在CentOS5系統中,IPv6 DNS Server的修正與設定,算是複雜度比較高的項目之一。以下的文件整理,僅針對已建立完成的DNS Server作修正,因為DNS Server本身的複雜度就很高,若參考完本整理文件,也許會抓不著頭緒,敬請參考這幾年的研習講義,再來看這篇整理文件,也許就會瞭解比較多一點!
注意:這個文件僅僅是修正的整理筆記,您將無法獲得完整的操作資訊!
照例,我還是喜歡用快速檢測法來看看,我們家的DNS Server到底有沒有開啟IPv6的功能。
# netstat -an | grep :53
tcp 0 0 163.32.225.1:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
udp 0 0 163.32.225.1:53 0.0.0.0:*
udp 0 0 127.0.0.1:53 0.0.0.0:*
tcp 0 0 163.32.225.1:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
udp 0 0 163.32.225.1:53 0.0.0.0:*
udp 0 0 127.0.0.1:53 0.0.0.0:*
看到這四行連線的狀態,就知道果然是還沒有開啟IPv6的功能。
首先,我們要先確認一下,目前bind的版本是否支援IPv6功能,若不支援,就要昇級版本了!
# rpm -qa | grep bind
ypbind-1.19-12.el5
bind-libs-9.3.6-4.P1.el5_4.2
bind-9.3.6-4.P1.el5_4.2
bind-utils-9.3.6-4.P1.el5_4.2
bind-chroot-9.3.6-4.P1.el5_4.2
ypbind-1.19-12.el5
bind-libs-9.3.6-4.P1.el5_4.2
bind-9.3.6-4.P1.el5_4.2
bind-utils-9.3.6-4.P1.el5_4.2
bind-chroot-9.3.6-4.P1.el5_4.2
版本號碼是 9.3.6,還好是支援IPv6的。
(補充說明:bind是在4.9.5 及 8.1 版以後,就支援IPv6的AAAA記錄;9版以後,更支援一些進階的設定方式。)
(補充說明:bind是在4.9.5 及 8.1 版以後,就支援IPv6的AAAA記錄;9版以後,更支援一些進階的設定方式。)
在修改設定檔之前,要先將這台主機設定成IPv4/IPv6的的網路環境,並使用固定IPv6位址,完成後,再來修定named的設定檔。
第二個重點,要先蒐集並確認下列幾項IP資料:
DNS IPv6 IP ==>2001:288:82xx:1::1/64
校內網段==> 2001:288:82xx:1::/64 , 2001:288:82xx:5::/64 , 2001:288:82xx:6::/64
上層DNS IP ==> 163.28.136.14 , 2001:288:8201:1::14 , 163.28.136.2 , 2001:288:8201:1::2 , 163.28.136.10 , 2001:288:8201:1::10
DNS IPv6 IP ==>2001:288:82xx:1::1/64
校內網段==> 2001:288:82xx:1::/64 , 2001:288:82xx:5::/64 , 2001:288:82xx:6::/64
上層DNS IP ==> 163.28.136.14 , 2001:288:8201:1::14 , 163.28.136.2 , 2001:288:8201:1::2 , 163.28.136.10 , 2001:288:8201:1::10
接下來我們就依照設定檔的順序,一一地來修改DNS的設定檔,讓DNS Server可以支援IPv6功能。
1.named.conf的修定:設定檔在 /var/named/chroot/etc/named.conf
1-1.ACL描述部份:
1-1-1.acl secondaries 描述中,新增三筆上層DNS主機的IPv6位址。
acl secondaries {
localhost;
163.28.136.14/32;
163.28.136.10/32;
163.28.136.2/32;
2001:288:8201:1::14/128;
2001:288:8201:1::2/128;
2001:288:8201:1::10/128;
};
1-1-2.trusted 描述中,新增校內所有IPv6網段。
localhost;
163.28.136.14/32;
163.28.136.10/32;
163.28.136.2/32;
2001:288:8201:1::14/128;
2001:288:8201:1::2/128;
2001:288:8201:1::10/128;
};
1-1-2.trusted 描述中,新增校內所有IPv6網段。
acl trusted {
localnets;
163.32.225.0/24;
192.168.100.0/24;
192.168.101.0/24;
2001:288:82xx:1::/64;
2001:288:82xx:5::/64;
2001:288:82xx:6::/64;
};
localnets;
163.32.225.0/24;
192.168.100.0/24;
