
                                  DNS HOGYAN

Nicolai Langfeldt (dns-howto[at]langfeldt.net), Jamie Norrish s msok

   v9.0, 2001.12.20
     _________________________________________________________________

   HOGYAN legynk rvid id alatt DNS-adminisztrtorok.
     _________________________________________________________________

1. Elsz

   Kulcsszavak: DNS, BIND, BIND 4, BIND 8, BIND 9, named, dialup, PPP,
   slip, ISDN, Internet, domain, name, resolution, hosts, caching.

   Ez a dokumentum a Linux Dokumentcis Projekt rsze.

1.1 Szerzi jog

   (C)opyright 1995-2001 Nicolai Langfeldt, Jamie Norrish & Co. Ne
   vltoztasd a szerzi jogi rsz helyesbtse nlkl, terjeszd
   szabadon, de tartsd meg a szerzi jogi megjegyzst.

1.2 Ksznetnyilvntsok s segtsgkrs

   Meg szeretnm ksznni mindenkinek, akit zavartam e HOGYAN olvassval
   (k tudjk), s az sszes olvasnak, akik javaslataikat s
   megjegyzseiket elkldtk levlben.

   Ez soha nem lesz egy vgleges dokumentum; krlek, kldj egy levelet
   problmidrl s sikereidrl. Ezzel jobb teheted ezt a HOGYANt.
   Krlek, a megjegyzseidet s/vagy krdseidet vagy a pnzt kldd a
   janl@langfeldt.net <janl@langfeldt.net> cmre. Vagy vedd meg a DNS
   knyvemet (a cme "The Concise Guide to DNS and BIND", az
   irodalomjegyzkben megtallhatk az ISBN szmok). Ha levelet kldesz,
   s szeretnl vlaszt r, krlek, mutass egy kis udvariassgot azzal,
   hogy megbizonyosodsz rla, hogy a vlaszcm helyes s mkdik.
   Krlek, olvasd el a [1]Krdsek s vlaszok fejezetet, mieltt rsz
   nekem. Egy msik dolog, hogy csak norvgl s angolul rtek.

   Ez egy HOGYAN. 1995 ta tartottam karban, az LDP rszeknt. 2000
   folyamn megrtam egy knyvet hasonl trggyal. Szeretnm elmondani,
   hogy br ez a HOGYAN sok tekintetben olyan, mint egy knyv, ez nem a
   letisztzott, piacra ksztett knyvvltozat. Ezen HOGYAN olvasi
   segtettek annak felismersben, hogy mi az, amit nehz megrteni a
   DNS-rl. Ez segtett a knyv megrsban, de a knyv szintn segtett
   tbbet gondolkodnom azon, hogy ennek a HOGYANnak mire van szksge. A
   HOGYAN hozta ltre a knyvet. A knyv hozta ltre e HOGYAN 3-as
   vltozatt. Ksznetem a knyvkiadnak, Que-nak, aki adott egy eslyt
   :-)

1.3 Ajnls

   Ajnlom ezt a HOGYANt Anne Line Norheim Langfeldt-nek. Br 
   valsznleg soha sem fogja elolvasni, mert nem az a fajta lny.

1.4 Frisstett vltozatok

   Eme HOGYAN frisstett vltozatait megtallhatod a
   [2]http://langfeldt.net/DNS-HOWTO/ s a [3]http://www.tldp.org/
   oldalon is. Olvasd el azokat is, ha ez a dokumentum 9 hnapnl
   regebb.

1.5 Magyar fordts

   A magyar fordtst [4]Fri Zoltn ksztette (2003.05.06). A
   lektorlst [5]Szjjrt Lszl vgezte el (2003.07.01). Brmilyen
   fordtssal kapcsolatos szrevtelt a [6]linuxhowto@sch.bme.hu cmre
   kldjetek. Eme dokumentum legfrissebb vltozata megtallhat a
   [7]Magyar Linux Dokumentcis Projekt honlapjn.

2. Bevezets

   Mi ez, s mi nem

   A DNS a Domain Name Server (Domain Nv Szerver). A DNS talaktja a
   gpneveket IP cmekk, amellyel minden hlzati gp rendelkezik. A
   nevet cmm, s a cmet nvv fordtja (vagy "mappeli", ahogy a
   zsargon hvja), s mg egyb feladatokat is ellt. Ez a HOGYAN azt
   dokumentlja, hogyan definiljunk ilyen megfeleltetseket Unix
   rendszer hasznlatval, pr Linux-specifikus dologgal egytt.

   A mappels egy egyszer megfeleltets kt dolog kztt, ez esetben
   egy gpnv, pldul /ftp.linux.org/, s a gp IP szma (vagy cme),
   199.249.150.4 kztt. A DNS szintgy tartalmazza a msik irny
   megfeleltetst is IP szmbl gpnvv; ennek neve "fordtott
   megfeleltets" (reverse mapping).

   A DNS, a beavatatlanok szmra (ez vagy te ;-), a hlzati
   adminisztrci egyik legkdsebb terlete. Szerencsre a DNS valjban
   nem ilyen nehz. Ez a HOGYAN megprbl egy pr dolgot vilgosabb
   tenni. Lerja egy egyszer DNS nvszerver fellltst, kezdve egy
   csak gyorsttras szerverrel, s folytatva egy tartomny szmra egy
   elsdleges DNS szerver fellltsval. Bonyolultabb belltsokhoz
   tnzheted ezen dokumentum [8]Krdsek s vlaszok fejezett. Ha az
   nincs lerva ott, el kell olvasnod a Valdi Dokumentcit. Az
   [9]utols fejezetben visszatrek r, mit is tartalmaz ez a Valdi
   Dokumentci.

   Mieltt belekezdesz, be kell lltanod a gpedet, hogy be tudj r, s
   ki tudj rla telnetelni, s sikerljn mindenfle hlzati
   kapcsolatokat ltrehozni, valamint klnsen fontos, hogy kpes legyl
   a telnet 127.0.0.1 parancsot kiadni, s a sajt gpedet elrni
   (prbld ki most!). Kiindulsknt szksged lesz mg j, mkd
   /etc/nsswitch.conf/, /etc/resolv.conf/ s /etc/hosts/ llomnyokra is,
   br funkcijukat nem fogom itt elmagyarzni. Ha mg nincs mindez
   belltva s nem mkdik, a Networking-HOWTO (Hlzatok-HOGYAN)
   s/vagy a Networking-Overview-HOWTO (Hlzatok-ttekints-HOGYAN)
   elmagyarzza, hogyan kell ezeket belltani. Olvasd el ket.

   Amikor azt mondom "a te gped", arra a gpre gondolok, amelyiken a
   DNS-t prblod belltani, s nem akrmelyik msik gpet, amely a
   hlzati krnyezetedben megtallhat.

   Felttelezem, hogy nem vagy olyan tzfal mgtt, amely blokkolja a
   nvlekrdezseket. Ha mgis, klnleges belltsokra lesz szksged -
   lsd a [10]Krdsek s vlaszok fejezetet.

   A nvszolgltatst UNIX alatt a named program vgzi. Ez rsze a "BIND"
   csomagnak, mely fejlesztst a The Internet Software Consortium
   koordinlja. A named programot tartalmazza a legtbb Linux
   disztribci, s ltalban /usr/sbin/named programknt van teleptve,
   a csomag ksztjnek hbortjtl fgg kis- vagy nagybets BIND
   csomagbl.

   Ha van egy named programod, valsznleg hasznlhatod; ha nincs,
   beszerezhetsz egyet a Linux ftp oldalrl, vagy letltheted a legutols
   s legnagyszerbb forrskdot az [11]ftp://ftp.isc.org/isc/bind9/
   webhelyrl. Ez a HOGYAN a 9-es verzij BIND-rl szl. A HOGYAN
   rgebbi vltozatai, a 4-es s 8-as verzij BIND-rl, mg mindig
   elrhetk a [12]http://langfeldt.net/DNS-HOWTO/ honlapon, abban az
   esetben, ha 4-es vagy 8-as verzij BIND-et hasznlsz (mellkesen, ezt
   a HOGYANt is megtallhatod ott). Ha a named kziknyv oldala (man
   page) a named.conf llomnyrl beszl (a legeslegvgn, a FILES
   (LLOMNYOK) fejezetben), 8-as BIND-ed van; ha named.boot llomnyrl
   van sz, 4-es BIND-ed van. Ha 4-esed van, s tudatosan a biztonsgra
   trekszel, tnyleg frisstened kell a 8-as BIND legfrissebb
   vltozatra. Most.

   A DNS egy hlzati szint adatbzis. Vigyzz, mit raksz bele. Ha
   szemetet raksz bele, te s msok is szemetet fognak kinyerni belle.
   Tartsd DNS-ed rendben s konzisztensen, s egy j szolgltatst fogsz
   kapni. Tanuld meg hasznlni, adminisztrlni, megkeresni hibit, s egy
   jabb j rendszergazda leszel, aki megvdi a hlzatot attl, hogy
   "megfekdjn" a flremenedzsels miatt.

   Tipp: Kszts biztonsgi msolatot az sszes llomnyrl, amelynek
   megvltoztatsra utastalak, ha mr megvannak, gy ha esetleg semmi
   sem mkdik, visszajuthatsz a rgi, mkd llapotba.

2.1 Ms nvszerver megvalstsok

   Ezt a fejezetet Joost van Baal rta.

   Klnbz csomagok lteznek DNS szerver teleptshez a gpedre. Van a
   BIND csomag ( [13]http://www.isc.org/products/BIND/); a megvalsts,
   amirl ez a HOGYAN szl. Ez a legnpszerbb nvszerver mindenfel,
   s szerte az Interneten a nvszolgltat gpeinek dnt tbbsgn ezt
   hasznljk, s az 1980-as vek ta fejlesztik. A BSD licenc felttelei
   szerint hasznlhat. Mivel ez a legnpszerbb programcsomag, egy
   csom dokumentci s tudsanyag tallhat a BIND-rl mindenfel.
   Azonban biztonsgi problmk voltak vele.

   Aztn van a djbdns ( [14]http://djbdns.org/), egy viszonylag j DNS
   csomag, amelyet Daniel J. Bernstein ksztett, aki a qmail programot
   is rta. Ez egy nagyon modulris kszlet: klnbz kis programok
   gondoskodnak a klnbz feladatokrl, amit egy nvszervernek
   kezelnie kell. A biztonsg szempontjnak figyelembe vtelvel
   terveztk. Egy egyszerbb zna-llomny formtumot hasznl, s
   ltalnossgban egyszerbb belltani. Azonban, mivel kevsb ismert,
   a helyi guru nem biztos, hogy segthet vele kapcsolatban. Sajnos ez a
   szoftver nem nylt forrskd. A szerz hirdetse a
   [15]http://cr.yp.to/djbdns/ad.html honlapon tallhat.

   Hogy DJB szoftvere tnyleg fejlds-e a rgi alternatvkkal szemben,
   sok vita trgyt kpezi. Az ISC csapata otthont ad egy beszlgetsnek
   (vagy inkbb anyzsnak?) a BIND kontra djbdns-rl a
   [16]http://www.isc.org/ml-archives/bind-users/2000/08/msg01075.html
   honlapon.

3. A felold, gyorsttras nvszerver

   Az els ugrs a DNS belltshoz. Nagyon hasznos betrcszs,
   kbel-modemes, ADSL s hasonl felhasznlk szmra.

   A Red Hat s a Red Hat-hoz kapcsold disztribcik esetn ezen HOGYAN
   els fejezethez hasonl gyakorlati eredmny rhet el a bind,
   bind-utils s caching-nameserver csomagok teleptsvel. Ha Debiant
   hasznlsz, egyszeren csak teleptsd a bind (vagy a bind9 csomagot,
   mivel jelenleg a BIND 9-est nem tmogatja a Debian Stable (potato)) s
   a bind-doc csomagot. Persze csak ezen csomagok teleptsvel nem
   tanulsz annyit, mint e HOGYAN olvassval. Szval teleptsd a
   csomagokat, azutn olvass tovbb, s ellenrizd az ltaluk teleptett
   llomnyokat.

   A gyorsttras nvszerver megtallja a vlaszt a nvlekrdezsekre,
   s megjegyzi a vlaszt a legkzelebbi alkalomig, amikor szksged lesz
   r. Ez jelentsen le fogja rvidteni a vrakozsi idt a kvetkez
   alkalommal, klnsen ha lass a kapcsolatod.

   Elszr szksged lesz egy /etc/named.conf nev llomnyra
   (Debianban: /etc/bind/named.conf). Ez betltdik amikor a named
   elindul. Egyelre csak ezt kell tartalmaznia:
     _________________________________________________________________

// Konfigurcis llomny kizrlag gyorsttras nvszerver szmra
//
// A HOGYAN ezen vltozata tartalmazhat a sor elejn szkzket
// tartalmaz sorokat ebben s ms llomnyokban. El kell tvoltanod
// a szkzket, hogy bizonyos dolgok mkdjenek.
//
// Figyelem, az llomnynevek s a knyvtrak nevei klnbzhetnek, m
// a lnyegi tartalmuknak hasonlnak kell lennik.

options {
        directory "/var/named";
        // E sor engedlyezse segthet, ha tzfalon keresztl kell
        // tmenned, s a dolog nem mkdik. De valsznleg beszlned
        // kell a tzfal adminisztrtorval.
        // query-source port 53;
};

controls {
        inet 127.0.0.1 allow { localhost; } keys { rndc_key; };
};

key "rndc_key" {
        algorithm hmac-md5;
        secret "c3Ryb25nIGVub3VnaCBmb3IgYSBtYW4gYnV0IG1hZGUgZm9yIGEgd29tYW4K";
};

zone "." {
        type hint;
        file "root.hints";
};

zone "0.0.127.in-addr.arpa" {
        type master;
        file "pz/127.0.0";
};
     _________________________________________________________________

   A Linux disztribcis csomagok eltr llomnyneveket hasznlhatnak
   minden egyes, itt emltett llomnytpusra; azonban kzel ugyanazt
   fogjk tartalmazni.

