECTION:
.                       6D IN NS        G.ROOT-SERVERS.NET.
.                       6D IN NS        J.ROOT-SERVERS.NET.
.                       6D IN NS        K.ROOT-SERVERS.NET.
.                       6D IN NS        L.ROOT-SERVERS.NET.
.                       6D IN NS        M.ROOT-SERVERS.NET.
.                       6D IN NS        A.ROOT-SERVERS.NET.
.                       6D IN NS        H.ROOT-SERVERS.NET.
.                       6D IN NS        B.ROOT-SERVERS.NET.
.                       6D IN NS        C.ROOT-SERVERS.NET.
.                       6D IN NS        D.ROOT-SERVERS.NET.
.                       6D IN NS        E.ROOT-SERVERS.NET.
.                       6D IN NS        I.ROOT-SERVERS.NET.
.                       6D IN NS        F.ROOT-SERVERS.NET.

;; ADDITIONAL SECTION:
G.ROOT-SERVERS.NET.     5w6d16h IN A    192.112.36.4
J.ROOT-SERVERS.NET.     5w6d16h IN A    198.41.0.10
K.ROOT-SERVERS.NET.     5w6d16h IN A    193.0.14.129
L.ROOT-SERVERS.NET.     5w6d16h IN A    198.32.64.12
M.ROOT-SERVERS.NET.     5w6d16h IN A    202.12.27.33
A.ROOT-SERVERS.NET.     5w6d16h IN A    198.41.0.4
H.ROOT-SERVERS.NET.     5w6d16h IN A    128.63.2.53
B.ROOT-SERVERS.NET.     5w6d16h IN A    128.9.0.107
C.ROOT-SERVERS.NET.     5w6d16h IN A    192.33.4.12
D.ROOT-SERVERS.NET.     5w6d16h IN A    128.8.10.90
E.ROOT-SERVERS.NET.     5w6d16h IN A    192.203.230.10
I.ROOT-SERVERS.NET.     5w6d16h IN A    192.36.148.17
F.ROOT-SERVERS.NET.     5w6d16h IN A    192.5.5.241

;; Total query time: 215 msec
;; FROM: roke.uio.no to SERVER: A.ROOT-SERVERS.NET.  198.41.0.4
;; WHEN: Sun Feb 15 01:22:51 1998
;; MSG SIZE  sent: 17  rcvd: 436

------------------------------------------------------------------------


    7.3 /var/named/zone/127.0.0

Csak az alapok, a ktelez SOA bejegyzs, s a bejegyzs, mely a
127.0.0.1-et a |localhost|-hoz rendeli. Mindkett szksges. Semmi
msnak nem kell lennie ebben az llomnyban. Valsznleg soha nem lesz
frisstve, hacsak a nvszervered vagy a rendszergazda cme nem vltozik meg.

------------------------------------------------------------------------

$TTL 3D
@               IN      SOA     land-5.com. root.land-5.com. (
                                199609203       ; Serial
                                28800   ; Refresh
                                7200    ; Retry
                                604800  ; Expire
                                86400)  ; Minimum TTL
                        NS      land-5.com.

1                       PTR     localhost.

------------------------------------------------------------------------

Ha egy vletlenszeren kivlasztott BIND teleptsre rnzel, azt fogod
tallni, hogy a |$TTL| sor hinyzik. Ezt azeltt nem hasznltk, s csak
a 8.2-es BIND kezdett el figyelmeztetni a hinyra. A 9-es BIND-hez
/szksges/ a |$TTL|.


    7.4 /var/named/zone/land-5.com

Itt ltjuk a ktelez SOA bejegyzst, a szksges NS bejegyzseket.
Lthatjuk, hogy van egy msodlagos nvszervere az |ns2.psi.net|-en. Ez
az ahogy lennie kell, mindig legyen egy telephelyen kvli msodlagos
szervered tartalkknt. Lthatjuk azt is, hogy van neki egy |land-5|
nev elsdleges gpe is, amely gondoskodik sok klnbz Internet
szolgltatsrl, s azt, hogy ezt CNAME-ekkel csinlta (egy msik
lehetsg az "A" bejegyzsek hasznlata).