192.168.101.0/24;
2001:288:82xx:1::/64;
2001:288:82xx:5::/64;
2001:288:82xx:6::/64;
};
1-2.option描述中,新增IPv6的功能:在 allow-transfer 描述之前,新增下列兩行,以同時開啟IPv4/IPv6 DNS功能。
listen-on {any; };
listen-on-v6 {any; };
listen-on-v6 {any; };
2.新增IPv6反解表(zone)設定:為求完整的IPv6正反解環境,必須在設定檔裡新增學校IPv6網段的反解表設定。
這個設定檔的位置,因各校設定方式而異;在named.conf中有設定view描述的,可能會用include方式引入類似named.zone.xx的zone設定檔,或沒設view描述的,就直接放在named.conf檔中。)
(檔案位置:/var/named/chroot/etc/named.conf 或 /var/named/chroot/etc/named.zone.xx)
這個設定檔的位置,因各校設定方式而異;在named.conf中有設定view描述的,可能會用include方式引入類似named.zone.xx的zone設定檔,或沒設view描述的,就直接放在named.conf檔中。)
(檔案位置:/var/named/chroot/etc/named.conf 或 /var/named/chroot/etc/named.zone.xx)
zone “[domain].kh.edu.tw"{
type master;
file “master/named.[domain].in";
};
zone “???.32.163.in-addr.arpa"{
type master;
file “master/named.???.arpa.in";
};
zone “???.168.192.in-addr.arpa"{
type master;
file “master/named.nat???.arpa";
};
zone “???.168.192.in-addr.arpa"{
type master;
file “master/named.nat???.arpa";
};
zone “x.x.2.8.8.8.2.0.1.0.0.2.ip6.arpa" {
type master;
file “master/named.xxxxip6.arpa";
};
type master;
file “master/named.[domain].in";
};
zone “???.32.163.in-addr.arpa"{
type master;
file “master/named.???.arpa.in";
};
zone “???.168.192.in-addr.arpa"{
type master;
file “master/named.nat???.arpa";
};
zone “???.168.192.in-addr.arpa"{
type master;
file “master/named.nat???.arpa";
};
zone “x.x.2.8.8.8.2.0.1.0.0.2.ip6.arpa" {
type master;
file “master/named.xxxxip6.arpa";
};
3.在原有正解表中,加入IPv6的AAAA紀錄。
(檔案位置:/var/named/chroot/var/named/master/named.[domain].xx)
(檔案位置:/var/named/chroot/var/named/master/named.[domain].xx)
$TTL 86400
@ IN SOA [domain].kh.edu.tw. root. [domain].kh.edu.tw. (
2001101201 ; serial
1H ; refresh
15 ; retry
14D ; expire
12H ; Minimum
)
@ IN SOA [domain].kh.edu.tw. root. [domain].kh.edu.tw. (
2001101201 ; serial
1H ; refresh
15 ; retry
14D ; expire
12H ; Minimum
)
@ IN MX 5 mail.[domain].kh.edu.tw.
@ IN NS [domain].kh.edu.tw.
@ IN NS dns.[domain].kh.edu.tw.
@ IN A 163.32.???.1
@ IN AAAA 2001:288:82xx:1::1
dns IN CNAME [domain].kh.edu.tw.
dns.ipv6 IN AAAA 2001:288:82xx:1::1
proxy IN A 192.168.???.2
mail IN A 163.32.???.3
IN AAAA 2001:288:82xx:1::4
IN MX 0 mail.[domain].kh.edu.tw.
www IN A 163.32.???.4
IN AAAA 2001:288:82xx:1::6
www.ipv6 IN AAAA 2001:288:82xx:1::6
ftp IN CNAME www
vlmcs._tcp IN SRV 0 0 1688 ap24.kh.edu.tw.
