01.08.2025

Настройка DNS для SRV1-HQ и SRV1-DT

Задание:

9) Настройка DNS для SRV1-HQ и SRV1-DT

  • a) Реализуйте основной DNS сервер компании на SRV1-HQ
    • 1. Для всех устройств обоих офисов необходимо создать записи A и PTR.
    • 2. Для всех сервисов предприятия необходимо создать записи CNAME.
    • 3. Загрузка записей с SRV1-HQ должна быть разрешена только для SRV1-DT
  • b) Сконфигурируйте SRV1-DT, как резервный DNS сервер.
  • c) Реализуйте Response Policy Zone на основном и резервном DNS
    • 1. Из сети DT имя test.au.team должно преобразовываться в адрес SRV1-DT, а из сети HQ – в адрес SRV1-HQ.
  • d) Все устройства должны быть настроены на использование обоих внутренних DNS серверов.
    • 1. Для офиса HQ основным DNS сервером является SRV1-HQ
    • 2. Для офиса DT основным DNS сервером является SRV1-DT
  • e) В качестве DNS сервера пересылки используйте любой общедоступный DNS сервер

Вариант реализации:

Записи типа A, PTR и CNAME — будут создаваться после установки контроллера домена, средствами samba-tool

 

SRV1-HQ:

  • Для установки необходимых пакетов, временно установим в качестве DNS публичный адрес:
echo "nameserver 77.88.8.8" > /etc/resolv.conf
  • Установим необходимые пакеты:
apt-get update && apt-get install -y bind bind-utils
  • Правим конфигурационный файл /etc/bind/options.conf:
vim /etc/bind/options.conf
    • вносим следующие изменения:
      • listen-on — Позволяет указать сетевые интерфейсы, которые будет прослушивать служба
      • listen-on-v6 — Раз IPv6 не используется, тогда не используем
      • forwarders — DNS-сервер, на который будут перенаправляться запросы клиентов
      • allow-query — IP-адреса и подсети от которых будут обрабатываться запросы
      • allow-transfer — Устанавливает возможность передачи зон для slave-серверов
      • response-policy — Активируем RPZ

  • Правим конфигурационный файл /etc/bind/local.conf:
vim /etc/bind/local.conf
    • вносим следующие изменения:
      • информацию о Response Policy Zone для test.au.team

  • Копируем пример файла для зоны:
cp /etc/bind/zone/{localdomain,rpz.hq}
cp /etc/bind/zone/{localdomain,rpz.dt}
  • Задаём необходимые права:
chown root:named /etc/bind/zone/rpz.{hq,dt}
  • Правим файл зоны прямого просмотра для rpz.hq:
vim /etc/bind/zone/rpz.hq
    • приводим файл к следующему виду:

  • Правим файл зоны прямого просмотра для rpz.dt:
vim /etc/bind/zone/rpz.dt
    • приводим файл к следующему виду:

  • Включаем и добавляем в автозагрузку службу bind:
systemctl enable --now bind

 

FW-DT:

  • Добавляем фильтр разрешающий доступ Серверам и Администраторам офиса DT ко всем устройствам:
firewall forward add src 192.168.33.64/28,192.168.33.80/29 dst @any pass
  • Добавляем фильтр разрешающий доступ Клиентам офиса DT только к серверам:
firewall forward add src 192.168.33.0/26 dst 192.168.11.64/28,192.168.33.64/28 pass

 

SRV1-DT:

  • Задаём настройки DNS:
cat <<EOF > /etc/net/ifaces/ens19/resolv.conf
  search au.team
  nameserver 192.168.11.66
  nameserver 192.168.33.66
EOF
  • Перезагружаем службу network:
systemctl restart network
  • Установим необходимые пакеты:
apt-get update && apt-get install -y bind bind-utils
  • Правим конфигурационный файл /etc/bind/options.conf:
vim /etc/bind/options.conf
    • вносим следующие изменения:

  • Правим конфигурационный файл /etc/bind/local.conf:
vim /etc/bind/local.conf
    • вносим следующие изменения:
      • информацию о Response Policy Zone для test.au.team

  • Чтобы bind работал в режиме SLAVE, нужно выполнить:
control bind-slave enabled
  • Включаем и добавляем в автозагрузку службу bind:
systemctl enable --now bind
  • Проверяем:
    • должны появиться файлы зон по пути «/etc/bind/zone/slave/«:

 

  • Проверяем Response Policy Zone
    • с CLI-HQ:

    • с CLI-DT:

 

SRV2-DT | SRV3-DT | ADMIN-DT:

  • Задаём настройки DNS:
cat <<EOF > /etc/net/ifaces/ens19/resolv.conf
  search au.team
  nameserver 192.168.33.66
  nameserver 192.168.11.66
EOF
  • Перезагружаем службу network:
systemctl restart network

 

SW1-HQ | SW2-HQ | SW3-HQ:

  • Задаём настройки DNS:
cat <<EOF > /etc/net/ifaces/MGMT/resolv.conf
  search au.team
  nameserver 192.168.11.66
  nameserver 192.168.33.66
EOF
  • Перезагружаем службу network:
systemctl restart network

 

R-HQ:

  • Задаём настройки DNS:
configure terminal
  ip name-server 192.168.11.66 192.168.33.66
  ip domain-name au.team
  write

 

R-DT:

  • Задаём настройки DNS:
configure terminal
  ip name-server 192.168.33.66 192.168.11.66
  ip domain-name au.team
  write