Amint azt a SOA bejegyzsbl lthatod, a znallomny eredete a
|land-5.com|, a kapcsolattart szemly a |root@land-5.com|. A
|hostmaster| egy msik gyakran hasznlt cm a kapcsolattart szemly
szmra. A sorozatszm a szoksos hhnn formtumban van, a mai
sorozatszm hozzadsval; ez valsznleg a znallomny hatodik
vltozata 1996. szeptember 20.-n. Jegyezd meg, hogy a sorozatszmnak
monoton nvekvnek /kell/ lennie, itt csak /egy/ szmjegy jelzi a mai
sorozatszmot, gy 9 szerkeszts utn vrnia kell holnapig, mieltt jra
szerkesztheti az llomnyt. Szokd meg a kt szmjegy hasznlatt.

------------------------------------------------------------------------

$TTL 3D
@       IN      SOA     land-5.com. root.land-5.com. (
                        199609206       ; serial, todays date + todays serial #
                        8H              ; refresh, seconds
                        2H              ; retry, seconds
                        4W              ; expire, seconds
                        1D )            ; minimum, seconds
                NS      land-5.com.
                NS      ns2.psi.net.
                MX      10 land-5.com.  ; Primary Mail Exchanger
                TXT     "LAND-5 Corporation"

localhost       A       127.0.0.1
router          A       206.6.177.1
land-5.com.     A       206.6.177.2
ns              A       206.6.177.3
www             A       207.159.141.192
ftp             CNAME   land-5.com.
mail            CNAME   land-5.com.
news            CNAME   land-5.com.
funn            A       206.6.177.2

;
;       Workstations
;
ws-177200       A       206.6.177.200
                MX      10 land-5.com.   ; Primary Mail Host
ws-177201       A       206.6.177.201
                MX      10 land-5.com.   ; Primary Mail Host
ws-177202       A       206.6.177.202
                MX      10 land-5.com.   ; Primary Mail Host
ws-177203       A       206.6.177.203
                MX      10 land-5.com.   ; Primary Mail Host
ws-177204       A       206.6.177.204
                MX      10 land-5.com.   ; Primary Mail Host
ws-177205       A       206.6.177.205
                MX      10 land-5.com.   ; Primary Mail Host
; {Many repetitive definitions deleted - SNIP}
ws-177250       A       206.6.177.250
                MX      10 land-5.com.   ; Primary Mail Host
ws-177251       A       206.6.177.251
                MX      10 land-5.com.   ; Primary Mail Host
ws-177252       A       206.6.177.252
                MX      10 land-5.com.   ; Primary Mail Host
ws-177253       A       206.6.177.253
                MX      10 land-5.com.   ; Primary Mail Host
ws-177254       A       206.6.177.254
                MX      10 land-5.com.   ; Primary Mail Host

------------------------------------------------------------------------

Ha megvizsglod a land-5 nvszervert, azt tallod, hogy a gpnevek
|ws_|/szm/ alakak. A 4-es BIND-tl kezdden a named elkezdte
szigortani a megktseket, hogy milyen karakterek szerepelhetnek a
gpnevekben. gy ez a 8-as BIND-el egyltaln nem mkdik, s n
kicserltem a "-"-re (ktjel) a "_"-t (alhzs) ebben a HOGYANban. De
ahogy azt korbban emltettem, a 9-es BIND nem erlteti mr ezt a megktst.

A msik figyelemre mlt dolog az, hogy a munkallomsoknak nincs egyedi
nevk, hanem csak egy eltagot kvet az IP utols kt rsze. Egy ilyen
megszoks hasznlata jelentsen leegyszerstheti a karbantartst, de
egy kicsit szemlytelennek tnhet, s lnyegben bosszsg forrsa lehet
az gyfeleid szmra.

Ltjuk azt is, hogy a |funn.land-5.com| egy lnv a |land-5.com|
szmra, de egy "A", s nem egy CNAME bejegyzs hasznlatval.


    7.5 /var/named/zone/206.6.177

Megjegyzseket ezen llomnyra lentebb teszek.

------------------------------------------------------------------------

$TTL 3D
@               IN      SOA     land-5.com. root.land-5.com. (
                                199609206       ; Serial
                                28800   ; Refresh
                                7200    ; Retry
                                604800  ; Expire
                                86400)  ; Minimum TTL
                        NS      land-5.com.
                        NS      ns2.psi.net.