   A "directory" sor megmondja a named programnak, hol keresse az
   llomnyokat. Minden ezutn megnevezett llomny ehhez lesz
   viszonytva. Teht a pz egy knyvtr a /var/named alatt, azaz
   megegyezik a /var/named/pz knyvtrral. A /var/named a helyes
   knyvtr, a Linux Fjlrendszer Szabvny alapjn.

   A /var/named/root.hints llomny is megemltdik benne. A
   /var/named/root.hints llomnynak ezt kell tartalmaznia:
     _________________________________________________________________


;
; Nyit megjegyzsek lehetnek itt, ha mr megvan ez az llomnyod.
; Ha nem, ne aggdj.
;
; A kezd szkzkrl a sorok elejn: tvoltsd el ket!
; A sornak egy ;-vel, .-tal vagy betvel kell kezddnik, nem szkzzel.
;
.                       6D  IN      NS      A.ROOT-SERVERS.NET.
.                       6D  IN      NS      B.ROOT-SERVERS.NET.
.                       6D  IN      NS      C.ROOT-SERVERS.NET.
.                       6D  IN      NS      D.ROOT-SERVERS.NET.
.                       6D  IN      NS      E.ROOT-SERVERS.NET.
.                       6D  IN      NS      F.ROOT-SERVERS.NET.
.                       6D  IN      NS      G.ROOT-SERVERS.NET.
.                       6D  IN      NS      H.ROOT-SERVERS.NET.
.                       6D  IN      NS      I.ROOT-SERVERS.NET.
.                       6D  IN      NS      J.ROOT-SERVERS.NET.
.                       6D  IN      NS      K.ROOT-SERVERS.NET.
.                       6D  IN      NS      L.ROOT-SERVERS.NET.
.                       6D  IN      NS      M.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET.     6D  IN      A       198.41.0.4
B.ROOT-SERVERS.NET.     6D  IN      A       128.9.0.107
C.ROOT-SERVERS.NET.     6D  IN      A       192.33.4.12
D.ROOT-SERVERS.NET.     6D  IN      A       128.8.10.90
E.ROOT-SERVERS.NET.     6D  IN      A       192.203.230.10
F.ROOT-SERVERS.NET.     6D  IN      A       192.5.5.241
G.ROOT-SERVERS.NET.     6D  IN      A       192.112.36.4
H.ROOT-SERVERS.NET.     6D  IN      A       128.63.2.53
I.ROOT-SERVERS.NET.     6D  IN      A       192.36.148.17
J.ROOT-SERVERS.NET.     6D  IN      A       198.41.0.10
K.ROOT-SERVERS.NET.     6D  IN      A       193.0.14.129
L.ROOT-SERVERS.NET.     6D  IN      A       198.32.64.12
M.ROOT-SERVERS.NET.     6D  IN      A       202.12.27.33
     _________________________________________________________________

   Ez az llomny rja le a f nvszervereket a vilgban. A szerverek
   idrl idre vltoznak, s frissteni kell ket most s ksbb
   is. A [17]Karbantarts fejezetben olvashatsz ezek naprakszen
   tartsrl.

   A kvetkez rsz a named.conf llomnyban a zone (zna). Hasznlatt
   egy ksbbi fejezetben fogom elmagyarzni; most csak nevezzk el ezt
   az llomnyt 127.0.0-nak a pz alknyvtrban. (jfent, krlek tvoltsd
   el a sor eleji szkzket, ha kivgod s beilleszted ezt.)
     _________________________________________________________________


$TTL 3D
@               IN      SOA     ns.linux.bogus. hostmaster.linux.bogus. (
                                1       ; Serial
                                8H      ; Refresh
                                2H      ; Retry
                                4W      ; Expire
                                1D)     ; Minimum TTL
                        NS      ns.linux.bogus.
1                       PTR     localhost.
     _________________________________________________________________

   A key s a control rszek azt hatrozzk meg, hogy a named programod
   tvolrl irnythat az rndc programmal ha egy helyi llomsrl
   kapcsoldik, ekkor egy kdolt titkos kulccsal azonostja magt. Ez a
   kulcs olyan, mint egy jelsz. Az rndc mkdshez az /etc/rndc.conf
   llomnynak meg kell egyeznie ezzel:
     _________________________________________________________________

key rndc_key {
    algorithm "hmac-md5";
    secret "c3Ryb25nIGVub3VnaCBmb3IgYSBtYW4gYnV0IG1hZGUgZm9yIGEgd29tYW4K";
};

options {
    default-server localhost;
    default-key    rndc_key;
};
     _________________________________________________________________

   Amint ltod, a secret bejegyzsek megegyeznek. Ha az rndc programot
   egy msik gprl szeretnd hasznlni, a kt gp egymshoz
   viszonytott rendszeridejnek 5 percen bell kell lennie. Ehhez
   ajnlom az ntp (xntpd s ntpdate) szoftvert.

   s most, szksged lesz egy ehhez hasonl /etc/resolv.conf llomnyra:
   (jfent: Tvoltsd el a szkzket!)
     _________________________________________________________________

search altartomny.a-te-tartomnyod.edu a-te-tartomnyod.edu
nameserver 127.0.0.1
     _________________________________________________________________

   A "search" sor hatrozza meg, milyen tartomnyban trtnjen a keress
   az llomsok utn, amelyekhez kapcsoldni akarsz. A "nameserver" sor
   hatrozza meg a nvszervered cmt, ebben az esetben a sajt gpedet,
   mert ez az, ahol a named programod fut (a 127.0.0.1 cm helyes, nem
   szmt, ha a gpednek van egy msik cme is). Ha tbb nvszervert
   akarsz felsorolni, rakd mindegyiket egy-egy "nameserver" sorba.
   (Megjegyzs: A named soha nem olvassa el ezt az llomnyt, a named
   programot hasznl felold teszi ezt. Megjegyzs 2: Nhny resolv.conf
   llomnyban a "domain" sort tallod. Ez helyes, de ne hasznld a
   "search" s a "domain" kulcsszt is egyszerre, csak az egyikk fog
   mkdni.)

   Annak bemutatsra, hogy ez az llomny mit csinl: Ha az gyfl
   megprblja kikeresni a foo-t, akkor a
   foo.altartomny.a-te-tartomnyod.edu-t prblja elszr, majd a
   foo.a-te-tartomnyod.edu-t, s vgl a foo-t. Ne akarj tl sok
   tartomnyt rakni a keressorba, mivel mindet vgigkeresni idt vesz
   ignybe.

   A plda felttelezi, hogy az altartomny.a-te-tartomnyod.edu
   tartomnyba tartozol. A keressornak nem szabad tartalmaznia a
   legfels tartomnyodat (TLD - Top Level Domain), ebben az esetben az
   "ed-t. Ha gyakran kell kapcsoldnod msik tartomnyban lev
   llomsokhoz, hozzadhatod azt a tartomnyt a keressorhoz, gy: (Ne
   felejtsd el eltvoltani a szkzket a sor elejn, ha vannak)
     _________________________________________________________________

search altartomny.a-te-tartomnyod.edu a-te-tartomnyod.edu msik-tartomny.co
m
     _________________________________________________________________

   s gy tovbb. Nyilvnvalan valdi tartomnyneveket kell helyettk
   beraknod. Krlek figyeld meg a tartomnynevek vgn a pontok hinyt.
   Ez fontos!

3.1 A named indtsa

   Mindezek utn itt az id a named indtsra. Ha betrcszs
   kapcsolatot hasznlsz, elszr csatlakozz. Most indtsd a named-et,
   vagy a boot szkript futtatsval: /etc/init.d/named start, vagy a
   named-et kzvetlenl: /usr/sbin/named. Ha kiprbltad a BIND elz
   verziit, valsznleg az ndc-t hasznltad. A BIND 9-ben ezt az rndc
   program vltotta fel, ami tvolrl vezrelheti a named-et, de mr nem
   tudja a named-et indtani. Ha megnzed a rendszerzenetek
   naplllomnyt (ltalban /var/log/messages, a Debianban
   /var/log/daemon, meg lehet mg keresni a /var/log egy msik
   llomnyban is), mialatt indtod a named-et (ezt a tail -f
   /var/log/messages-el teheted meg), valami ilyesmit kell ltnod:

   (a \-el vgzd sorok a kvetkez sorban folytatdnak)

Dec 23 02:21:12 lookfar named[11031]: starting BIND 9.1.3
Dec 23 02:21:12 lookfar named[11031]: using 1 CPU
Dec 23 02:21:12 lookfar named[11034]: loading configuration from \
    '/etc/named.conf'
Dec 23 02:21:12 lookfar named[11034]: the default for the \
    'auth-nxdomain' option is now 'no'
Dec 23 02:21:12 lookfar named[11034]: no IPv6 interfaces found
Dec 23 02:21:12 lookfar named[11034]: listening on IPv4 interface lo, \
    127.0.0.1#53
Dec 23 02:21:12 lookfar named[11034]: listening on IPv4 interface eth0, \
    10.0.0.129#53
Dec 23 02:21:12 lookfar named[11034]: command channel listening on \
    127.0.0.1#953
Dec 23 02:21:13 lookfar named[11034]: running

   Ha brmilyen hibazenet megjelenik, akkor ott hiba van. A named
   megnevezi az llomnyt, amit pp olvas. Menj vissza, s ellenrizd le
   az llomnyt. Indtsd jbl a named-et, ha megjavtottad.

   Most letesztelheted a belltsodat. Hagyomnyosan az nslookup
   hasznlatos erre. Napjainkban azonban mr a dig ajnlott:

$ dig -x 127.0.0.1
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26669
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;1.0.0.127.in-addr.arpa.                IN      PTR

;; ANSWER SECTION:
1.0.0.127.in-addr.arpa. 259200  IN      PTR     localhost.

;; AUTHORITY SECTION:
0.0.127.in-addr.arpa.   259200  IN      NS      ns.linux.bogus.

;; Query time: 3 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 02:26:17 2001
;; MSG SIZE  rcvd: 91

   Ha ilyen zeneteket kaptl, akkor mkdik. Remljk. Ha brmi
   teljesen eltrt kapsz, menj vissza, s ellenrizz le mindent.
   Minden alkalommal, amikor megvltoztatsz egy llomnyt, futtasd az
   rndc reload parancsot.

   Most mr beadhatsz egy lekrdezst. Prblj meg valami hozzd kzeli
   gpet. A pat.uio.no kzel van hozzm, az Osli Egyetemen:

$ dig pat.uio.no
; <<>> DiG 9.1.3 <<>> pat.uio.no
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15574
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 0

;; QUESTION SECTION:
;pat.uio.no.                    IN      A

;; ANSWER SECTION:
pat.uio.no.             86400   IN      A       129.240.130.16

;; AUTHORITY SECTION:
uio.no.                 86400   IN      NS      nissen.uio.no.
uio.no.                 86400   IN      NS      nn.uninett.no.
uio.no.                 86400   IN      NS      ifi.uio.no.

;; Query time: 651 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 02:28:35 2001
;; MSG SIZE  rcvd: 108

   Ezttal a dig megkrte a named-et, hogy keresse meg a pat.uio.no
   gpet. Az pedig kapcsoldott a root.hints llomnyodban lev egyik
   nvszerver gphez, s lekrdezte az tvonalt onnan. Eltarthat egy
   rpke pillanatig, mg megkapod az eredmnyt, mivel vgig kell keresnie
   az sszes tartomnyt, amit a /etc/resolv.conf-ban megneveztl.

   Ha mg egyszer lekrdezed ugyanazt, ezt kapod:

$ dig pat.uio.no

; <<>> DiG 8.2 <<>> pat.uio.no
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3
;; QUERY SECTION:
;;      pat.uio.no, type = A, class = IN

;; ANSWER SECTION:
pat.uio.no.             23h59m58s IN A  129.240.130.16

;; AUTHORITY SECTION:
UIO.NO.                 23h59m58s IN NS  nissen.UIO.NO.
UIO.NO.                 23h59m58s IN NS  ifi.UIO.NO.
UIO.NO.                 23h59m58s IN NS  nn.uninett.NO.

;; ADDITIONAL SECTION:
nissen.UIO.NO.          23h59m58s IN A  129.240.2.3
ifi.UIO.NO.             1d23h59m58s IN A  129.240.64.2
nn.uninett.NO.          1d23h59m58s IN A  158.38.0.181

;; Total query time: 4 msec
;; FROM: lookfar to SERVER: default -- 127.0.0.1
;; WHEN: Sat Dec 16 00:23:09 2000
;; MSG SIZE  sent: 28  rcvd: 162

   Ahogy azt nyilvnvalan lthatod, ezttal ez sokkal gyorsabb volt, 4
   ms a korbbi tbb, mint fl msodperccel ellenttben. A vlasz benne
   volt a gyorsttrban. A gyorsttrban lv eredmnyeknl esly van
   arra, hogy mr elavult, de az eredeti szerverek befolysolhatjk azt
   az idt, amg a letrolt vlaszok rvnyesknt lesznek nyilvntartva.
   Vgl is nagy a valsznsg arra, hogy a kapott vlasz rvnyes.

