Rabu, 17 Agustus 2011

Instalasi dan Konfigurasi DHCP Server

Instalasi dan Konfigurasi DHCP Server

Bagian ini memberikan informasi tentang cara mengkonfigurasi sistem FreeBSD yang bertindak sebagai server dengan menggunakan DHCP ISC (Internet System Consortium) pelaksanaan DHCP server.

Server tidak diberikan sebagai bagian dari FreeBSD, maka anda perlu menginstal net/isc-dhcp3-server port untuk menyediakan layanan ini. Lihat Bab 4 untuk informasi lebih lanjut tentang menggunakan Ports Collection.
29.5.7.2 Instalasi DHCP Server

Untuk mengkonfigurasi sistem FreeBSD sebagai server DHCP, anda perlu memastikan bahwa BPF (4) perangkat dikompilasi di dalam kernel. Untuk melakukannya, tambahkan perangkat BPF ke file konfigurasi kernel anda, dan membangun kernel. Untuk informasi lebih lanjut tentang membangun kernel, lihat Bab 8.

BPF perangkat yang sudah bagian dari kernel generik yang disertakan dengan FreeBSD, jadi Anda tidak perlu membuat custom kernel untuk mendapatkan DHCP bekerja.

Catatan: Mereka yang sadar khususnya keamanan harus diingat bahwa BPF juga merupakan perangkat yang memungkinkan packet sniffers untuk bekerja dengan benar (meskipun program masih perlu privilege akses). BPF dibutuhkan untuk menggunakan DHCP, tetapi jika Anda sangat sensitif tentang keamanan, Anda mungkin harus tidak termasuk dalam BPF kernel murni karena Anda harapkan untuk menggunakan DHCP di beberapa titik di masa depan.

Selanjutnya yang perlu anda lakukan adalah mengedit dhcpd.conf sampel yang telah diinstal oleh net/isc-dhcp3-server pelabuhan. Secara default, ini akan menjadi / usr / local / etc / dhcpd.conf.sample, dan Anda harus menyalin ini ke / usr / local / etc / dhcpd.conf sebelum melanjutkan untuk melakukan perubahan.
29.5.7.3 Konfigurasi DHCP server yang

dhcpd.conf terdiri dari deklarasi mengenai subnets dan alam, dan mungkin paling mudah dijelaskan dengan menggunakan contoh:

option domain-name "example.com"; (1)
option domain-name-server 192.168.4.100; (2)
option subnet-mask 255.255.255.0; (3)

default-lease-time 3600; (4)
max-lease-time 86400; (5)
DDNS-update-style none; (6)

subnet 192.168.4.0 netmask 255.255.255.0 (
range 192.168.4.129 192.168.4.254; (7)
option routers 192.168.4.1; (8)
)

host mailhost (
hardware ethernet 02:03:04:05:06:07; (9)
fixed-address mailhost.example.com; (10)
)

(1) Pilihan ini menentukan domain yang akan diberikan kepada klien sebagai standar pencarian domain. Lihat resolv.conf (5) untuk informasi lebih lanjut tentang apa yang dimaksud hal ini.

(2) Pilihan ini menentukan daftar dipisahkan koma dari server DNS yang harus menggunakan klien.

(3) Dengan netmask yang akan diberikan kepada klien.

(4) Klien dapat meminta spesifik lamanya waktu sewa yang akan berlaku. Jika server akan menetapkan sewa ini berakhir dengan nilai (dalam detik).

(5) Ini adalah maksimum panjang waktu yang digunakan untuk server akan sewa. Klien harus meminta lagi sewa, sewa yang akan dikeluarkan, walaupun hanya akan berlaku untuk max-lease-time detik.

(6) Opsi ini menentukan apakah DHCP server harus mencoba untuk meng-update DNS bila sewa diterima atau dilepaskan. ISC dalam pelaksanaan, opsi ini diperlukan.