;       Servers
;
1       PTR     router.land-5.com.
2       PTR     land-5.com.
2       PTR     funn.land-5.com.
;
;       Workstations
;
200     PTR     ws-177200.land-5.com.
201     PTR     ws-177201.land-5.com.
202     PTR     ws-177202.land-5.com.
203     PTR     ws-177203.land-5.com.
204     PTR     ws-177204.land-5.com.
205     PTR     ws-177205.land-5.com.
; {Many repetitive definitions deleted - SNIP}
250     PTR     ws-177250.land-5.com.
251     PTR     ws-177251.land-5.com.
252     PTR     ws-177252.land-5.com.
253     PTR     ws-177253.land-5.com.
254     PTR     ws-177254.land-5.com.

------------------------------------------------------------------------

A fordtott zna a bellts azon rsze, mely a legtbb fejtrst
okozhatja. Ezt arra hasznljuk, hogy megtalljuk a gpnevet, ha megvan a
gp cme. Plda: te egy FTP szerver vagy s kapcsolatokat fogadsz el FTP
kliensektl. Mivel te egy norvg FTP szerver vagy, tbb kapcsolatot
szeretnl fogadni norvgiai s ms skandinv llamokbeli kliensektl, s
kevesebbet a vilg tbbi rszrl. Ha kapcsolat rkezik egy klienstl, a
C fggvnyknyvtr kpes neked megmondani a csatlakoz gp IP cmt,
mert a kliens IP szmt tartalmazza az sszes csomag, amely tjtt a
hlzaton. Most meghvhatsz egy gethostbyaddr nev fggvnyt, mely
kikeresi az adott IP szm kliens nevt. A gethostbyaddr meg fogja
krdezni a DNS szervert, amely ezutn keresztlmegy a DNS-en a gpet
keresve. Ttelezzk fel, hogy a klienskapcsolat a
ws-177200.land-5.com-tl jn. Az IP szm, amit a C knyvtr tad az FTP
szervernek, a 206.6.177.200. A gp nevnek kitallshoz meg kell
tallnunk a |200.177.6.206.in-addr-arpa|-t. A DNS szerver elszr meg
fogja tallni az |arpa.| szervereket, majd megtallja az |in-addr.arpa|
szervereket, kvetve a fordtott sorrendet a 206-on, majd a 6-on
keresztl, vgl legutoljra megtallva a LAND-5-nl a szervert a
|177.6.206.in-addr-arpa| zna szmra. Amelytl vgl megkapja a
vlaszt, hogy a |200.177.6.206.in-addr.arpa| szmra a "|PTR
ws-177200.land-5.com|" bejegyzsnk van, ami azt jelenti, hogy a |/
206.6.177.200|-hoz tartoz nv a |ws-177200.land.com|.

Az FTP szerver elnyben rszesti a skandinv orszgok, azaz a | *.no|,
|*.se|, |*.dk| fell rkez kapcsolatokat, a |ws-177200.land-5.com|
egyrtelmen nem tartozik kzjk, s a szerver a kapcsolatot egy
alacsonyabb svszlessggel s kevesebb klienskapcsolati lehetsggel
rendelkez kapcsolati osztlyba sorolja. Ha /nem/ lenne fordtott
megfeleltetse a |206.2.177.200|-nak az |in-addr.arpa| zna ltal, a
szerver kptelen lenne megtallni a nevet, s a |206.2.177.200|-nek a
|*.no|, |*.se| s |*.dk|-val val sszehasonltsa alapjn kell
dntenie, melyek kzl egyik sem fog egyezni, st mg meg is tagadhatja
a kapcsolatot a besorols hinya miatt.

Pran azt fogjk mondani neked, hogy a fordtott lekrdezsek
hozzrendelse csak szerverek esetn fontos, vagy egyltaln nem fontos.
Nem gy van: sok ftp, news, IRC, st mg nhny http (WWW) szerver /nem/
fognak kapcsolatot fogadni olyan gpektl, melyek nevt kptelenek
megtallni. gy ht a fordtott hozzrendels valjban /ktelez/.


