Методические материалы Лохтурова Вячеслава

User Tools

Site Tools

Trace: сервис_dns
сервис_dns

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision 		Previous revision
сервис_dns [2025/11/27 09:20]
val [Автоматическое обновление сертификатов LetsEncrypt для внутренних сайтов] 		сервис_dns [2026/04/03 14:19] (current)
val [Настройка журнала]
Line 402: Line 402:
  
 Настройка сервера Настройка сервера
- 
- 
  
 === Debian/​Ubuntu === === Debian/​Ubuntu ===
Line 440: Line 438:
 root@server:​~#​ service bind9 restart root@server:​~#​ service bind9 restart
 </​code>​ </​code>​
 +
 +
 +
 ==== Настройка поддержки динамических обновлений от DHCP сервера ==== ==== Настройка поддержки динамических обновлений от DHCP сервера ====
  
Line 493: Line 494:
  
   * [[Let'​s Encrypt для внутренних сайтов]]   * [[Let'​s Encrypt для внутренних сайтов]]
 +
 +=== Черновик 1 ===
 <​code>​ <​code>​
 ns.domain1.mgtu.ru:​~#​ vim /​etc/​bind/​domain1.mgtu.ru ns.domain1.mgtu.ru:​~#​ vim /​etc/​bind/​domain1.mgtu.ru
Line 565: Line 568:
  
  ​certbot certonly --dns-rfc2136 --dns-rfc2136-credentials /​etc/​certbot-credentials.ini -d '​site4.domain1.mgtu.ru'​ -d '​*.site4.domain1.mgtu.ru'​  ​certbot certonly --dns-rfc2136 --dns-rfc2136-credentials /​etc/​certbot-credentials.ini -d '​site4.domain1.mgtu.ru'​ -d '​*.site4.domain1.mgtu.ru'​
 +</​code>​
 +=== Черновик 2 ===
 +<​code>​
 +rndc-confgen -a -A hmac-sha512 -k "​certbot."​ -c /​etc/​bind/​certbot.key
 +
 +valtest:~# chmod 640 /​etc/​bind/​certbot.key
 +
 +more /​etc/​bind/​certbot.key
 +
 +valtest:~# cat /​etc/​bind/​named.conf
 +...
 +include "/​etc/​bind/​certbot.key";​
 +
 +sudo -u bind vim /​var/​lib/​bind/​_acme-challenge.valtest.bmstu.ru
 +
 +valtest:~# cat /​var/​lib/​bind/​_acme-challenge.valtest.bmstu.ru
 +$TTL 300        ; 5 minutes
 +_acme-challenge.valtest.bmstu.ru. IN SOA valtest.bmstu.ru. val.bmstu.ru. (
 +                                2020050828 ; serial
 +                                10800      ; refresh (3 hours)
 +                                3600       ; retry (1 hour)
 +                                86400      ; expire (1 week)
 +                                86400      ; minimum (1 day)
 +                                )
 +                        NS      valtest.bmstu.ru.
 +                        NS      ns.bmstu.ru.
 +$TTL 60         ; 1 minute
 +                         ​TXT ​    "​127.0.0.8"​
 +
 +
 +valtest:~# cat /​etc/​bind/​named.conf.local
 +...
 +zone "​_acme-challenge.valtest.bmstu.ru"​ {
 +        type master;
 +        file "/​var/​lib/​bind/​_acme-challenge.valtest.bmstu.ru";​
 +        allow-transfer {195.19.32.2;​};​
 +        update-policy {
 +                grant certbot. name _acme-challenge.valtest.bmstu.ru. txt;
 +        };
 +};
 +
 +valtest:~# nsupdate -k /​etc/​bind/​certbot.key
 +> server 127.0.0.1
 +> zone _acme-challenge.valtest.bmstu.ru
 +> update add _acme-challenge.valtest.bmstu.ru. 300 IN TXT "​your_txt_record_data 1"
 +> send
 +
 +valtest:~# dig TXT _acme-challenge.valtest.bmstu.ru
 +
 +root@ns:~# named-compilezone -f raw -F text -o - _acme-challenge.valtest.bmstu.ru /​var/​cache/​bind/​ru/​_acme-challenge.valtest.bmstu
 +
 +valtest:~# rndc sync _acme-challenge.valtest.bmstu.ru
 +
 +
 +valtest:~# rndc freeze _acme-challenge.valtest.bmstu.ru.
 +valtest:~# sudo -u bind vim /​var/​lib/​bind/​_acme-challenge.valtest.bmstu.ru
 +valtest:~# rndc thaw _acme-challenge.valtest.bmstu.ru.
 +
 +
 +valtest:~# ###cat /​var/​lib/​bind/​_acme-challenge.valtest.bmstu.ru
 +
 +
 +
 +Nov 19 14:51:06 ns named[213146]:​ zone _acme-challenge.valtest.bmstu.ru/​IN/​common:​ refresh: unexpected rcode (SERVFAIL) from primary 195.19.40.42#​53 (source 0.0.0.0#0)
 +
 +
 +
 +apt-get install python3-certbot-dns-rfc2136
 +
 +valtest:~# cat /​etc/​bind/​certbot-credentials.ini
 +# Target DNS server
 +dns_rfc2136_server = 127.0.0.1
 +# Target DNS port
 +dns_rfc2136_port = 53
 +# TSIG key name
 +dns_rfc2136_name = certbot.
 +# TSIG key secret
 +dns_rfc2136_secret = Pba+bPbB8/​fxhEl70BTgIz3ljrEPlq/​msjkiaI7+X8gkQI7WwM6B4GQVifvkUIjd6TQFqc+x0rddefn1s8VgIA==
 +# TSIG key algorithm
 +dns_rfc2136_algorithm = HMAC-SHA512
 +
 +
 +chmod 640 /​etc/​bind/​certbot-credentials.ini
 +
 +certbot certonly --dns-rfc2136 --dns-rfc2136-credentials /​etc/​bind/​certbot-credentials.ini -d '​valtest.bmstu.ru'​ -d '​*.valtest.bmstu.ru'​ --dry-run
 </​code>​ </​code>​
 ==== Ограничение доступа к DNS серверу ==== ==== Ограничение доступа к DNS серверу ====
Line 621: Line 709:
 recursion - число запросов,​ потребовавших рекурсивной обработки recursion - число запросов,​ потребовавших рекурсивной обработки
 failure - число ошибок,​ кроме nxrrset и nxdomain failure - число ошибок,​ кроме nxrrset и nxdomain
 +</​code>​
 +
 +==== unbound ====
 +
 +  * [[https://​habr.com/​ru/​articles/​996732/​|Настраиваем безопасный DNS: приватность,​ DNSSEC и DoT на практике]]
 +
 +<​code>​
 +gate# cat /​etc/​unbound/​unbound.conf.d/​corp13.conf
 +</​code><​code>​
 +server:
 +    interface: 0.0.0.0
 +    port: 53
 +    access-control:​ 127.0.0.0/8 allow
 +    access-control:​ 192.168.0.0/​16 allow
 +    log-queries:​ yes
 +
 +    #​module-config:​ "​iterator"​
 +    domain-insecure:​ "​corp13.un."​
 +    forward-zone:​
 +        name: "​corp13.un."​
 +        forward-addr:​ 192.168.13.10
 +</​code><​code>​
 +# unbound-checkconf
 </​code>​ </​code>​
сервис_dns.1764224433.txt.gz · Last modified: 2025/11/27 09:20 by val

Page Tools

Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Run on Debian Driven by DokuWiki