3.2 Nvfelolds

   Minden opercis rendszer, ami a C API szabvnyt alkalmazza,
   rendelkezik a gethostbyname s a gethostbyaddr hvsokkal. Ezek
   klnbz forrsokbl szerezhetik be az informcit. Hogy melyik
   forrsbl szerzik ezt be, az Linux (s egyes Unix) rendszereken az
   /etc/nsswitch.conf llomnyban van belltva. Ez egy hossz llomny,
   amely megadja mely llomnyokbl vagy adatbzisokbl szerezhetk be
   klnbz adattpusok. ltalban hasznos megjegyzseket tartalmaz a
   fejlcben, melyeket krltekinten olvass el. Ezutn keresd meg a
   "hosts:" kulcsszval kezdd sort; gy kell kinznie:
     _________________________________________________________________

hosts:      files dns
     _________________________________________________________________

   (Emlkszel mg a szkzkre a sor elejn? Nem akarom jra
   megemlteni.)

   Ha nincs "hosts:" kulcsszval kezdd sor, szrd be a fentieket.
   Ezek a sorok azt jelentik, hogy a programoknak elszr a /etc/hosts
   llomnyban kell keresnik, majd leellenrzik a DNS-t a resolv.conf
   llomny alapjn.

3.3 Gratullok

   Most mr tudod, hogyan kell belltani a gyorsttras named-et. Bonts
   egy srt, tejet, vagy brmit, amivel nnepelni szeretsz.

4. Tovbbts (forwarding)

   Nagy, jl szervezett, egyetemi vagy Internet szolgltati (ISP)
   hlzatokban nha megfigyelheted, hogy a hlzati szakemberek a DNS
   szerverek tovbbti hierarchijt hoztk ltre, ami segt a bels
   hlzati terhels cskkentsben, s a kls szerverekn gyszintn.
   Nem knny megtudni, hogy egy ilyen hlzatban vagy-e. De ha a
   hlzati szolgltatd DNS szervert "tovbbtknt" hasznlod, a
   lekrdezsekre adott reakcikat gyorsabb teheted, s cskkentheted a
   forgalmat a hlzatodon. Ez a te nvszervered lekrdezseinek az ISP
   nvszervere fel trtn tovbbtsval mkdik. Minden egyes
   alkalommal, amikor ilyen trtnik, az ISP nvszervernek nagy
   gyorsttrba nylsz bele, gy felgyorstva a lekrdezseket,
   nvszerverednek pedig nem kell mindent magnak vgeznie. Ha modemet
   hasznlsz ez nagy elny lehet. A plda kedvrt ttelezzk fel, hogy
   a hlzati szolgltatdnak kt nvszervere van amiket hasznlni
   akarsz, 10.0.0.1 s 10.1.0.1 IP cmekkel. Ebben az esetben a
   named.conf llomnyodba, az "options" kulcsszval kezdd rszbe
   szrd be ezeket a sorokat:
     _________________________________________________________________

           forward first;
           forwarders {
                10.0.0.1;
                10.1.0.1;
            };
     _________________________________________________________________

   Van mg egy szp trkk a tovbbtkat hasznl betrcszs gpek
   szmra, amely a [18]Krdsek s vlaszok fejezetben van lerva.

   Indtsd jra a nvszerveredet, s teszteld a dig-el. Mg mindig
   rendben kell mkdnie.

5. Egy egyszer tartomny

   Hogyan kell fellltani a sajt tartomnyodat?

5.1 De elszr egy kis szraz elmlet

   Mindenekeltt: elolvastad az sszes cuccot ez eltt, ugye? Erre
   szksg van.

   Mieltt tnyleg elkezdjk ezt a fejezetet, kzzteszek egy kis
   elmletet, s egy pldt, hogyan mkdik a DNS. s te el fogod
   olvasni, mert az j neked. Ha nem akarod, legalbb fusd t nagyon
   gyorsan. Fejezd be a futst, ha oda rsz, hogy minek kell a named.conf
   llomnyodba kerlnie.

   A DNS egy hierarchikus, fa struktrj rendszer. A tetejt "."-nak
   rjk s "gykr"-nek (root) ejtik, ahogy az megszokott a fa-tpus
   adatstruktrknl. A . alatt szmos legfelsbb szint tartomny (TLD
   - Top Level Domain) van; a legismertebbek az ORG, COM, EDU s a NET,
   de mg sok ms is van. ppgy mint a fnak, ennek is van gykere s
   elgazik. Ha van egy kis szmtstechnikai httered, a DNS-t, mint egy
   keresft azonosthatod, s megtallhatod a csompontokat, az gakat
   s a cscsokat. A pontok a csompontok, a cscsok a neveken vannak.

   Egy gp keressekor a lekrdezs rekurzv mdon halad a hierarchiban,
   a gykrtl kiindulva. Ha a prep.ai.mit.edu cmt akarod megtallni,
   a nvszerverednek el kell kezdenie valahol. A gyorsttrban val
   keresssel kezdi. Ha ebben megvan a vlasz mert korbban eltrolta,
   azonnal vlaszolni fog, ahogy ezt a legutbbi fejezetben lttuk. Ha
   nem tudja, megnzi milyen kzeli vlaszt tud adni a keresett nvhez,
   s felhasznl brmilyen informcit, amit mr eltrolt. A legrosszabb
   esetben nincs ms tallata, csak a nv "."-ja (gykere), s a
   fszerverekhez kell fordulni. El fogja tvoltani a baloldali
   rszeket, egyenknt ellenrizve, hogy tud-e valamit az ai.mit.edu.
   tartomnyrl, utna a mit.edu.-rl, utna az edu.-rl, s ha nem,
   utna a .-rl, mert ez volt a hints llomnyban. Ezutn megkrdezi a .
   szervert a prep.ai.mit.edu tartomnyrl. Ez a . szerver nem fogja
   tudni a vlaszt, de segteni fog a szerverednek a sajt mdjn egy
   hivatkozs megadsval, amellyel megmondja, hol keressen inkbb. Ezek
   a hivatkozsok a szerveredet vgl ahhoz a nvszerverhez vezetik,
   amelyik tudja a vlaszt. Most ezt fogom bemutatni. A +norec azt
   jelenti, hogy a dig egy nem-rekurzv lekrdezst vgez, gy a
   rekurzit magunknak kell elvgeznnk. A tbbi opci a dig folyamat
   cskkentsre vannak, gy ez nem fog tbb oldalon t futni:

$ ;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 980
;; flags: qr ra; QUERY: 1, ANSWER: 0, AUTHORITY: 13, ADDITIONAL: 0

;; AUTHORITY SECTION:
.                       518400  IN      NS      J.ROOT-SERVERS.NET.
.                       518400  IN      NS      K.ROOT-SERVERS.NET.
.                       518400  IN      NS      L.ROOT-SERVERS.NET.
.                       518400  IN      NS      M.ROOT-SERVERS.NET.

.                       518400  IN      NS      A.ROOT-SERVERS.NET.
.                       518400  IN      NS      B.ROOT-SERVERS.NET.
.                       518400  IN      NS      C.ROOT-SERVERS.NET.
.                       518400  IN      NS      D.ROOT-SERVERS.NET.
.                       518400  IN      NS      E.ROOT-SERVERS.NET.
.                       518400  IN      NS      F.ROOT-SERVERS.NET.
.                       518400  IN      NS      G.ROOT-SERVERS.NET.
.                       518400  IN      NS      H.ROOT-SERVERS.NET.
.                       518400  IN      NS      I.ROOT-SERVERS.NET.

   Ez egy hivatkozs. Ez csak egy felgyeleti rszt ("Authority section")
   hoz ltre neknk, vlasz rszt ("Answer section") pedig nem. A sajt
   nvszervernk egy nvszerverhez kld tovbb. Vlasszunk ki
   vletlenszeren egyet:

$ dig +norec +noques +nostats +nocmd prep.ai.mit.edu. @D.ROOT-SERVERS.NET.
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58260
;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 3, ADDITIONAL: 3

;; AUTHORITY SECTION:
mit.edu.                172800  IN      NS      BITSY.mit.edu.
mit.edu.                172800  IN      NS      STRAWB.mit.edu.
mit.edu.                172800  IN      NS      W20NS.mit.edu.

;; ADDITIONAL SECTION:
BITSY.mit.edu.          172800  IN      A       18.72.0.3
STRAWB.mit.edu.         172800  IN      A       18.71.0.151
W20NS.mit.edu.          172800  IN      A       18.70.0.160

   Ez azonnal a MIT.EDU szerverhez kld minket. jra vlasszuk ki egyet
   vletlenszeren:

$ dig +norec +noques +nostats +nocmd prep.ai.mit.edu. @BITSY.mit.edu.
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29227
;; flags: qr ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4

;; ANSWER SECTION:
prep.ai.mit.edu.        10562   IN      A       198.186.203.77

;; AUTHORITY SECTION:
ai.mit.edu.             21600   IN      NS      FEDEX.ai.mit.edu.
ai.mit.edu.             21600   IN      NS      LIFE.ai.mit.edu.
ai.mit.edu.             21600   IN      NS      ALPHA-BITS.ai.mit.edu.
ai.mit.edu.             21600   IN      NS      BEET-CHEX.ai.mit.edu.

;; ADDITIONAL SECTION:
FEDEX.ai.mit.edu.       21600   IN      A       192.148.252.43
LIFE.ai.mit.edu.        21600   IN      A       128.52.32.80
ALPHA-BITS.ai.mit.edu.  21600   IN      A       128.52.32.5
BEET-CHEX.ai.mit.edu.   21600   IN      A       128.52.32.22

   Ezttal kapunk egy "ANSWER SECTION"-t, s vlaszt a krdsnkre. Az
   "AUTHORITY SECTION" azt az informcit tartalmazza, hogy mely
   szervereket krdezzk legkzelebb az ai.mit.edu-rl. gy, kvetkez
   alkalommal amikor az ai.mit.edu nevekrl kvncsiskodsz, kzvetlenl
   ket krdezheted. A named informcit gyjttt a mit.edu-rl is, gy
   legkzelebb ha a www.mit.edu lekrdezse fordul el, sokkal knnyebb
   lesz majd megvlaszolni a krdst.

   gy a .-tl kezdden a hivatkozsok alapjn megtalltuk az egyms
   utni nvszervereket, a tartomnynv minden egyes szintjhez. Ha a
   sajt DNS szerveredet hasznltad volna mindezen szerverek helyett, a
   named-ed termszetesen eltrolta volna mindezt az informcit amit a
   kutakods sorn tallt, s egy ideig nem kellene jra lekrdeznie.

   A fa-analgiban minden "." a nvben egy elgazsi pont, s minden
   rsz a "."-ok kztt az egyes gak nevei a fn. A fa bejrsakor
   fogjuk a nevet amit keresnk (prep.ai.mit.edu), megkrdezve a gykeret
   (.) vagy brmelyik szervert a gykrtl a prep.ai.mit.edu fel,
   amelyikrl van informcink a gyorsttrban. Ha a gyorsttr elri
   kapacitsnak hatrait, a rekurzv felold a kls szervereket
   krdezi le, kvetve a hivatkozsokat (leket) tovbb a nvben.

   Valamivel kevesebbet beszltnk rla, de ppoly fontos az in-addr.arpa
   tartomny. Ez is pp gy szervezett, mint a "kznsges" tartomnyok.
   Az in-addr.arpa lehetv teszi szmunkra, hogy megkapjuk az lloms
   nevt, ha megvan a cme. Egy fontos dolog, amit meg kell jegyezni,
   hogy az IP cmek fordtott sorrendben vannak rva az in-addr.arpa
   tartomnyban. Ha egy gpnek a cme: 198.186.203.77, a named a keresst
   a 77.203.168.198.in-addr.arpa-ra vgzi, ppgy, ahogy azt a
   prep.ai.mi.edu-ra tette. Plda: Ha nem tallsz egyetlen tallati
   bejegyzst a gyorsttrban csak a "."-ot, krdezz le egy fszervert,
   az m.root-servers.net valamelyik msik fszerverhez irnyt. A
   b.root-servers.net kzvetlenl a bitsy.mit.edu tartomnyhoz irnyt.
   Onnan mr kpes leszel leszedni.

5.2 A sajt tartomnyunk

   Most kvetkezik a sajt tartomnyunk meghatrozsa. A linux.bogus
   tartomnyt fogjuk ltrehozni, s megadjuk a gpeket benne. Egy
   teljesen hamis tartomnynevet hasznlok, hogy biztos ne zavarjunk
   senkit Ott Kint.

   Mg egy dolog, mieltt elkezdjk: Nem minden karakter megengedett a
   gpnevekben. Az angol bc betire vagyunk korltozva: a-z, s a 0-9
   szmok s a "-" (ktjel) karakter. Tartsd magad ezekhez a
   karakterekhez (a 9-es BIND nem fog hibsan mkdni, ha megszeged ezt
   a szablyt, de a 8-as BIND igen). A kis- s nagybetk egyformk a DNS
   szmra, teht a pat.uio.no megegyezik a Pat.UiO.No-val.

   Mr elkezdtk ezt a rszt a named.conf-ban ezzel a sorral:
     _________________________________________________________________

zone "0.0.127.in-addr.arpa" {
        type master;
        file "pz/127.0.0";
};
     _________________________________________________________________

   Krlek, vedd szre a "." hinyt a tartomnynevek vgn ebben az
   llomnyban. Azt jelenti, hogy mi most a 0.0.127.in-addr.arpa znt
   fogjuk megadni, hogy mi vagyunk a mesterszerver szmra, s hogy a
   pz/127.0.0 llomnyban van trolva. Mr belltottuk ezt az llomnyt:
     _________________________________________________________________

$TTL 3D
@               IN      SOA     ns.linux.bogus. hostmaster.linux.bogus. (
                                1       ; Serial
                                8H      ; Refresh
                                2H      ; Retry
                                4W      ; Expire
                                1D)     ; Minimum TTL
                        NS      ns.linux.bogus.
1                       PTR     localhost.
     _________________________________________________________________

   Krlek, vedd szre a "."-ot a teljes tartomnynevek vgn ebben az
   llomnyban, ellenttben a fenti named.conf llomnnyal. Egyesek
   szeretnek minden znallomnyt az //$ORIGIN direktvval kezdeni, de
   ez felesleges. Egy znallomny eredete (ahov a DNS hierarchiban
   tartozik) a named.conf llomny zna fejezetben van meghatrozva;
   ebben az esetben ez a 0.0.127.in-addr.arpa.