    8. Karbantarts

*zemben tarts.*

Van egy karbantartsi feladat, melyet meg kell tenned a named-eken - a
futtatson kvl. Ez pedig a |root.hints| llomny naprakszen tartsa.
A legegyszerbb md a |dig| hasznlata. Elszr futtasd a |dig|-et
argumentumok nlkl, akkor megkapod a |root.hints|-et a sajt szervered
alapjn. Ezutn krdezd le a felsorolt fszerverek egyikt a |dig
@rootserver| paranccsal. szre fogod venni, hogy a kimenet szrnyen
hasonl a root.hints llomnyhoz. Mentsd el egy llomnyba (|dig
@e.root-servers.net . ns > root.hints.new|), s cserld le a rgi
|root.hints| llomnyt vele.

Ne felejtsd el jra betlteni a named-et a gyorsttr-llomny cserje
utn.

Al Longyear elkldte nekem ezt a szkriptet, mely automatikusan
futtathat a |root.hints| frisstse rdekben. Telepts egy crontab
bejegyzst, hogy havonta egyszer lefusson, s el is felejtheted. A
szkript felttelezi, hogy a levelezsed mkdik, s hogy a "hostmaster"
cm meg van adva. Meg kell hackelned, hogy illeszkedjen a belltsaidhoz.

------------------------------------------------------------------------

#!/bin/sh
#
# Update the nameserver cache information file once per month.
# This is run automatically by a cron entry.
#
# Original by Al Longyear
# Updated for BIND 8 by Nicolai Langfeldt
# Miscelanious error-conditions reported by David A. Ranch
# Ping test suggested by Martin Foster
# named up-test suggested by Erik Bryer.
#
(
 echo "To: hostmaster <hostmaster>"
 echo "From: system <root>"

 # Is named up? Check the status of named.
 case `rndc status 2>&1` in
    *refused*)
        echo "named is DOWN. root.hints was NOT updated"
        echo
        exit 0
        ;;
 esac

 PATH=/sbin:/usr/sbin:/bin:/usr/bin:
 export PATH
 # NOTE: /var/named must be writable only by trusted users or this script
 # will cause root compromise/denial of service opportunities.
 cd /var/named 2>/dev/null || {
    echo "Subject: Cannot cd to /var/named, error $?"
    echo
    echo "The subject says it all"
    exit 1
 }

 # Are we online?  Ping a server at your ISP
 case `ping -qnc 1 some.machine.net 2>&1` in
   *'100% packet loss'*)
        echo "Subject: root.hints NOT updated.  The network is DOWN."
        echo
        echo "The subject says it all"
        exit 1
        ;;
 esac

 dig @e.root-servers.net . ns >root.hints.new 2> errors

 case `cat root.hints.new` in
   *NOERROR*)
        # It worked
        :;;
   *)
        echo "Subject: The root.hints file update has FAILED."
        echo
        echo "The root.hints update has failed"
        echo "This is the dig output reported:"
        echo
        cat root.hints.new errors
        exit 1
        ;;
 esac

 echo "Subject: The root.hints file has been updated"

 echo
 echo "The root.hints file has been updated to contain the following
information:"
 echo
 cat root.hints.new

 chown root.root root.hints.new
 chmod 444 root.hints.new
 rm -f root.hints.old errors
 mv root.hints root.hints.old
 mv root.hints.new root.hints
 rndc restart
 echo
 echo "The nameserver has been restarted to ensure that the update is complete."
 echo "The previous root.hints file is now called
/var/named/root.hints.old."
) 2>&1 | /usr/lib/sendmail -t
exit 0

------------------------------------------------------------------------

Nhnyan kzletek felfigyelhettek r, hogy a |root.hints| llomny
elrhet ftp-vel az Internic-rl is. Krlek, ne hasznld az ftp-t a
|root.hints| frisstshez, a fentebb emltett mdszer sokkal
bartsgosabb a hlzat s az Internic szmra.


    9. tlls 9-es BIND-re

A 9-es BIND terjeszts - s az elre elksztett vltozatok szintn -
tartalmaz egy |migration| nev dokumentumot, amely megjegyzseket
tartalmaz azt illeten, hogy hogyan lljunk t 8-as BIND-rl 9-es
BIND-re. A dokumentum nagyon lnyegre tr. Ha binris csomagokat
teleptettl, felteheten valahol a |/usr/share/doc/bind*|-ban vagy a
|/usr/doc/bind*|-ban van trolva.

Ha 4-es BIND-et futtatsz, a |migration-4to9| dokumentumot ugyanazon a
helyen tallhatod.


    10. Krdsek s vlaszok

Krlek olvasd t ezt a fejezetet, mieltt rsz nekem.