@ IN NS [domain].kh.edu.tw.
@ IN NS dns.[domain].kh.edu.tw.
@ IN A 163.32.???.1
@ IN AAAA 2001:288:82xx:1::1
dns IN CNAME [domain].kh.edu.tw.
dns.ipv6 IN AAAA 2001:288:82xx:1::1
proxy IN A 192.168.???.2
mail IN A 163.32.???.3
IN AAAA 2001:288:82xx:1::4
IN MX 0 mail.[domain].kh.edu.tw.
www IN A 163.32.???.4
IN AAAA 2001:288:82xx:1::6
www.ipv6 IN AAAA 2001:288:82xx:1::6
ftp IN CNAME www
vlmcs._tcp IN SRV 0 0 1688 ap24.kh.edu.tw.
4.新增一個IPv6反解表檔案:
(檔案位置:/var/named/chroot/var/named/master/named.xxxxip6.arpa)
(檔案位置:/var/named/chroot/var/named/master/named.xxxxip6.arpa)
; IPv6 reverse lookup zone for 2001:288:82xx::/48
@ IN SOA dns.[domain].kh.edu.tw. root.dns.[domain].kh.edu.tw. (
2010042101 ; serial
28800 ; refresh
7200 ; retry
129600 ; expire
86400 ; default_ttl
)
@ IN NS dns.[domain].kh.edu.tw.
; for 2001:288:82xx::/48
$ORIGIN x.x.2.8.8.8.2.0.1.0.0.2.ip6.arpa.
0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 IN PTR [domain].kh.edu.tw.
; for 2001:288:82xx:1::/64
$ORIGIN 0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0.x.x.2.8.8.8.2.0.1.0.0.2.ip6.arpa.
1.0.0.0 IN PTR dns.[domain].kh.edu.tw.
4.0.0.0 IN PTR mail.[domain].kh.edu.tw.
; for 2001:288:82xx:5::/64
$ORIGIN 0.0.0.0.0.0.0.0.0.0.0.0.5.0.0.0.x.x.2.8.8.8.2.0.1.0.0.2.ip6.arpa.
6.0.0.0 IN PTR blog.[domain].kh.edu.tw.
7.0.0.0 IN PTR student.[domain].kh.edu.tw.
1.5.0.0 IN PTR sql.[domain].kh.edu.tw.
@ IN SOA dns.[domain].kh.edu.tw. root.dns.[domain].kh.edu.tw. (
2010042101 ; serial
28800 ; refresh
7200 ; retry
129600 ; expire
86400 ; default_ttl
)
@ IN NS dns.[domain].kh.edu.tw.
; for 2001:288:82xx::/48
$ORIGIN x.x.2.8.8.8.2.0.1.0.0.2.ip6.arpa.
0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 IN PTR [domain].kh.edu.tw.
; for 2001:288:82xx:1::/64
$ORIGIN 0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0.x.x.2.8.8.8.2.0.1.0.0.2.ip6.arpa.
1.0.0.0 IN PTR dns.[domain].kh.edu.tw.
4.0.0.0 IN PTR mail.[domain].kh.edu.tw.
; for 2001:288:82xx:5::/64
$ORIGIN 0.0.0.0.0.0.0.0.0.0.0.0.5.0.0.0.x.x.2.8.8.8.2.0.1.0.0.2.ip6.arpa.