   Ez a "znallomny" 3 "erforrsbejegyzst" (RR - resource record)
   tartalmaz: egy SOA RR-t, egy NS RR-t s egy PTR RR-t. A SOA a
   Jogosultsg Kezdetnek a rvidtse (SOA - Start Of Authority). A "@"
   egy specilis jel ami az eredetet jelenti, s mivel a "tartomny"
   oszlop ezen llomny esetn az 0.0.127.in-addr-arpa-t tartalmazza, az
   els sor valjban ezt jelenti:

0.0.127.in-addr.arpa.   IN      SOA ...

   Az NS a Nvszerver RR. Itt nincs "@" a sor elejn; magtl rtetd,
   mivel az elz sor egy "@"-el kezddtt. Ez megtakart egy kis
   gpelst. Teht az NS sort gy is lehet rni:

0.0.127.in-addr.arpa.   IN      NS      ns.linux.bogus

   Ez megmondja a DNS-nek, melyik gp a 0.0.127.in-addr.arpa tartomny
   nvszervere, ez az ns.linux.bogus. Az "ns" egy szokvnyos nv a
   nvszerverek szmra, ppgy, mint a web szerverek esetben, amiknek
   szokvnyosan www.valami a nevk. A nv brmi lehet.

   Vgl a PTR (Tartomny Nv Mutat) bejegyzs megmondja, hogy a
   0.0.127.in-addr.arpa alhlzat 1-es cmn, azaz a 127.0.0.1 cmen
   tallhat gp neve localhost.

   A SOA bejegyzs a bevezet az sszes znallomnyhoz, s pontosan
   egynek kell lennie minden egyes znallomnyban, a tetejn (de a $TTL
   direktva utn). Ez lerja a znt, honnan szrmazik (egy
   ns.linux.bogus nev gprl), ki felels annak tartalmrt
   (hostmaster@linux.bogus, a sajt e-mail cmedet kell idernod), melyik
   vltozat znallomny ez (serial: 1), s egyb, a gyorsttrazssal
   s a msodlagos DNS szerverekkel kapcsolatos dolgokat. A maradk
   mezk (refresh - frissts, retry - jraprblkozs, expire - lejrat
   s minimum) tekintetben hasznld az ebben a HOGYANban hasznlt
   szmokat, s nem lesz baj. A SOA el jn egy ktelez sor, a $TTL 3D.
   Rakd bele az sszes znallomnyodba.

   Most indtsd jra a named-et (rndc stop; named) s hasznld a dig-et
   gyeskedsed megvizsglshoz. A -x fordtott lekrdezst kr:

$ dig -x 127.0.0.1
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30944
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;1.0.0.127.in-addr.arpa.                IN      PTR

;; ANSWER SECTION:
1.0.0.127.in-addr.arpa. 259200  IN      PTR     localhost.

;; AUTHORITY SECTION:
0.0.127.in-addr.arpa.   259200  IN      NS      ns.linux.bogus.

;; Query time: 3 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:02:39 2001
;; MSG SIZE  rcvd: 91

   Szval ez gondoskodik arrl, hogy a 127.0.0.1-bl localhost-ot
   kapjunk; rendben. Most a f clunk, a linux.bogus tartomny
   rdekben, szrjunk be egy j "zone" rszt a named.conf llomnyba:
     _________________________________________________________________

zone "linux.bogus" {
        type master;
        notify no;
        file "pz/linux.bogus";
};
     _________________________________________________________________

   Figyeld meg jbl a named.conf llomnyban a tartomnynv vgn a "."
   hinyt.

   A linux.bogus znallomnya berakunk nmi teljesen valtlan adatot:
     _________________________________________________________________

;
; Zone file for linux.bogus
;
; The full zone file
;
$TTL 3D
@       IN      SOA     ns.linux.bogus. hostmaster.linux.bogus. (
                        199802151       ; serial, todays date + todays serial #

                        8H              ; refresh, seconds
                        2H              ; retry, seconds
                        4W              ; expire, seconds
                        1D )            ; minimum, seconds
;
                NS      ns              ; Inet Address of name server
                MX      10 mail.linux.bogus     ; Primary Mail Exchanger
                MX      20 mail.friend.bogus.   ; Secondary Mail Exchanger
;
localhost       A       127.0.0.1
ns              A       192.168.196.2
mail            A       192.168.196.4
     _________________________________________________________________

   Kt dolgot meg kell jegyezni a SOA bejegyzsrl. Az
   ns.linux.bogus-nak egy "A" bejegyzssel rendelkez valdi gpnek kell
   lennie. Nem megengedett az SOA bejegyzsben emltett gphez CNAME
   bejegyzst rendelni. A nevnek nem kell "ns"-nek lennie, brmely vals
   gp neve lehet. Az ezt kvet hostmaster.linux.bogus-t
   hostmaster@linux.bogus-nak kell olvasni. Ennek egy olyan levlcmnek
   kell lennie, amelyet a DNS-t karbantart szemly, vagy szemlyek
   gyakran olvasnak. Brmely, a tartomnnyal kapcsolatos levl az itt
   megadott cmre lesz elkldve. A nvnek nem kell "hostmaster"-nek
   lennie, lehet ez a rendes e-mail cmed, de a "hostmaster" e-mail cm
   ltezse sokszor szintn elvrs.

   Egy j RR tpus tallhat ebben az llomnyban, az MX, vagy a Mail
   eXchanger (levlkiszolgl) RR. Ez megmondja a levelezrendszereknek,
   hova legyen kldve a valaki@linux.bogus-nak cmzett levl, nv szerint
   a mail.linux.bogus-nak, vagy a mail.friend.bogus-nak. A szm minden
   gp neve eltt az adott MX RR prioritsa. A legkisebb szmmal (10)
   rendelkez RR az, amelyik, ha lehetsges a levelet kapni fogja. Ha ez
   nem sikerl, a levelet el lehet kldeni egy magasabb szmmal
   rendelkeznek, egy msodlagos levlkezelnek, azaz a
   mail.friend.bogus-nak, amelynek a prioritsa itt 20.

   Tltsk be a tartomnyokat jbl az rndc reload futtatsval.
   Vizsgljuk meg az eredmnyeket a dig-el:


$ dig any linux.bogus
; <<>> DiG 9.1.3 <<>> any linux.bogus
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55239
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;linux.bogus.               IN      ANY

;; ANSWER SECTION:
linux.bogus.        259200  IN      SOA     ns.linux.bogus. \
      hostmaster.linux.bogus. 199802151 28800 7200 2419200 86400
linux.bogus.        259200  IN      NS      ns.linux.bogus.
linux.bogus.        259200  IN      MX      20 mail.friend.bogus.
linux.bogus.        259200  IN      MX      10 mail.linux.bogus.linux.bogus.

;; AUTHORITY SECTION:
linux.bogus.        259200  IN      NS      ns.linux.bogus.

;; ADDITIONAL SECTION:
ns.linux.bogus.     259200  IN      A       192.168.196.2

;; Query time: 4 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:06:45 2001
;; MSG SIZE  rcvd: 184

   Alapos vizsglat utn egy hibt fogsz tallni. A

linux.bogus.        259200  IN MX        10 mail.linux.bogus.linux.bogus.

   sor teljesen rossz. Ennek gy kellene kinznie:

linux.bogus.        259200  IN MX        10 mail.linux.bogus.

   Szndkosan hibt vtettem, gyhogy tanulhatsz belle :-)
   Beletekintve a znallomnyba ezt a sort talljuk:

               MX      10 mail.linux.bogus     ; Primary Mail Exchanger

   Hinyzik egy pont. Vagy a "linux.bogus"-ban tl sok van. Ha egy gpnv
   a znallomnyban nem vgzdik pontra, az eredete hozzaddik a
   vghez, a megduplzott linux.bogus.linux.bogus-t eredmnyezve. Szval
   vagy
     _________________________________________________________________

                MX      10 mail.linux.bogus.    ; Primary Mail Exchanger
     _________________________________________________________________

   vagy
     _________________________________________________________________

                MX      10 mail                 ; Primary Mail Exchanger
     _________________________________________________________________

   a helyes. n az utbbi vltozatot preferlom, kevesebbet kell gpelni.
   Vannak olyan BIND szakrtk, akik nem rtenek egyet ezzel, s vannak
   olyanok akik igen. Egy znallmnyban a tartomnyt vagy ki kell rni,
   s "."-al lezrni, vagy egyltaln nem kell meghatrozni, mely esetben
   az eredet lesz az alaprtelmezs.

   Ki kell hangslyoznom, hogy a named.conf llomnyban nem kell "."-nak
   lennie a tartomnynevek utn. El sem brod kpzelni, hny esetben
   kavarta ssze a dolgokat a tl sok vagy tl kevs pont, s hozta ki az
   rdgt az emberekbl.

   Szval, kifejtve rveimet itt van az j znallomny, nmi extra
   informcival kiegsztve:
     _________________________________________________________________

;
; Zone file for linux.bogus
;
; The full zone file
;
$TTL 3D
@       IN      SOA     ns.linux.bogus. hostmaster.linux.bogus. (
                        199802151       ; serial, todays date + todays serial #
                        8H              ; refresh, seconds
                        2H              ; retry, seconds
                        4W              ; expire, seconds
                        1D )            ; minimum, seconds
;
                TXT     "Linux.Bogus, your DNS consultants"
                NS      ns              ; Inet Address of name server
                NS      ns.friend.bogus.
                MX      10 mail         ; Primary Mail Exchanger
                MX      20 mail.friend.bogus. ; Secondary Mail Exchanger

localhost       A       127.0.0.1

gw              A       192.168.196.1
                TXT     "The router"

ns              A       192.168.196.2
                MX      10 mail
                MX      20 mail.friend.bogus.
www             CNAME   ns

donald          A       192.168.196.3
                MX      10 mail
                MX      20 mail.friend.bogus.
                TXT     "DEK"

mail            A       192.168.196.4
                MX      10 mail
                MX      20 mail.friend.bogus.

ftp             A       192.168.196.5
                MX      10 mail
                MX      20 mail.friend.bogus.
     _________________________________________________________________

   A CNAME (Canonical NAME - kanonikus NV) egy mdszer tbb nv
   megadsra egy gp szmra. gy a www egy lnv az ns szmra. A CNAME
   bejegyzs hasznlata egy kicsit ktrtelm. A legbiztosabb azt a
   szablyt kvetni, hogy egy MX, CNAME vagy SOA bejegyzs soha nem
   hivatkozhat egy CNAME bejegyzsre, csak egy "A" bejegyzssel
   rendelkez valamire hivatkozhatnak, teht megengedhetetlen a
     _________________________________________________________________

foobar          CNAME   www                     ; NEM!
     _________________________________________________________________

   de helyes a
     _________________________________________________________________


foobar          CNAME   ns                      ; IGEN!
     _________________________________________________________________

   Tltsk be az j adatbzist az rndc reload futtatsval, amely a named
   llomnyainak jbli beolvasst eredmnyezi.


$ dig linux.bogus axfr

; <<>> DiG 9.1.3 <<>> linux.bogus axfr
;; global options:  printcmd
linux.bogus.            259200  IN      SOA     ns.linux.bogus. hostmaster.linu
x.bogus. 199802151 28800 7200 2419200 86400
linux.bogus.            259200  IN      NS      ns.linux.bogus.
linux.bogus.            259200  IN      MX      10 mail.linux.bogus.
linux.bogus.            259200  IN      MX      20 mail.friend.bogus.

donald.linux.bogus.     259200  IN      A       192.168.196.3
donald.linux.bogus.     259200  IN      MX      10 mail.linux.bogus.
donald.linux.bogus.     259200  IN      MX      20 mail.friend.bogus.
donald.linux.bogus.     259200  IN      TXT     "DEK"
ftp.linux.bogus.        259200  IN      A       192.168.196.5
ftp.linux.bogus.        259200  IN      MX      10 mail.linux.bogus.

ftp.linux.bogus.        259200  IN      MX      20 mail.friend.bogus.
gw.linux.bogus.         259200  IN      A       192.168.196.1
gw.linux.bogus.         259200  IN      TXT     "The router"
localhost.linux.bogus.  259200  IN      A       127.0.0.1
mail.linux.bogus.       259200  IN      A       192.168.196.4
mail.linux.bogus.       259200  IN      MX      10 mail.linux.bogus.
mail.linux.bogus.       259200  IN      MX      20 mail.friend.bogus.
ns.linux.bogus.         259200  IN      MX      10 mail.linux.bogus.
ns.linux.bogus.         259200  IN      MX      20 mail.friend.bogus.
ns.linux.bogus.         259200  IN      A       192.168.196.2
www.linux.bogus.        259200  IN      CNAME   ns.linux.bogus.
linux.bogus.            259200  IN      SOA     ns.linux.bogus. hostmaster.linu
x.bogus. 199802151 28800 7200 2419200 86400
;; Query time: 41 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:12:31 2001
;; XFR size: 23 records

   Ez j. Amint ltod, egy kicsit gy nz ki, mint a znallomny maga.
   Ellenrizzk, mit mond egyedl a www-re:

$ dig www.linux.bogus

; <<>> DiG 9.1.3 <<>> www.linux.bogus
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16633
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;www.linux.bogus.               IN      A

;; ANSWER SECTION:
www.linux.bogus.        259200  IN      CNAME   ns.linux.bogus.
ns.linux.bogus.         259200  IN      A       192.168.196.2

;; AUTHORITY SECTION:
linux.bogus.            259200  IN      NS      ns.linux.bogus.