   1. A named-em egy named.boot llomnyt akar

      Rossz HOGYANt olvasol. Krlek nzd meg ezen HOGYAN rgebbi
      vltozatt, amely a 4-es BIND-rl szl, a
      http://langfeldt.net/DNS-HOWTO/ cmen.

   2. Hogy hasznlhatom egy tzfal mgl?

      Segtsg: |forward only;|. Szksged lehet mg a

      ------------------------------------------------------------------------

  query-source port 53;

      ------------------------------------------------------------------------

      sorra a |named.conf| llomny "options" rszn bell, ahogy az a
      pldnak bemutatott A felold, gyorsttras nvszerver <#caching>
      fejezetben javasoltam.

   3. Mit tegyek, hogy a DNS krbeforogjon egy szolgltats elrhet
      cmein, mondjuk a www.busy.site-on, hogy terhelseloszt vagy
      valami hasonl hatst rjek el?

      Csinlj tbb *A* bejegyzst a |www.busy.site| szmra, s 4.9.3-as
      vagy ksbbi BIND-et hasznlj. Ekkor a BIND round-robin rendszer
      alapjn fogja szolgltatni a vlaszokat. Ez /nem/ fog mkdni a
      BIND korbbi vltozataival.

   4. DNS-t akarok belltani egy (zrt) bels hlzaton. Mit csinljak?

      Kihagyod a |root.hints| llomnyt, s csak a znallomnyokat
      kszted el. Ez azt is jelenti, hogy nem kell llandan
      tbaigazt llomnyokat letltened.

   5. Hogyan kell belltani egy msodlagos (slave) nvszervert?

      Ha az elsdleges szerver cme 127.0.0.1, egy ehhez hasonl sort
      szrsz be a msodlagos szervered named.conf llomnyba:

      ------------------------------------------------------------------------

  zone "linux.bogus" {
        type slave;
        file "sz/linux.bogus";
        masters { 127.0.0.1; };
  };

      ------------------------------------------------------------------------

      Tbb klnbz elsdleges szervert is felsorolhatsz a masters
      listn bell, ";"-vel (pontosvessz) elvlasztva, melyekrl a zna
      lemsolhat.

   6. Futtatni akarom a BIND-et, amikor nem vagyok kapcsoldva a
      hlzathoz.

      Ngy lehetsg van:

          * A 8/9-es BIND-re vonatkozan, Adam L.Rice ezt a levelet
            kldte nekem arrl, hogyan futtassuk fjdalommentesen a
            DNS-t egy betrcszs gpen:

                | |


A BIND jabb vltozatainl felfedeztem, hogy ez a kavars az
llomnyokkal tbb nem szksges. Van egy "forward" (tovbbts) direktva
a "forwarders" (tovbbtk) direktva mellett, amely a hasznlatukat ellenrzi.
Az alap bellts a "forward first" (elszr tovbbtsd), amely
legelszr megkrdezi a tovbbtk mindegyikt, s ezutn prblja
a rendes megkzeltst, azaz a munka sajt kez elvgzst, ha ez nem sikerl.
Ezzel a gethostbyname() norml viselkedsse szokatlanul hossz idt
vesz ignybe, amikor a kapcsolat nincs meg. De ha a "forward only" (csak
tovbbtsd) van belltva, akkor a BIND feladja ha nem kap vlaszt a
tovbbtktl, s a gethostbyname() azonnal visszatr. Ennlfogva nincs
szksg bvszmutatvnyokra az /etc knyvtrban lev llomnyokkal, s a szerver jraindtsra.

Az n esetemben, csak hozzadtam a

forward only;
forwarders { 193.133.58.5; };

sorokat a named.conf llomnyom options { } fejezethez. Nagyon szpen
mkdik. Ennek egyetlen htrnya az, hogy degradlja a DNS szoftver
egy hihetetlenl szofisztiklt rszt egy buta gyorsttrr. Bizonyos
mrtkben, n csak egy buta gyorsttrat szeretnk futtatni a DNS
helyett, de gy tnik, nincs egy ilyen fajta elrhet szoftver Linuxra.