(7) Hal ini menunjukkan alamat IP yang harus digunakan di kolam renang untuk mengalokasikan ke klien. Antara alamat IP, dan termasuk salah satu yang dinyatakan diberikan kepada klien.

(8) Menyatakan default gateway yang akan diberikan kepada klien.

(9) Hardware alamat MAC dari sebuah host (sehingga server DHCP dapat mengenali host ketika membuat permintaan).
(10) Menetapkan host yang harus selalu diberi alamat IP yang sama. Perlu diketahui bahwa dengan menggunakan nama host yang benar di sini, karena server DHCP akan menyelesaikan hostname sendiri sebelum kembali informasi yang sewa.

Setelah Anda selesai menulis dhcpd.conf, Anda harus mengaktifkan DHCP server di / etc / rc.conf, yakni dengan menambahkan:

dhcpd_enable = "YES"
dhcpd_ifaces = "dc0"

Dc0 ganti dengan nama antarmuka antarmuka (atau antarmuka, dipisahkan dengan spasi) yang harus Anda DHCP server DHCP untuk mendengarkan pada permintaan klien.

Kemudian, anda dapat melanjutkan ke server oleh mulai mengeluarkan perintah berikut:

# / Usr / local / etc / rc.d / ISC-dhcpd.sh mulai

Jika Anda perlu membuat perubahan pada konfigurasi dari server Anda di masa depan, penting untuk dicatat bahwa mengirimkan sinyal ke SIGHUP dhcpd tidak menghasilkan konfigurasi yang reloaded, karena paling tidak dengan daemon. Anda harus mengirim sinyal SIGTERM untuk menghentikan proses, dan kemudian kembali dengan menggunakan perintah di atas.
29.5.7.4 File

*

/ usr / local / sbin / dhcpd

dhcpd adalah statically terhubung dan berada di / usr / local / sbin. The dhcpd (8) manual halaman terinstal dengan pelabuhan memberikan informasi lebih lanjut tentang dhcpd.
*

/ usr / local / etc / dhcpd.conf

dhcpd memerlukan file konfigurasi, / usr / local / etc / dhcpd.conf sebelum akan mulai memberikan layanan kepada klien. File ini harus berisi semua informasi yang harus diberikan kepada nasabah yang sedang dilayani, beserta informasi mengenai operasi dari server. File konfigurasi ini dijelaskan oleh dhcpd.conf (5) manual halaman diinstal oleh pelabuhan.
*

/ var / db / dhcpd.leases

DHCP server yang menyimpan database sewa telah dikeluarkan dalam file ini, yang ditulis sebagai log. Manual halaman dhcpd.leases (5), diinstal oleh pelabuhan memberikan sedikit keterangan lagi.
*

/ usr / local / sbin / dhcrelay

dhcrelay digunakan dalam lanjutan lingkungan di mana satu DHCP server maju permintaan dari client ke server DHCP pada jaringan yang terpisah. Jika Anda membutuhkan fungsi ini, maka memasang net/isc-dhcp3-relay pelabuhan. The dhcrelay (8) halaman manual dengan pelabuhan yang berisi informasi lebih lengkap.

Sistem Nama Domain (DNS)
Kontribusi Chern Lee, Tom Rhodes, dan Daniel Gerzo.
29.6.1 Pendahuluan

Memanfaatkan FreeBSD, secara default, versi bind (Berkeley Internet Name Domain), yang adalah yang paling umum implementasi DNS protokol. DNS adalah protokol yang melalui Nama yang dipetakan ke alamat IP, dan sebaliknya. Misalnya, permintaan untuk www.FreeBSD.org akan menerima balasan dengan alamat IP yang FreeBSD Proyek web server, sedangkan, permintaan untuk ftp.FreeBSD.org akan kembali alamat IP yang sesuai FTP mesin. Demikian pula, sebaliknya dapat terjadi. J permintaan untuk alamat IP tersebut dapat hostname nya. Anda tidak perlu menjalankan server nama untuk melakukan DNS lookups pada sistem.