;; Query time: 5 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:14:14 2001
;; MSG SIZE  rcvd: 80

   Ms szval a www.linux.bogus valdi neve ns.linux.bogus, s tovbbi
   informcit is ad neked amivel rendelkezik az ns-rl, elegendt a
   hozz val csatlakozshoz, ha egy program lennl.

   Most vagyunk flton

5.3 A fordtott zna

   Most mr a programok t tudjk alaktani a linux.bogus-ban a neveket
   cmekk, amelyekhez csatlakozni tudnak. De szksg van egy fordtott
   znra is, olyanra, amely lehetv teszi a DNS szmra a cmek
   talaktst nevekk. Ezt a nevet rengeteg klnbz tpus szerver
   (FTP, IRC, WWW s msok) hasznlja annak eldntsre, hogy akar-e
   veled kommuniklni vagy nem, s ha igen, taln mg arra is, hogy
   milyen prioritst kapjl. Az Internet sszes szolgltatsnak teljes
   elrshez a fordtott zna szksges.

   Rakd be ezt a named.conf llomnyba:
     _________________________________________________________________

zone "196.168.192.in-addr.arpa" {
        type master;
        notify no;
        file "pz/192.168.196";
};
     _________________________________________________________________

   Ez pontosan ugyanaz, mint a 0.0.127.in-arpa-val, s a tartalmuk is
   hasonl:
     _________________________________________________________________

$TTL 3D
@       IN      SOA     ns.linux.bogus. hostmaster.linux.bogus. (
                        199802151 ; Serial, todays date + todays serial
                        8H      ; Refresh
                        2H      ; Retry
                        4W      ; Expire
                        1D)     ; Minimum TTL
                NS      ns.linux.bogus.

1               PTR     gw.linux.bogus.
2               PTR     ns.linux.bogus.
3               PTR     donald.linux.bogus.
4               PTR     mail.linux.bogus.
5               PTR     ftp.linux.bogus.
     _________________________________________________________________

   Most jra tltsd be a named-et (rndc reload), s vizsgld meg a
   munkdat a dig-el jra:
     _________________________________________________________________


$ dig -x 192.168.196.4

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58451
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;4.196.168.192.in-addr.arpa.    IN      PTR

;; ANSWER SECTION:
4.196.168.192.in-addr.arpa. 259200 IN   PTR     mail.linux.bogus.

;; AUTHORITY SECTION:
196.168.192.in-addr.arpa. 259200 IN     NS      ns.linux.bogus.

;; ADDITIONAL SECTION:
ns.linux.bogus.         259200  IN      A       192.168.196.2

;; Query time: 4 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:16:05 2001
;; MSG SIZE  rcvd: 107
     _________________________________________________________________

   teht jnak nz ki, szedjk ki az egszet, hogy azt is megvizsgljuk:
     _________________________________________________________________

$ dig 196.168.192.in-addr.arpa. AXFR

; <<>> DiG 9.1.3 <<>> 196.168.192.in-addr.arpa. AXFR
;; global options:  printcmd
196.168.192.in-addr.arpa. 259200 IN     SOA     ns.linux.bogus. \

        hostmaster.linux.bogus. 199802151 28800 7200 2419200 86400
196.168.192.in-addr.arpa. 259200 IN     NS      ns.linux.bogus.
1.196.168.192.in-addr.arpa. 259200 IN   PTR     gw.linux.bogus.
2.196.168.192.in-addr.arpa. 259200 IN   PTR     ns.linux.bogus.
3.196.168.192.in-addr.arpa. 259200 IN   PTR     donald.linux.bogus.
4.196.168.192.in-addr.arpa. 259200 IN   PTR     mail.linux.bogus.
5.196.168.192.in-addr.arpa. 259200 IN   PTR     ftp.linux.bogus.
196.168.192.in-addr.arpa. 259200 IN     SOA     ns.linux.bogus. \
        hostmaster.linux.bogus. 199802151 28800 7200 2419200 86400
;; Query time: 6 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 23 03:16:58 2001
;; XFR size: 9 records
     _________________________________________________________________

   Jl nz ki! Ha kimeneted nem ilyen, akkor keresd a hibazeneteket a
   syslog-ban, az els fejezetben, [19]A named indtsa fejezetben
   elmagyarztam, hogyan tedd ezt.

5.4 Int szavak

   Van pr dolog, amit itt kzre kell adnom. A fenti pldban hasznlt IP
   szmok a "magnhlzatok" egyik blokkjbl lettek vve, azaz nyilvnos
   hasznlatuk az Interneten nem megengedett. gy ht biztonsgos a
   hasznlatuk egy HOGYAN egy pldjban. A msik dolog a notify no; sor.
   Ez megmondja a named-nek, hogy ne rtestse a msodlagos (slave)
   szervert, amikor az egyik znallomnya frisslt. A 8-as s ksbbi
   BIND-ben a named rtestheti a znallomnyban az NS bekezdsben
   felsorolt tbbi szervert, amikor a zna frisslt. Ez gyes dolog
   rendes mkdskor. De ksrletezsek esetn ennek a lehetsgnek
   kikapcsolva kell lennie - nem akarjuk, hogy a ksrlet megkavarja az
   Internetet, ugye?

   s persze, ez a tartomny ersen hamis, s ppgy a cmek benne. Egy
   valdi tartomny vals pldjrt nzd meg a kvetkez ffejezetet.

5.5 Mirt nem mkdnek a fordtott lekrdezsek?

   Van egy pr normlis krlmnyek kztt nvlekrdezsekkel
   elkerlhet "csapda", amellyel gyakran tallkozni fordtott znk
   belltsnl. Mieltt folytatod, szksged lesz a fordtott
   lekrdezsek mkdsre a sajt nvszervereden. Ha ez nincs gy, menj
   vissza, s javtsd ki mieltt folytatod.

   A fordtott lekrdezsek kt hibjrl fogok szlni, ahogy azok a
   hlzaton kvlrl ltszdnak:

  A fordtott zna nincs deleglva

   Ha egy hlzati szolgltattl egy hlzati cmtartomnyt s egy
   tartomnynevet krsz, a tartomnynv rendes esetben deleglva van,
   mint egy magtl rtetd dolog. A delegls az az sszeragaszt NS
   bejegyzs, amely segt eljutnod az egyik nvszervertl a msikig,
   ahogy ez a szraz elmleti fejezetben el lett magyarzva. Elolvastad,
   ugye? Ha a fordtott znd nem mkdik, menj vissza, s olvasd el.
   Most.

   A fordtott znnak szintn deleglva kell lennie. Ha a 192.168.196-os
   hlzatot kapod a linux.bogus tartomnnyal a szolgltatdtl, be kell
   rakniuk az NS bejegyzst a fordtott znd szmra ppgy, mint a
   tovbbt znd szmra. Ha kveted a lncolatot az in-addr.arpa-tl
   felfel a hlzatodig, valsznleg szakadst tallsz majd a lncban,
   a leginkbb valszn, hogy a szolgltatdnl. Miutn megtalltad a
   szakadst a lncolatban, vedd fel a kapcsolatot a szolgltatddal, s
   krd meg ket a hiba kijavtsra.

  Egy osztlyon kvli alhlzatod van

   Ez egy kiss bonyolultabb tma, de az osztlyon kvli alhlzatok
   nagyon elterjedtek manapsg, s valsznleg egy ilyened van, ha egy
   kis cg vagy.

   Az osztlyon kvli alhlzatok azok, amik az Internetet manapsg
   ltetik. Nhny vvel ezeltt sok volt a hh az IP cmek
   fogyatkozsa miatt. A blcs emberek az IETF-nl (Internet Engineering
   Task Force, k tartjk mkdsben az Internetet) sszedugtk a
   fejket, s megoldottk a problmt. Bizonyos ron. Az r ott
   mutatkozik, hogy egy "C" alhlzatnl kisebbet kapsz, s bizonyos
   dolgok nem mkdhetnek. Krlek nzd t az [20]Ask Mr. DNS (Krdezd
   DNS urat) cikket egy j magyarzatrt, s hogy hogyan kezeld ezt.

   Elolvastad? Nem fogom elmagyarzni, szval krlek olvasd el.

   A problma els rsze az, hogy az ISP-dnek rtenie kell a Mr. DNS
   ltal lert technikt. Nem minden kis ISP-nek van hozzrt dolgozja
   ehhez. Ha gy van, lehet, hogy el kell nekik magyarznod, s
   kitartnak kell lenned. De elszr lgy biztos benne, hogy te rted
   ;-). Ezutn be fognak lltani egy rendes fordtott znt a
   szerverkn, melynek helyessgt megvizsglhatod a dig-el.

   A problma msodik s egyben utols rsze az, hogy meg kell rtened a
   technikt. Ha nem vagy biztos benne, menj vissza, s olvass rla
   ismt. Ezutn bellthatod a sajt osztlyon kvli fordtott zndat
   gy, ahogy azt az Ask Mr. DNS lerja.

   Lapul egy msik csapda is itt. A (nagyon) rgi feloldk nem lesznek
   kpesek kvetni a CNAME trkkt a feloldsi lncban, s nem lesznek
   kpesek fordtva feloldani a gpedet. Ez egy szolgltats esetben
   helytelen hozzfrsi osztly hozzrendelst, a hozzfrs
   megtagadst vagy ezekhez hasonlt eredmnyezhet. Ha egy ilyen
   szolgltatsba tkzl, az egyetlen megolds (amirl n tudok) az
   ISP-d szmra az, hogy belerakja a PTR bejegyzsedet kzvetlenl az 
   trkks osztlyon kvli znallomnyukba a trkks CNAME bejegyzs
   helyett.

   Bizonyos ISP-k ms mdokat fognak ajnlani ennek kezelsre, gymint
   Web-alap rlapokat a fordtott hozzrendels megadshoz, vagy ms
   automgikus rendszereket.

5.6 Msodlagos (slave) szerverek

   Amint helyesen belltottad a znidat az elsdleges (master)
   szerveren, fel kell lltanod legalbb egy msodlagos (slave)
   szervert. A msodlagos szerverek a robusztussg miatt szksgesek. Ha
   az elsdleges lell, az emberek ott kint a hln mg mindig kpesek
   lesznek informcit kapni a tartomnyodrl a szolgtl. A
   msodlagosnak olyan messze kell lennie tled, amennyire csak
   lehetsges. Az albbi dolgok kzl az elsdlegesnek s a
   msodlagosnak minl kevesebben kellene osztozniuk: ramellts, LAN,
   ISP, vros s orszg. Ha ez mind ms az elsdleges s a msodlagos
   esetben, egy tnyleg j msodlagos szervert talltl.

   A msodlagos szerver egyszeren egy olyan nvszerver, amely a
   znallomnyokat lemsolja az elsdlegesrl. Ekkpp llthatod be:
     _________________________________________________________________

zone "linux.bogus" {
        type slave;
        file "sz/linux.bogus";
        masters { 192.168.196.2; };
};
     _________________________________________________________________

   Az adatok msolsra a znatvitel nev mechanizmust hasznljk. A
   znatvitelt az SOA bejegyzsed irnytja:
     _________________________________________________________________

@       IN      SOA     ns.linux.bogus. hostmaster.linux.bogus. (
                        199802151       ; serial, todays date + todays serial #
                        8H              ; refresh, seconds
                        2H              ; retry, seconds
                        4W              ; expire, seconds
                        1D )            ; minimum, seconds
     _________________________________________________________________

   Egy zna csak akkor kerl tvitelre, ha a sorozatszma (serial) az
   elsdleges szerveren nagyobb, mint a msodlagoson. Frisstsi
   intervallumonknt (refresh) a msodlagos szerver le fogja
   ellenrizni, hogy az elsdleges frisslt-e. Ha az ellenrzs nem
   hoz eredmnyt (mert az elsdleges nem elrhet), jraprblja a
   megadott intervallumonknt (retry). Ha az ellenrzsek a lejrati
   idszak (expire) alatt sem hoznak eredmnyt, a msodlagos szerver el
   fogja tvoltani a znt az llomnyrendszerbl, s nem lesz tbb
   szerver szmra.

6. Alapvet biztonsgi belltsok

   Jamie Norrish

   A konfigurcis opcik belltsa a problmk valsznsgnek
   cskkentse rdekben.

   Van nhny egyszer lps amelyet megtehetsz, ezek biztonsgosabb
   teszik a szerveredet, s esetlegesen cskkentik a terhelst is. Az
   itt bemutatott anyag nem tbb, mint egy kiindulsi pont; ha rdekelt
   vagy a biztonsgban (s gy kellene lennie), krlek tanulmnyozz t
   ms forrsmunkkat is a hlzaton (lsd az [21]utols fejezetet).

   A kvetkez belltsi direktvk fordulnak el a named.conf
   llomnyban. Az options rszben tallhat direktvk az sszes znra
   vonatkoznak. Ha a zone bejegyzsben fordul el, csak arra a znra
   vonatkozik. Egy zone bejegyzs fellrja az options bejegyzst.