          * Ezt a levelet Ian Clark-tl <ic@deakin.edu.au> kaptam,
            amiben az  mdszert magyarzza erre:

                | |

Named-et futtatok itt a "Masquerading" gpemen. Van kt root.hints
llomnyom, az egyik neve root.hints.real, amely a valdi fszerver-
neveket tartalmazza, a msik root.hints.fake, amely ezt tartalmazza:

----
; root.hints.fake
; this file contains no information
----

Ha kapcsolat nlkli zemmdba megyek t, tmsolom a root.hints.fake
llomnyt a root.hints-be, s jraindtom a named-et.

Ha kapcsoldom, tmsolom a root.hints.real-t a root.hints-be, s
jraindtom a named-et.

Illetve ezt az ip-down s az ip-up teszi meg.
Amikor elszr vgzek egy lekrdezst kapcsolat nlkl egy olyan
tartomnynvre, amelyrl a named nem tudja a rszleteket, egy ilyen bejegyzst rak a messages-be:

Jan 28 20:10:11 hazchem named[10147]: No root nameserver for class IN

amivel egytt tudok lni.

Ez biztosan mkdik szmomra. Hasznlhatom a nvszervert a helyi
gpek esetben, amikor a Net ll, a kls tartomnynevekhez tartoz
idtllpsi ksleltets nlkl, s mikor a Hln vagyok, a kls
tartomnynevekre vonatkoz lekrdezsek rendben mkdnek

            Peter Denison azonban gy vlte, Ian nem ment el elg
            messzire. Ezt rja:

                | |

Kapcsoldva)    szolgltatja az eltrolt (s helyi hlzati) bejegyzseket azonnal
a nem gyorsttrazott bejegyzsek esetn, tovbbtja az ISP nvszerverem fel
Kapcsolat nlkl) kiszolglja a helyi hlzati lekrdezseket azonnal
ms lekrdezsek esetn **azonnal** hibt ad

A f gyorsttras llomny cserjnek s a lekrdezsek tovbbtsnak
kombincija nem mkdik.

gy ht, (a helyi Linux Felhasznlk Csoportjval val nmi konzultci utn)
kt named-et lltottam be a kvetkez mdon:

named-online:   tovbbt az ISP nvszervere fel
                mester a helyi hlzati zna szmra
                mester a helyi hlzati fordtott zna szmra (1.168.192.in-addr.arpa)
                mester a 0.0.127.in-addr.arpa szmra
                a 60053-as porton figyel

named-offline:  nincs tovbbts
                "l" f gyorsttras llomny
                szolga a 3 helyi zna szmra (a mester a 127.0.0.1:60053)
                a 61053-as porton figyel

s kombinltam ezt a port-tovbbtssal, hogy az 53-as portot elkldje a 61053-ra, ha
kapcsolat nlkl vagyok, s a 60053-ra, ha csatlakoztam. (Az j netfilter csomagot
hasznlom 2.3.18 alatt, de a rgi (ipchains) mdszernek is mkdnie kell.)

Figyelem, ez nem fog pikk-pakk mkdni, mivel van egy apr hiba a 8.2-es
BIND-ben, melyet mr jelentettem a fejlesztknek, hogy megakadlyozza egy msodlagos szerver
ltrehozst az elsdlegessel megegyez IP cmen (mg ha kln porton is). Ez egy
egyszer foltozs, s remlem, nemsokra belekerl.

          * Kaptam informcit arrl is Karl-Max Wanger-tl, hogyan hat
            egymsra a BIND az NFS-el s a portmapper-rel egy
            nagyobbrszt kapcsolat nlkli gpen:

                | |


Futtatni szoktam a sajt named-emet az sszes gpemen, melyek csak
alkalmilag csatlakoznak az Internetre modemen keresztl. A nvszerver
csak gyorsttrknt mkdik, nincs jogosultsgi terlete, s mindenrt
a root.cache llomnyban lev nvszervereket krdezi vissza. Ahogy az a
Slackware-nl megszokott, az nfsd s a mountd eltt van indtva.

Egyik gpemmel (egy Libretto 30-as notebookal) az volt a problmm,
hogy nha fel tudtam csatolni egy msik, a helyi LAN-omra csatlakozott
rendszerrl, de nagyobbrszt ez nem mkdtt. Ugyanez volt a jelensg,
fggetlenl attl, hogy PLIP-et, egy PCMCIA ethernet krtyt vagy soros
eszkzn keresztli PPP-t hasznltam.