6.0.0.0 IN PTR blog.[domain].kh.edu.tw.
7.0.0.0 IN PTR student.[domain].kh.edu.tw.
1.5.0.0 IN PTR sql.[domain].kh.edu.tw.
5.重新下載named.cache檔案:下載DNS 13個Root的主機紀錄檔,以更新原有IPv4/IPv6正反解主機狀態。
# cd /var/named/chroot/var/named/master/
# wget ftp://ftp.rs.internic.net/domain/named.cache
# cp -f named.cache root.cache
# wget ftp://ftp.rs.internic.net/domain/named.cache
# cp -f named.cache root.cache
6.重新啟動DNS Service:
# service named restart
7.記得檢查IPv6的防火牆設定,tcp/udp 53 port若沒有開,請重新設定防火牆,並重新啟動。
# service ip6tables status
表格: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all ::/0 ::/0
表格: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all ::/0 ::/0
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all ::/0 ::/0
num target prot opt source destination
1 RH-Firewall-1-INPUT all ::/0 ::/0
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
num target prot opt source destination
Chain RH-Firewall-1-INPUT (2 references)
num target prot opt source destination
1 ACCEPT all ::/0 ::/0
2 ACCEPT icmpv6 ::/0 ::/0
3 ACCEPT esp ::/0 ::/0
4 ACCEPT ah ::/0 ::/0
5 ACCEPT udp ::/0 ff02::fb/128 udp dpt:5353
6 ACCEPT udp ::/0 ::/0 udp dpt:631
7 ACCEPT tcp ::/0 ::/0 tcp dpt:631
8 ACCEPT udp ::/0 ::/0 udp dpts:32768:61000
9 ACCEPT tcp ::/0 ::/0 tcp dpts:32768:61000 flags:!0×16/0×02
10 ACCEPT tcp ::/0 ::/0 tcp dpt:53
11 ACCEPT udp ::/0 ::/0 udp dpt:53
12 ACCEPT tcp ::/0 ::/0 tcp dpt:22
13 REJECT all ::/0 ::/0 reject-with icmp6-adm-prohibited
num target prot opt source destination
1 ACCEPT all ::/0 ::/0
2 ACCEPT icmpv6 ::/0 ::/0
3 ACCEPT esp ::/0 ::/0
4 ACCEPT ah ::/0 ::/0
5 ACCEPT udp ::/0 ff02::fb/128 udp dpt:5353
6 ACCEPT udp ::/0 ::/0 udp dpt:631
7 ACCEPT tcp ::/0 ::/0 tcp dpt:631
8 ACCEPT udp ::/0 ::/0 udp dpts:32768:61000
9 ACCEPT tcp ::/0 ::/0 tcp dpts:32768:61000 flags:!0×16/0×02
10 ACCEPT tcp ::/0 ::/0 tcp dpt:53
11 ACCEPT udp ::/0 ::/0 udp dpt:53
12 ACCEPT tcp ::/0 ::/0 tcp dpt:22
13 REJECT all ::/0 ::/0 reject-with icmp6-adm-prohibited
8.再用快速檢查法,查看一下DNS Service是否開啟IPv6功能:
# netstat -an | grep :53
tcp 0 0 163.32.225.1:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 :::53 :::* LISTEN
udp 0 0 163.32.225.1:53 0.0.0.0:*
udp 0 0 127.0.0.1:53 0.0.0.0:*
udp 0 0 :::53 :::*
tcp 0 0 163.32.225.1:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 :::53 :::* LISTEN
udp 0 0 163.32.225.1:53 0.0.0.0:*
udp 0 0 127.0.0.1:53 0.0.0.0:*
udp 0 0 :::53 :::*
當您看到有 :::53 的狀態,就表示您的DNS Service已經支援IPv6功能了!
資料來源:http://blog.hmes.kh.edu.tw/wordpress/jang/2010/04/22/ipv6-dns-server%E4%BF%AE%E6%AD%A3%E8%88%87%E8%A8%AD%E5%AE%9A/
資料來源:http://blog.hmes.kh.edu.tw/wordpress/jang/2010/04/22/ipv6-dns-server%E4%BF%AE%E6%AD%A3%E8%88%87%E8%A8%AD%E5%AE%9A/
沒有留言:
張貼留言