6.1 A znatvitelek korltozsa

   Annak rdekben, hogy a msodlagos szervere(i)d kpes legyen
   vlaszolni a tartomnyodra vonatkoz lekrdezsekre, kpeseknek kell
   lennik thozni a znainformcit az elsdleges szerveredrl. Nagyon
   sokan szeretnnek szintn gy cselekedni. Ezrt korltozd a
   znatvitelt az allow-transfer opci hasznlatval, felttelezve, hogy
   192.168.1.4 az ns.friend.bogus cme, s hozzadva sajt magadat
   hibakeressi clbl:
     _________________________________________________________________

zone "linux.bogus" {
      allow-transfer { 192.168.1.4; localhost; };
};
     _________________________________________________________________

   A znatvitelek korltozsval biztostod, hogy az egyetlen elrhet
   informci az, amit az emberek kzvetlenl krdeznek - senki sem
   krdezheti le csak gy belltsod sszes rszlett.

6.2 Vdekezs az "tejts" ellen

   Legelszr kapcsolj ki minden lekrdezst, ami nem az ltalad
   birtokolt tartomnyokra irnyul, kivve a bels/helyi gpeidrl
   indulkat. Ez nem csak a DNS szervered rosszindulat kihasznlst
   elzi meg, de cskkenti szervered felesleges hasznlatt is.
     _________________________________________________________________

options {
      allow-query { 192.168.196.0/24; localhost; };
};

zone "linux.bogus" {
      allow-query { any; };
};

zone "196.168.192.in-addr.arpa" {
      allow-query { any; };
};
     _________________________________________________________________

   Tovbb kapcsold ki a rekurzv lekrdezseket, kivve a bels/helyi
   gpektl. Ez cskkenti a gyorsttr-mrgezses tmadsok eslyt
   (amikor hamis adatokkal tmik a szerveredet).
     _________________________________________________________________

options {
        allow-recursion { 192.168.196.0/24; localhost; };
};
     _________________________________________________________________

6.3 A named futtatsa nem-root-knt

   Egy j tlet a named-et a root-tl klnbz felhasznlknt
   futtatni, gy ha feltrik a cracker ltal szerzett jogok a lehet
   legkorltozottabbak. Elszr ltre kell hoznod egy felhasznlt ami
   alatt a named fusson, majd mdostani brmely ltalad hasznlt, a
   named-et indt init szkriptet. Az j felhasznlnevet s csoportot a
   named-nek az -u s -g kapcsolk segtsgvel add meg.

   Pldul: Debian GNU/Linux 2.2-ben mdostanod kell a /etc/init.d/bind
   szkriptet, hogy tartalmazza a kvetkez sort (ahol a named
   felhasznl mr ltre lett hozva):
     _________________________________________________________________

start-stop-daemon --start --quiet --exec /usr/sbin/named -- -u named
     _________________________________________________________________

   Ugyanez megtehet a Red Hat-al s ms disztribcikkal is.

   Dave Lugo lert egy biztonsgos ketts chroot belltst, amely a
   [22]http://www.etherboy.com/dns/chrootdns.html honlapon tallhat, ez
   mg biztonsgosabb teheti a gpet, amelyen a named-et futtatod.

7. Egy valdi tartomny-plda

   Ahol bemutatunk nhny igazi znallomnyt

   A felhasznlk javasoltk, hogy illesszem be egy mkd tartomny
   vals pldjt is, mint szemlltet pldt.

   E pldt David Bullock engedlyvel a LAND-5-tl hasznlom. Ezek az
   llomnyok 1996. szeptember 24.-n voltak aktulisak, s ezutn
   szerkesztettem t ket, hogy megfeleljenek a 8-as BIND megktseinek
   s kiterjeszts-hasznlatnak. Szval az amit ltsz, klnbzik egy
   kicsit attl, amit a LAND-5 nvszerverek lekrdezsekor tallsz.

7.1 /etc/named.conf (vagy /var/named/named.conf)

   Itt tallhatk az elsdleges szerver znafejezetei a kt szksges
   fordtott zna szmra: a 127.0.0 hlzat ppgy, mint a LAND-5
   206.6.177-es alhlzata, s az elsdleges sor a land-5 land5.com
   tovbbt znja szmra. Figyeld meg, hogy az llomnyok pz nev
   knyvtrba val pakolsa helyett, ahogy n ezt ebben a HOGYANban
   teszem,  a zone nev knyvtrba rakja ket.
     _________________________________________________________________

// Boot file for LAND-5 name server

options {
        directory "/var/named";
};

controls {
        inet 127.0.0.1 allow { localhost; } keys { rndc_key; };
};

key "rndc_key" {
        algorithm hmac-md5;
        secret "c3Ryb25nIGVub3VnaCBmb3IgYSBtYW4gYnV0IG1hZGUgZm9yIGEgd29tYW4K";
};

zone "." {
        type hint;
        file "root.hints";
};

zone "0.0.127.in-addr.arpa" {
        type master;
        file "zone/127.0.0";
};

zone "land-5.com" {
        type master;
        file "zone/land-5.com";
};

zone "177.6.206.in-addr.arpa" {
        type master;
        file "zone/206.6.177";
};
     _________________________________________________________________

   Ha ezt berakod a named.conf llomnyodba ksrletezs cljbl, KRLEK
   rakd be a "notify no;"-t a kt land-5 zna zone fejezetbe, hogy
   elkerljk az tkzseket.

7.2 /var/named/root.hints

   Tartsd szem eltt, hogy ez az llomny dinamikus, s az itt kzztett
   vltozat rgi. Jobban teszed ha egy jabbat hasznlsz, amint azt mr
   korbban elmagyarztam.
     _________________________________________________________________

; <<>> DiG 8.1 <<>> @A.ROOT-SERVERS.NET.
; (1 server found)
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10
;; flags: qr aa rd; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13
;; QUERY SECTION:
;;      ., type = NS, class = IN

;; ANSWER SECTION:
.                       6D IN NS        G.ROOT-SERVERS.NET.
.                       6D IN NS        J.ROOT-SERVERS.NET.
.                       6D IN NS        K.ROOT-SERVERS.NET.
.                       6D IN NS        L.ROOT-SERVERS.NET.
.                       6D IN NS        M.ROOT-SERVERS.NET.
.                       6D IN NS        A.ROOT-SERVERS.NET.
.                       6D IN NS        H.ROOT-SERVERS.NET.
.                       6D IN NS        B.ROOT-SERVERS.NET.
.                       6D IN NS        C.ROOT-SERVERS.NET.
.                       6D IN NS        D.ROOT-SERVERS.NET.
.                       6D IN NS        E.ROOT-SERVERS.NET.
.                       6D IN NS        I.ROOT-SERVERS.NET.
.                       6D IN NS        F.ROOT-SERVERS.NET.

;; ADDITIONAL SECTION:
G.ROOT-SERVERS.NET.     5w6d16h IN A    192.112.36.4
J.ROOT-SERVERS.NET.     5w6d16h IN A    198.41.0.10
K.ROOT-SERVERS.NET.     5w6d16h IN A    193.0.14.129
L.ROOT-SERVERS.NET.     5w6d16h IN A    198.32.64.12
M.ROOT-SERVERS.NET.     5w6d16h IN A    202.12.27.33
A.ROOT-SERVERS.NET.     5w6d16h IN A    198.41.0.4
H.ROOT-SERVERS.NET.     5w6d16h IN A    128.63.2.53
B.ROOT-SERVERS.NET.     5w6d16h IN A    128.9.0.107
C.ROOT-SERVERS.NET.     5w6d16h IN A    192.33.4.12
D.ROOT-SERVERS.NET.     5w6d16h IN A    128.8.10.90
E.ROOT-SERVERS.NET.     5w6d16h IN A    192.203.230.10
I.ROOT-SERVERS.NET.     5w6d16h IN A    192.36.148.17
F.ROOT-SERVERS.NET.     5w6d16h IN A    192.5.5.241

;; Total query time: 215 msec
;; FROM: roke.uio.no to SERVER: A.ROOT-SERVERS.NET.  198.41.0.4
;; WHEN: Sun Feb 15 01:22:51 1998
;; MSG SIZE  sent: 17  rcvd: 436
     _________________________________________________________________

7.3 /var/named/zone/127.0.0

   Csak az alapok, a ktelez SOA bejegyzs, s a bejegyzs, mely a
   127.0.0.1-et a localhost-hoz rendeli. Mindkett szksges. Semmi
   msnak nem kell lennie ebben az llomnyban. Valsznleg soha nem
   lesz frisstve, hacsak a nvszervered vagy a rendszergazda cme nem
   vltozik meg.
     _________________________________________________________________

$TTL 3D
@               IN      SOA     land-5.com. root.land-5.com. (
                                199609203       ; Serial
                                28800   ; Refresh
                                7200    ; Retry
                                604800  ; Expire
                                86400)  ; Minimum TTL
                        NS      land-5.com.

1                       PTR     localhost.
     _________________________________________________________________

   Ha egy vletlenszeren kivlasztott BIND teleptsre rnzel, azt
   fogod tallni, hogy a $TTL sor hinyzik. Ezt azeltt nem hasznltk,
   s csak a 8.2-es BIND kezdett el figyelmeztetni a hinyra. A 9-es
   BIND-hez szksges a $TTL.

7.4 /var/named/zone/land-5.com

   Itt ltjuk a ktelez SOA bejegyzst, a szksges NS bejegyzseket.
   Lthatjuk, hogy van egy msodlagos nvszervere az ns2.psi.net-en. Ez
   az ahogy lennie kell, mindig legyen egy telephelyen kvli msodlagos
   szervered tartalkknt. Lthatjuk azt is, hogy van neki egy land-5
   nev elsdleges gpe is, amely gondoskodik sok klnbz Internet
   szolgltatsrl, s azt, hogy ezt CNAME-ekkel csinlta (egy msik
   lehetsg az "A" bejegyzsek hasznlata).

   Amint azt a SOA bejegyzsbl lthatod, a znallomny eredete a
   land-5.com, a kapcsolattart szemly a root@land-5.com. A hostmaster
   egy msik gyakran hasznlt cm a kapcsolattart szemly szmra. A
   sorozatszm a szoksos hhnn formtumban van, a mai sorozatszm
   hozzadsval; ez valsznleg a znallomny hatodik vltozata 1996.
   szeptember 20.-n. Jegyezd meg, hogy a sorozatszmnak monoton
   nvekvnek kell lennie, itt csak egy szmjegy jelzi a mai
   sorozatszmot, gy 9 szerkeszts utn vrnia kell holnapig, mieltt
   jra szerkesztheti az llomnyt. Szokd meg a kt szmjegy hasznlatt.
     _________________________________________________________________

$TTL 3D
@       IN      SOA     land-5.com. root.land-5.com. (
                        199609206       ; serial, todays date + todays serial #
                        8H              ; refresh, seconds
                        2H              ; retry, seconds
                        4W              ; expire, seconds
                        1D )            ; minimum, seconds
                NS      land-5.com.
                NS      ns2.psi.net.
                MX      10 land-5.com.  ; Primary Mail Exchanger
                TXT     "LAND-5 Corporation"

localhost       A       127.0.0.1
router          A       206.6.177.1
land-5.com.     A       206.6.177.2
ns              A       206.6.177.3
www             A       207.159.141.192
ftp             CNAME   land-5.com.
mail            CNAME   land-5.com.
news            CNAME   land-5.com.
funn            A       206.6.177.2

;
;       Workstations
;
ws-177200       A       206.6.177.200
                MX      10 land-5.com.   ; Primary Mail Host
ws-177201       A       206.6.177.201
                MX      10 land-5.com.   ; Primary Mail Host
ws-177202       A       206.6.177.202
                MX      10 land-5.com.   ; Primary Mail Host
ws-177203       A       206.6.177.203
                MX      10 land-5.com.   ; Primary Mail Host
ws-177204       A       206.6.177.204
                MX      10 land-5.com.   ; Primary Mail Host
ws-177205       A       206.6.177.205
                MX      10 land-5.com.   ; Primary Mail Host
; {Many repetitive definitions deleted - SNIP}
ws-177250       A       206.6.177.250
                MX      10 land-5.com.   ; Primary Mail Host
ws-177251       A       206.6.177.251
                MX      10 land-5.com.   ; Primary Mail Host
ws-177252       A       206.6.177.252
                MX      10 land-5.com.   ; Primary Mail Host
ws-177253       A       206.6.177.253
                MX      10 land-5.com.   ; Primary Mail Host
ws-177254       A       206.6.177.254
                MX      10 land-5.com.   ; Primary Mail Host
     _________________________________________________________________

   Ha megvizsglod a land-5 nvszervert, azt tallod, hogy a gpnevek
   ws_szm alakak. A 4-es BIND-tl kezdden a named elkezdte
   szigortani a megktseket, hogy milyen karakterek szerepelhetnek a
   gpnevekben. gy ez a 8-as BIND-el egyltaln nem mkdik, s n
   kicserltem a "-"-re (ktjel) a "_"-t (alhzs) ebben a HOGYANban.
   De ahogy azt korbban emltettem, a 9-es BIND nem erlteti mr ezt a
   megktst.

   A msik figyelemre mlt dolog az, hogy a munkallomsoknak nincs
   egyedi nevk, hanem csak egy eltagot kvet az IP utols kt rsze.
   Egy ilyen megszoks hasznlata jelentsen leegyszerstheti a
   karbantartst, de egy kicsit szemlytelennek tnhet, s lnyegben
   bosszsg forrsa lehet az gyfeleid szmra.

   Ltjuk azt is, hogy a funn.land-5.com egy lnv a land-5.com szmra,
   de egy "A", s nem egy CNAME bejegyzs hasznlatval.

7.5 /var/named/zone/206.6.177

   Megjegyzseket ezen llomnyra lentebb teszek.
     _________________________________________________________________

$TTL 3D
@               IN      SOA     land-5.com. root.land-5.com. (
                                199609206       ; Serial
                                28800   ; Refresh
                                7200    ; Retry
                                604800  ; Expire
                                86400)  ; Minimum TTL
                        NS      land-5.com.
                        NS      ns2.psi.net.