Nmi tallgats s ksrletezs utn azt fedeztem fel, hogy
a named minden bizonnyal belerondt az nfsd s mountd regisztrcis folyamatba,
amit indulskor a portmapper-rel kell elvgeznik (Ezeket a dmonokat
szoks szerint bootolskor indtom). A named indtsa az nfsd s a mountd
utn teljesen semlegestette ezt a problmt.

Mivel nincsenek vrhat htrnyai az ilyen mdostott boot szekvencinak,
ajnlom, hogy mindenki tegyen gy az esetleges gondok elkerlse vgett.

   7. Hol trolja a gyorsttras nvszerver a gyorsttrt? Van r
      brmi md, hogy ellenrizzem a gyorsttr mrett?

      A gyorsttr teljes mrtkben a memriban van trolva, soha
      /nem/ kerl kirsra a lemezre. Valamennyiszer lelvd a named-et,
      a gyorsttr elveszik. A gyorsttr semmilyen mdon /nem/
      ellenrizhet, a named gondozza nhny egyszer szably alapjn,
      s ennyi. Nem ellenrizheted a gyorsttrat, vagy annak mrett
      semmilyen mdon s semmikpp. Ha akarod, "kijavthatod" ezt a
      named hackelsvel. Ez azonban nem ajnlott.

   8. Lementi a named a gyorsttrat az jraindtsok kztt?
      Megcsinlhatom, hogy gy legyen?

      Nem, a named /nem/ menti le, ha meghal. Ez azt jelenti, hogy a
      gyorsttrat jra fel kell pteni minden alkalommal, amikor
      lelvd s jraindtod a named-et. /Nincs/ md r, hogy rvedd a
      named-et, hogy lementse gyorsttrt egy llomnyba. Ha akarod,
      "kijavthatod" ezt a named hackelsvel. Ez azonban nem ajnlott.

   9. Hogyan szerezhetek be egy tartomnyt? Fel akarom lltani
      (pldul) a |linux-rules.net| nev tartomnyomat. Hogyan tehetem
      meg, hogy az ltalam kvnt tartomnyt hozzm rendeljk?

      Krlek lpj kapcsolatba a hlzati szolgltatddal. k kpesek
      lesznek segteni neked. Krlek vedd figyelembe, hogy a vilg
      legtbb rszn pnzt kell fizetned egy tartomnyrt.

  10. Hogyan tehetem biztonsgoss a DNS szerveremet? Hogyan llthatok
      be felosztott DNS-t?

      Mindkett halad tma. A
      http://www.etherboy.com/dns/chrootdns.html honlap szl rluk. Nem
      fogom ezeket a tmkat tovbb magyarzni itt.


    11. Hogyan vlhatok kpzettebb DNS adminn?

*Dokumentci s eszkzk.*

Ltezik Valdi Dokumentci. Azonnal olvashat (online) s nyomtatott.
Ezek kzl nhny elolvassa kvetelmny a kezd DNS adminbl egy halad
adminn vlshoz.

Megrtam a /The Concise Guide to DNS and BIND/ (Nicolai Langfeldt, n)
knyvet, kiadta a Que (ISBN 0-7897-2273-9). A knyv hasonlatos ehhez a
HOGYANhoz, csak rszletesebb, s mindenbl sokkal tbb van benne. Le van
fordtva lengyelre is, s /DNS i BIND/ kiadva a Helion ltal (
http://helion.pl/ksiazki/dnsbin.htm, ISBN 83-7197-446-9). Most van
negyedik kiadsban a /DNS and BIND/ Cricket Liu-tl s P. Albitz-tl az
O'Reilly & Associates gondozsban (ISBN 0-937175-82-X, elszeretettel
nevezve a Cricket knyvnek). Egy msik knyv a /Linux DNS Server
Administration/, Craig Hunt-tl, a Sybex kiadsban (ISBN 0782127363),
mg nem olvastam el. Egy msik kvetelmny a kpzett DNS adminisztrtor
szmra a /Zen and the Art of Motorcycle Maintenance/ Robert M. Pirsig-tl.