;       Servers
;
1       PTR     router.land-5.com.
2       PTR     land-5.com.
2       PTR     funn.land-5.com.
;
;       Workstations
;
200     PTR     ws-177200.land-5.com.
201     PTR     ws-177201.land-5.com.
202     PTR     ws-177202.land-5.com.
203     PTR     ws-177203.land-5.com.
204     PTR     ws-177204.land-5.com.
205     PTR     ws-177205.land-5.com.
; {Many repetitive definitions deleted - SNIP}
250     PTR     ws-177250.land-5.com.
251     PTR     ws-177251.land-5.com.
252     PTR     ws-177252.land-5.com.
253     PTR     ws-177253.land-5.com.
254     PTR     ws-177254.land-5.com.
     _________________________________________________________________

   A fordtott zna a bellts azon rsze, mely a legtbb fejtrst
   okozhatja. Ezt arra hasznljuk, hogy megtalljuk a gpnevet, ha megvan
   a gp cme. Plda: te egy FTP szerver vagy s kapcsolatokat fogadsz el
   FTP kliensektl. Mivel te egy norvg FTP szerver vagy, tbb
   kapcsolatot szeretnl fogadni norvgiai s ms skandinv llamokbeli
   kliensektl, s kevesebbet a vilg tbbi rszrl. Ha kapcsolat
   rkezik egy klienstl, a C fggvnyknyvtr kpes neked megmondani a
   csatlakoz gp IP cmt, mert a kliens IP szmt tartalmazza az sszes
   csomag, amely tjtt a hlzaton. Most meghvhatsz egy gethostbyaddr
   nev fggvnyt, mely kikeresi az adott IP szm kliens nevt. A
   gethostbyaddr meg fogja krdezni a DNS szervert, amely ezutn
   keresztlmegy a DNS-en a gpet keresve. Ttelezzk fel, hogy a
   klienskapcsolat a ws-177200.land-5.com-tl jn. Az IP szm, amit a C
   knyvtr tad az FTP szervernek, a 206.6.177.200. A gp nevnek
   kitallshoz meg kell tallnunk a 200.177.6.206.in-addr-arpa-t. A DNS
   szerver elszr meg fogja tallni az arpa. szervereket, majd
   megtallja az in-addr.arpa szervereket, kvetve a fordtott sorrendet
   a 206-on, majd a 6-on keresztl, vgl legutoljra megtallva a
   LAND-5-nl a szervert a 177.6.206.in-addr-arpa zna szmra. Amelytl
   vgl megkapja a vlaszt, hogy a 200.177.6.206.in-addr.arpa szmra a
   "PTR ws-177200.land-5.com" bejegyzsnk van, ami azt jelenti, hogy a /
   206.6.177.200-hoz tartoz nv a ws-177200.land.com.

   Az FTP szerver elnyben rszesti a skandinv orszgok, azaz a *.no,
   *.se, *.dk fell rkez kapcsolatokat, a ws-177200.land-5.com
   egyrtelmen nem tartozik kzjk, s a szerver a kapcsolatot egy
   alacsonyabb svszlessggel s kevesebb klienskapcsolati lehetsggel
   rendelkez kapcsolati osztlyba sorolja. Ha nem lenne fordtott
   megfeleltetse a 206.2.177.200-nak az in-addr.arpa zna ltal, a
   szerver kptelen lenne megtallni a nevet, s a 206.2.177.200-nek a
   *.no, *.se s *.dk-val val sszehasonltsa alapjn kell dntenie,
   melyek kzl egyik sem fog egyezni, st mg meg is tagadhatja a
   kapcsolatot a besorols hinya miatt.

   Pran azt fogjk mondani neked, hogy a fordtott lekrdezsek
   hozzrendelse csak szerverek esetn fontos, vagy egyltaln nem
   fontos. Nem gy van: sok ftp, news, IRC, st mg nhny http (WWW)
   szerver nem fognak kapcsolatot fogadni olyan gpektl, melyek nevt
   kptelenek megtallni. gy ht a fordtott hozzrendels valjban
   ktelez.

8. Karbantarts

   zemben tarts.

   Van egy karbantartsi feladat, melyet meg kell tenned a named-eken - a
   futtatson kvl. Ez pedig a root.hints llomny naprakszen tartsa.
   A legegyszerbb md a dig hasznlata. Elszr futtasd a dig-et
   argumentumok nlkl, akkor megkapod a root.hints-et a sajt szervered
   alapjn. Ezutn krdezd le a felsorolt fszerverek egyikt a dig
   @rootserver paranccsal. szre fogod venni, hogy a kimenet szrnyen
   hasonl a root.hints llomnyhoz. Mentsd el egy llomnyba (dig
   @e.root-servers.net . ns > root.hints.new), s cserld le a rgi
   root.hints llomnyt vele.

   Ne felejtsd el jra betlteni a named-et a gyorsttr-llomny
   cserje utn.

   Al Longyear elkldte nekem ezt a szkriptet, mely automatikusan
   futtathat a root.hints frisstse rdekben. Telepts egy crontab
   bejegyzst, hogy havonta egyszer lefusson, s el is felejtheted. A
   szkript felttelezi, hogy a levelezsed mkdik, s hogy a
   "hostmaster" cm meg van adva. Meg kell hackelned, hogy illeszkedjen a
   belltsaidhoz.
     _________________________________________________________________

#!/bin/sh
#
# Update the nameserver cache information file once per month.
# This is run automatically by a cron entry.
#
# Original by Al Longyear
# Updated for BIND 8 by Nicolai Langfeldt
# Miscelanious error-conditions reported by David A. Ranch
# Ping test suggested by Martin Foster
# named up-test suggested by Erik Bryer.
#
(
 echo "To: hostmaster <hostmaster>"
 echo "From: system <root>"

 # Is named up? Check the status of named.
 case `rndc status 2>&1` in
    *refused*)
        echo "named is DOWN. root.hints was NOT updated"
        echo
        exit 0
        ;;
 esac

 PATH=/sbin:/usr/sbin:/bin:/usr/bin:
 export PATH
 # NOTE: /var/named must be writable only by trusted users or this script
 # will cause root compromise/denial of service opportunities.
 cd /var/named 2>/dev/null || {
    echo "Subject: Cannot cd to /var/named, error $?"
    echo
    echo "The subject says it all"
    exit 1
 }

 # Are we online?  Ping a server at your ISP
 case `ping -qnc 1 some.machine.net 2>&1` in
   *'100% packet loss'*)
        echo "Subject: root.hints NOT updated.  The network is DOWN."
        echo
        echo "The subject says it all"
        exit 1
        ;;
 esac

 dig @e.root-servers.net . ns >root.hints.new 2> errors

 case `cat root.hints.new` in
   *NOERROR*)
        # It worked
        :;;
   *)
        echo "Subject: The root.hints file update has FAILED."
        echo
        echo "The root.hints update has failed"
        echo "This is the dig output reported:"
        echo
        cat root.hints.new errors
        exit 1
        ;;
 esac

 echo "Subject: The root.hints file has been updated"

 echo
 echo "The root.hints file has been updated to contain the following
information:"
 echo
 cat root.hints.new

 chown root.root root.hints.new
 chmod 444 root.hints.new
 rm -f root.hints.old errors
 mv root.hints root.hints.old
 mv root.hints.new root.hints
 rndc restart
 echo
 echo "The nameserver has been restarted to ensure that the update is complete.
"
 echo "The previous root.hints file is now called
/var/named/root.hints.old."
) 2>&1 | /usr/lib/sendmail -t
exit 0
     _________________________________________________________________

   Nhnyan kzletek felfigyelhettek r, hogy a root.hints llomny
   elrhet ftp-vel az Internic-rl is. Krlek, ne hasznld az ftp-t a
   root.hints frisstshez, a fentebb emltett mdszer sokkal
   bartsgosabb a hlzat s az Internic szmra.

9. tlls 9-es BIND-re

   A 9-es BIND terjeszts - s az elre elksztett vltozatok szintn -
   tartalmaz egy migration nev dokumentumot, amely megjegyzseket
   tartalmaz azt illeten, hogy hogyan lljunk t 8-as BIND-rl 9-es
   BIND-re. A dokumentum nagyon lnyegre tr. Ha binris csomagokat
   teleptettl, felteheten valahol a /usr/share/doc/bind*-ban vagy a
   /usr/doc/bind*-ban van trolva.

   Ha 4-es BIND-et futtatsz, a migration-4to9 dokumentumot ugyanazon a
   helyen tallhatod.

10. Krdsek s vlaszok

   Krlek olvasd t ezt a fejezetet, mieltt rsz nekem.
    1. A named-em egy named.boot llomnyt akar
       Rossz HOGYANt olvasol. Krlek nzd meg ezen HOGYAN rgebbi
       vltozatt, amely a 4-es BIND-rl szl, a
       [23]http://langfeldt.net/DNS-HOWTO/ cmen.
    2. Hogy hasznlhatom egy tzfal mgl?
       Segtsg: forward only;. Szksged lehet mg a
         _____________________________________________________________

  query-source port 53;
         _____________________________________________________________

       sorra a named.conf llomny "options" rszn bell, ahogy az a
       pldnak bemutatott [24]A felold, gyorsttras nvszerver
       fejezetben javasoltam.
    3. Mit tegyek, hogy a DNS krbeforogjon egy szolgltats elrhet
       cmein, mondjuk a www.busy.site-on, hogy terhelseloszt vagy
       valami hasonl hatst rjek el?
       Csinlj tbb A bejegyzst a www.busy.site szmra, s 4.9.3-as
       vagy ksbbi BIND-et hasznlj. Ekkor a BIND round-robin rendszer
       alapjn fogja szolgltatni a vlaszokat. Ez nem fog mkdni a
       BIND korbbi vltozataival.
    4. DNS-t akarok belltani egy (zrt) bels hlzaton. Mit
       csinljak?
       Kihagyod a root.hints llomnyt, s csak a znallomnyokat
       kszted el. Ez azt is jelenti, hogy nem kell llandan
       tbaigazt llomnyokat letltened.
    5. Hogyan kell belltani egy msodlagos (slave) nvszervert?
       Ha az elsdleges szerver cme 127.0.0.1, egy ehhez hasonl sort
       szrsz be a msodlagos szervered named.conf llomnyba:
         _____________________________________________________________

  zone "linux.bogus" {
        type slave;
        file "sz/linux.bogus";
        masters { 127.0.0.1; };
  };
         _____________________________________________________________

       Tbb klnbz elsdleges szervert is felsorolhatsz a masters
       listn bell, ";"-vel (pontosvessz) elvlasztva, melyekrl a
       zna lemsolhat.
    6. Futtatni akarom a BIND-et, amikor nem vagyok kapcsoldva a
       hlzathoz.
       Ngy lehetsg van:
          + A 8/9-es BIND-re vonatkozan, Adam L.Rice ezt a levelet
            kldte nekem arrl, hogyan futtassuk fjdalommentesen a DNS-t
            egy betrcszs gpen:


A BIND jabb vltozatainl felfedeztem, hogy ez a kavars az
llomnyokkal tbb nem szksges. Van egy "forward" (tovbbts) direktva
a "forwarders" (tovbbtk) direktva mellett, amely a hasznlatukat ellenrzi
.
Az alap bellts a "forward first" (elszr tovbbtsd), amely
legelszr megkrdezi a tovbbtk mindegyikt, s ezutn prblja
a rendes megkzeltst, azaz a munka sajt kez elvgzst, ha ez nem sikerl.
Ezzel a gethostbyname() norml viselkedsse szokatlanul hossz idt
vesz ignybe, amikor a kapcsolat nincs meg. De ha a "forward only" (csak
tovbbtsd) van belltva, akkor a BIND feladja ha nem kap vlaszt a
tovbbtktl, s a gethostbyname() azonnal visszatr. Ennlfogva nincs
szksg bvszmutatvnyokra az /etc knyvtrban lev llomnyokkal, s a szer
ver jraindtsra.

Az n esetemben, csak hozzadtam a

forward only;
forwarders { 193.133.58.5; };

sorokat a named.conf llomnyom options { } fejezethez. Nagyon szpen
mkdik. Ennek egyetlen htrnya az, hogy degradlja a DNS szoftver
egy hihetetlenl szofisztiklt rszt egy buta gyorsttrr. Bizonyos
mrtkben, n csak egy buta gyorsttrat szeretnk futtatni a DNS
helyett, de gy tnik, nincs egy ilyen fajta elrhet szoftver Linuxra.

          + Ezt a levelet Ian Clark-tl <ic@deakin.edu.au> kaptam, amiben
            az  mdszert magyarzza erre:

Named-et futtatok itt a "Masquerading" gpemen. Van kt root.hints
llomnyom, az egyik neve root.hints.real, amely a valdi fszerver-
neveket tartalmazza, a msik root.hints.fake, amely ezt tartalmazza:

----
; root.hints.fake
; this file contains no information
----

Ha kapcsolat nlkli zemmdba megyek t, tmsolom a root.hints.fake
llomnyt a root.hints-be, s jraindtom a named-et.

Ha kapcsoldom, tmsolom a root.hints.real-t a root.hints-be, s
jraindtom a named-et.

Illetve ezt az ip-down s az ip-up teszi meg.
Amikor elszr vgzek egy lekrdezst kapcsolat nlkl egy olyan
tartomnynvre, amelyrl a named nem tudja a rszleteket, egy ilyen bejegyzst
 rak a messages-be:

Jan 28 20:10:11 hazchem named[10147]: No root nameserver for class IN

amivel egytt tudok lni.