Megtallhatod a knyvemet azonnal olvashat formban (online), ms
knyvek tonnival egytt, amelyek elektronikusan elrhetk mint
elfizetses szolgltats a http://safari.informit.com/ honlapon. Van
mg anyag a http://www.dns.net/dnsrd/ (DNS Resources Directory),
http://www.isc.org/bind.html cmen; Egy GYIK, egy referencia kziknyv
(az ARM-nak szintn benne kell lennie a BIND disztribciban) ppgy,
mint paprok s protokoll defincik, s DNS hackek (ezeket, s a
legtbb, ha nem az sszes, lentebb emltett RFC-t, szintn tartalmazza a
DNS disztribci). Tbbsgt nem olvastam. A
news:comp.protocols.tcp-ip.domains hrcsoport a DNS-rl szl. Ezekhez
addan van egy pr RFC a DNS-rl, a legfontosabbak valsznleg az itt
felsoroltak. Azok, melyeknek van BCP (Best Current Practice - Legjobb
Jelenlegi Gyakorlat) szma, /ersen ajnlottak/.

*/RFC 2671/ P. Vixie, /Extension Mechanisms for DNS (EDNS0)/ 1999
augusztus. (DNS kiterjesztsi mechanizmusok)*
*/RFC 2317/*

    BCP 20, H. Eidnes et. al. /Classless IN-ADDR.ARPA delegation/, 1998
    mrcius. (Osztlyon kvli IN-ADDR.ARPA delegls) Ez a CIDR-rl
    szl, vagy az osztlyon kvli alhlzatok fordtott lekrdezsrl.

*/RFC 2308/*

    M. Andrews, /Negative Caching of DNS Queries/, 1998 mrcius. (A DNS
    lekrdezsek negatv gyorsttrazsa) A negatv gyorsttrazsrl
    s a $TTL znallomny direktvrl.

*/RFC 2219/*

    BCP 17, M. Hamilton and R. Wright, /Use of DNS Aliases for Network
    Services/, 1997 oktber. (A DNS lnevek hasznlata hlzati
    szolgltatsok cljra) A CNAME hasznlatrl.

*/RFC 2182/*

    BCP 16, R. Elz et. al., /Selection and Operation of Secondary DNS
    Servers/, 1997 jlius. (A msodlagos DNS szerverek kivlasztsa s
    mkdtetse)

*/RFC 2052/*

    A. Gulbrandsen, P. Vixie, /A DNS RR for specifying the location of
    services (DNS SRV)/, October 1996 (Egy DNS RR a szolgltatsok
    helymeghatrozsra)

*/RFC 1918/*

    Y. Rekhter, R. Moskowitz, D. Karrenberg, G. de Groot, E. Lear,
    /Address Allocation for Private Internets/, 1996.02.29.
    (Cmlefoglals magn Internetek szmra)

*/RFC 1912/*

    D. Barr, /Common DNS Operational and Configuration Errors/,
    1996.02.28. (Gyakori zemeltetsi s belltsi DNS hibk)

*/RFC 1912 Errors/*

    B. Barr //Errors in RFC 1912/. (Hibk az RFC 1912-ben/ Csak a
    http://www.cis.ohio-state.edu/~barr/rfc1912-errors.html cmen rhet el.

*/RFC 1713/*

    A. Romao, /Tools for DNS debugging/, 1994.11.03. (A DNS hibakeress
    eszkzei)

*/RFC 1712/*

    C. Farrell, M. Schulze, S. Pleitner, D. Baldoni, /DNS Encoding of
    Geographical Location/, 1994.11.01. (A fldrajzi helyek DNS-be kdolsa)

*/RFC 1183/*

    R. Ullmann, P. Mockapetris, L. Mamakos, C. Everhart, /New DNS RR
    Definitions/, 1990.10.08. (j DNS RR meghatrozsok)

*/RFC 1035/*

    P. Mockapetris, /Domain names - implementation and specification/,
    1987.11.01. (Tartomnynevek - implementci s specifikci)

*/RFC 1034/*

    P. Mockapetris, /Domain names - concepts and facilities/,
    1987.11.01. (Tartomnynevek - fogalmak s lehetsgek)

*/RFC 1033/*

    M. Lottor, /Domain administrators operations guide/, 1987.1.01.
    (Tartomny-adminisztrtorok zemelteti tmutatja)

*/RFC 1032/*

    M. Stahl, /Domain administrators guide/, 1987.11.01.

    (Tartomny-adminisztrtorok tmutatja)

*/RFC 974/*

    C. Partridge, /Mail routing and the domain system/, 1986.01.01.
    (Levltovbbts s a tartomnyrendszer)