Ez biztosan mkdik szmomra. Hasznlhatom a nvszervert a helyi
gpek esetben, amikor a Net ll, a kls tartomnynevekhez tartoz
idtllpsi ksleltets nlkl, s mikor a Hln vagyok, a kls
tartomnynevekre vonatkoz lekrdezsek rendben mkdnek

            Peter Denison azonban gy vlte, Ian nem ment el elg
            messzire. Ezt rja:

Kapcsoldva)    szolgltatja az eltrolt (s helyi hlzati) bejegyzseket azon
nal
a nem gyorsttrazott bejegyzsek esetn, tovbbtja az ISP nvszerverem fel
Kapcsolat nlkl) kiszolglja a helyi hlzati lekrdezseket azonnal
ms lekrdezsek esetn **azonnal** hibt ad

A f gyorsttras llomny cserjnek s a lekrdezsek tovbbtsnak
kombincija nem mkdik.

gy ht, (a helyi Linux Felhasznlk Csoportjval val nmi konzultci utn)
kt named-et lltottam be a kvetkez mdon:

named-online:   tovbbt az ISP nvszervere fel
                mester a helyi hlzati zna szmra
                mester a helyi hlzati fordtott zna szmra (1.168.192.in-ad
dr.arpa)
                mester a 0.0.127.in-addr.arpa szmra
                a 60053-as porton figyel

named-offline:  nincs tovbbts
                "l" f gyorsttras llomny
                szolga a 3 helyi zna szmra (a mester a 127.0.0.1:60053)
                a 61053-as porton figyel

s kombinltam ezt a port-tovbbtssal, hogy az 53-as portot elkldje a 61053-
ra, ha
kapcsolat nlkl vagyok, s a 60053-ra, ha csatlakoztam. (Az j netfilter csoma
got
hasznlom 2.3.18 alatt, de a rgi (ipchains) mdszernek is mkdnie kell.)

Figyelem, ez nem fog pikk-pakk mkdni, mivel van egy apr hiba a 8.2-es
BIND-ben, melyet mr jelentettem a fejlesztknek, hogy megakadlyozza egy mso
dlagos szerver
ltrehozst az elsdlegessel megegyez IP cmen (mg ha kln porton is). Ez
 egy
egyszer foltozs, s remlem, nemsokra belekerl.

          + Kaptam informcit arrl is Karl-Max Wanger-tl, hogyan hat
            egymsra a BIND az NFS-el s a portmapper-rel egy
            nagyobbrszt kapcsolat nlkli gpen:


Futtatni szoktam a sajt named-emet az sszes gpemen, melyek csak
alkalmilag csatlakoznak az Internetre modemen keresztl. A nvszerver
csak gyorsttrknt mkdik, nincs jogosultsgi terlete, s mindenrt
a root.cache llomnyban lev nvszervereket krdezi vissza. Ahogy az a
Slackware-nl megszokott, az nfsd s a mountd eltt van indtva.

Egyik gpemmel (egy Libretto 30-as notebookal) az volt a problmm,
hogy nha fel tudtam csatolni egy msik, a helyi LAN-omra csatlakozott
rendszerrl, de nagyobbrszt ez nem mkdtt. Ugyanez volt a jelensg,
fggetlenl attl, hogy PLIP-et, egy PCMCIA ethernet krtyt vagy soros
eszkzn keresztli PPP-t hasznltam.

Nmi tallgats s ksrletezs utn azt fedeztem fel, hogy
a named minden bizonnyal belerondt az nfsd s mountd regisztrcis folyamatba
,
amit indulskor a portmapper-rel kell elvgeznik (Ezeket a dmonokat
szoks szerint bootolskor indtom). A named indtsa az nfsd s a mountd
utn teljesen semlegestette ezt a problmt.

Mivel nincsenek vrhat htrnyai az ilyen mdostott boot szekvencinak,
ajnlom, hogy mindenki tegyen gy az esetleges gondok elkerlse vgett.

    7. Hol trolja a gyorsttras nvszerver a gyorsttrt? Van r
       brmi md, hogy ellenrizzem a gyorsttr mrett?
       A gyorsttr teljes mrtkben a memriban van trolva, soha nem
       kerl kirsra a lemezre. Valamennyiszer lelvd a named-et, a
       gyorsttr elveszik. A gyorsttr semmilyen mdon nem
       ellenrizhet, a named gondozza nhny egyszer szably
       alapjn, s ennyi. Nem ellenrizheted a gyorsttrat, vagy annak
       mrett semmilyen mdon s semmikpp. Ha akarod, "kijavthatod"
       ezt a named hackelsvel. Ez azonban nem ajnlott.
    8. Lementi a named a gyorsttrat az jraindtsok kztt?
       Megcsinlhatom, hogy gy legyen?
       Nem, a named nem menti le, ha meghal. Ez azt jelenti, hogy a
       gyorsttrat jra fel kell pteni minden alkalommal, amikor
       lelvd s jraindtod a named-et. Nincs md r, hogy rvedd a
       named-et, hogy lementse gyorsttrt egy llomnyba. Ha akarod,
       "kijavthatod" ezt a named hackelsvel. Ez azonban nem ajnlott.
    9. Hogyan szerezhetek be egy tartomnyt? Fel akarom lltani
       (pldul) a linux-rules.net nev tartomnyomat. Hogyan tehetem
       meg, hogy az ltalam kvnt tartomnyt hozzm rendeljk?
       Krlek lpj kapcsolatba a hlzati szolgltatddal. k kpesek
       lesznek segteni neked. Krlek vedd figyelembe, hogy a vilg
       legtbb rszn pnzt kell fizetned egy tartomnyrt.
   10. Hogyan tehetem biztonsgoss a DNS szerveremet? Hogyan llthatok
       be felosztott DNS-t?
       Mindkett halad tma. A
       [25]http://www.etherboy.com/dns/chrootdns.html honlap szl rluk.
       Nem fogom ezeket a tmkat tovbb magyarzni itt.

11. Hogyan vlhatok kpzettebb DNS adminn?

   Dokumentci s eszkzk.

   Ltezik Valdi Dokumentci. Azonnal olvashat (online) s nyomtatott.
   Ezek kzl nhny elolvassa kvetelmny a kezd DNS adminbl egy
   halad adminn vlshoz.

   Megrtam a The Concise Guide to DNS and BIND (Nicolai Langfeldt, n)
   knyvet, kiadta a Que (ISBN 0-7897-2273-9). A knyv hasonlatos ehhez a
   HOGYANhoz, csak rszletesebb, s mindenbl sokkal tbb van benne. Le
   van fordtva lengyelre is, s DNS i BIND kiadva a Helion ltal (
   [26]http://helion.pl/ksiazki/dnsbin.htm, ISBN 83-7197-446-9). Most van
   negyedik kiadsban a DNS and BIND Cricket Liu-tl s P. Albitz-tl az
   O'Reilly & Associates gondozsban (ISBN 0-937175-82-X,
   elszeretettel nevezve a Cricket knyvnek). Egy msik knyv a Linux
   DNS Server Administration, Craig Hunt-tl, a Sybex kiadsban (ISBN
   0782127363), mg nem olvastam el. Egy msik kvetelmny a kpzett DNS
   adminisztrtor szmra a Zen and the Art of Motorcycle Maintenance
   Robert M. Pirsig-tl.

   Megtallhatod a knyvemet azonnal olvashat formban (online), ms
   knyvek tonnival egytt, amelyek elektronikusan elrhetk mint
   elfizetses szolgltats a [27]http://safari.informit.com/ honlapon.
   Van mg anyag a [28]http://www.dns.net/dnsrd/ (DNS Resources
   Directory), [29]http://www.isc.org/bind.html cmen; Egy GYIK, egy
   referencia kziknyv (az ARM-nak szintn benne kell lennie a BIND
   disztribciban) ppgy, mint paprok s protokoll defincik, s DNS
   hackek (ezeket, s a legtbb, ha nem az sszes, lentebb emltett
   RFC-t, szintn tartalmazza a DNS disztribci). Tbbsgt nem
   olvastam. A [30]news:comp.protocols.tcp-ip.domains hrcsoport a
   DNS-rl szl. Ezekhez addan van egy pr RFC a DNS-rl, a
   legfontosabbak valsznleg az itt felsoroltak. Azok, melyeknek van
   BCP (Best Current Practice - Legjobb Jelenlegi Gyakorlat) szma,
   ersen ajnlottak.

   /RFC 2671/ P. Vixie, Extension Mechanisms for DNS (EDNS0) 1999
          augusztus. (DNS kiterjesztsi mechanizmusok)

   /RFC 2317/
          BCP 20, H. Eidnes et. al. Classless IN-ADDR.ARPA delegation,
          1998 mrcius. (Osztlyon kvli IN-ADDR.ARPA delegls) Ez a
          CIDR-rl szl, vagy az osztlyon kvli alhlzatok fordtott
          lekrdezsrl.

   /RFC 2308/
          M. Andrews, Negative Caching of DNS Queries, 1998 mrcius. (A
          DNS lekrdezsek negatv gyorsttrazsa) A negatv
          gyorsttrazsrl s a $TTL znallomny direktvrl.

   /RFC 2219/
          BCP 17, M. Hamilton and R. Wright, Use of DNS Aliases for
          Network Services, 1997 oktber. (A DNS lnevek hasznlata
          hlzati szolgltatsok cljra) A CNAME hasznlatrl.

   /RFC 2182/
          BCP 16, R. Elz et. al., Selection and Operation of Secondary
          DNS Servers, 1997 jlius. (A msodlagos DNS szerverek
          kivlasztsa s mkdtetse)

   /RFC 2052/
          A. Gulbrandsen, P. Vixie, A DNS RR for specifying the location
          of services (DNS SRV), October 1996 (Egy DNS RR a
          szolgltatsok helymeghatrozsra)

   /RFC 1918/
          Y. Rekhter, R. Moskowitz, D. Karrenberg, G. de Groot, E. Lear,
          Address Allocation for Private Internets, 1996.02.29.
          (Cmlefoglals magn Internetek szmra)

   /RFC 1912/
          D. Barr, Common DNS Operational and Configuration Errors,
          1996.02.28. (Gyakori zemeltetsi s belltsi DNS hibk)

   /RFC 1912 Errors/
          B. Barr /Errors in RFC 1912. (Hibk az RFC 1912-ben/ Csak a
          [31]http://www.cis.ohio-state.edu/~barr/rfc1912-errors.html
          cmen rhet el.

   /RFC 1713/
          A. Romao, Tools for DNS debugging, 1994.11.03. (A DNS
          hibakeress eszkzei)

   /RFC 1712/
          C. Farrell, M. Schulze, S. Pleitner, D. Baldoni, DNS Encoding
          of Geographical Location, 1994.11.01. (A fldrajzi helyek
          DNS-be kdolsa)

   /RFC 1183/
          R. Ullmann, P. Mockapetris, L. Mamakos, C. Everhart, New DNS RR
          Definitions, 1990.10.08. (j DNS RR meghatrozsok)

   /RFC 1035/
          P. Mockapetris, Domain names - implementation and
          specification, 1987.11.01. (Tartomnynevek - implementci s
          specifikci)

   /RFC 1034/
          P. Mockapetris, Domain names - concepts and facilities,
          1987.11.01. (Tartomnynevek - fogalmak s lehetsgek)

   /RFC 1033/
          M. Lottor, Domain administrators operations guide, 1987.1.01.
          (Tartomny-adminisztrtorok zemelteti tmutatja)

   /RFC 1032/
          M. Stahl, Domain administrators guide, 1987.11.01.

          (Tartomny-adminisztrtorok tmutatja)

   /RFC 974/
          C. Partridge, Mail routing and the domain system, 1986.01.01.
          (Levltovbbts s a tartomnyrendszer)

References

   1. file://localhost/home/dacas/temp/DNS-HOWTO-hu.html#qanda
   2. http://langfeldt.net/DNS-HOWTO/
   3. http://www.tldp.org/
   4. mailto:zfuri@avaya.com_NO_SPAM
   5. mailto:laca@janus.gimsz.sulinet.hu_NO_SPAM
   6. mailto:linuxhowto@sch.bme.hu_NO_SPAM
   7. http://tldp.fsf.hu/index.html
   8. file://localhost/home/dacas/temp/DNS-HOWTO-hu.html#qanda
   9. file://localhost/home/dacas/temp/DNS-HOWTO-hu.html#bigger
  10. file://localhost/home/dacas/temp/DNS-HOWTO-hu.html#qanda
  11. ftp://ftp.isc.org/isc/bind9/
  12. http://langfeldt.net/DNS-HOWTO/
  13. http://www.isc.org/products/BIND/
  14. http://djbdns.org/
  15. http://cr.yp.to/djbdns/ad.html
  16. http://www.isc.org/ml-archives/bind-users/2000/08/msg01075.html
  17. file://localhost/home/dacas/temp/DNS-HOWTO-hu.html#maint
  18. file://localhost/home/dacas/temp/DNS-HOWTO-hu.html#qanda
  19. file://localhost/home/dacas/temp/DNS-HOWTO-hu.html#starting
  20. http://www.acmebw.com/askmrdns/00007.htm
  21. file://localhost/home/dacas/temp/DNS-HOWTO-hu.html#bigger
  22. http://www.etherboy.com/dns/chrootdns.html
  23. http://langfeldt.net/DNS-HOWTO/
  24. file://localhost/home/dacas/temp/DNS-HOWTO-hu.html#caching
  25. http://www.etherboy.com/dns/chrootdns.html
  26. http://helion.pl/ksiazki/dnsbin.htm
  27. http://safari.informit.com/
  28. http://www.dns.net/dnsrd/
  29. http://www.isc.org/bind.html
  30. news:comp.protocols.tcp-ip.domains
  31. http://www.cis.ohio-state.edu/~barr/rfc1912-errors.html