FreeBSD saat ini dilengkapi dengan perangkat lunak server DNS BIND9 secara default. Instalasi kami menyediakan fitur canggih, file yang baru dan otomatis sistem tata letak chroot (8) konfigurasi.

DNS dikoordinasikan di Internet melalui sistem yang kompleks berwibawa akar, Top Level Domain (TLD), dan skala kecil-nama server yang host dan cache setiap domain.

Saat ini, Bind dikelola oleh Internet Systems Consortium https: / / www.isc.org/.



Reasons to Run a Name Server.
Nama server biasanya datang dalam dua bentuk: yang berwibawa nama server, dan server nama caching.

Yang berwibawa nama server bila diperlukan:

*

Satu ingin melayani DNS informasi ke seluruh dunia, replying authoritatively ke query.
*

J domain, seperti example.org, terdaftar dan alamat IP yang harus diberikan ke hostname di bawah ini.
*

Alamat IP blok memerlukan reverse DNS masukan (IP ke nama host).
*

J cadangan atau kedua nama server, disebut sebagai budak, akan membalas permintaan.

J caching nama server bila diperlukan:

*

J lokal server DNS Mei cache dan merespon lebih cepat dari yang di luar querying nama server.

Ketika satu permintaan untuk www.FreeBSD.org, yang biasanya permintaan Resolver yang uplink ISP's name server, dan mengambil balasan. Dengan lokal, server DNS caching, permintaan hanya harus dilakukan setelah ke dunia luar oleh server DNS caching. Setiap tambahan tidak akan ada permintaan untuk melihat ke luar jaringan lokal, karena informasi yang di-cache lokal.



29.6.5 Starting BIND
Sejak bind terinstal secara default, semua konfigurasi yang relatif sederhana.

Default bernama konfigurasi adalah dasar tersebut nama server, yang berjalan di chroot (8) lingkungan, dan dibatasi untuk mendengarkan pada lokal alamat IPv4 Loopback (127.0.0.1). Untuk memulai satu waktu server dengan konfigurasi ini, gunakan perintah berikut:
 # /etc/rc.d/named onestart
To ensure the named daemon is started at boot each time, put the following line into the /etc/rc.conf:
named_enable="YES" Jelas ada banyak pilihan untuk konfigurasi / etc / namedb / named.conf yang dijelaskan di dokumen ini. Namun, jika Anda tertarik pada pilihan startup bernama pada FreeBSD, silakan lihat di named_ * flag di / etc / default / rc.conf dan berkonsultasi dengan rc.conf (5) halaman manual. Bagian 11,7 yang juga bagian yang dibaca.

Configuration Files
Nama file-file konfigurasi untuk saat ini berada di / etc / namedb direktori dan perlu modifikasi sebelum digunakan kecuali semua yang diperlukan adalah sederhana Resolver. Di sinilah sebagian besar konfigurasi akan dilakukan.
29.6.6.1 /etc/namedb/named.conf
// $FreeBSD$//// Refer to the named.conf(5) and named(8) man pages, and the documentation// in /usr/share/doc/bind9 for more details.//// If you are going to set up an authoritative server, make sure you// understand the hairy details of how DNS works.  Even with// simple mistakes, you can break connectivity for affected parties,// or cause huge amounts of useless Internet traffic. options {// Relative to the chroot directory, if anydirectory   "/etc/namedb";pid-file    "/var/run/named/pid";dump-file   "/var/dump/named_dump.db";statistics-file "/var/stats/named.stats"; // If named is being used only as a local resolver, this is a safe default.// For named to be accessible to the network, comment this option, specify// the proper IP address, or delete this option.listen-on   { 127.0.0.1; }; // If you have IPv6 enabled on this system, uncomment this option for// use as a local resolver.  To give access to the network, specify// an IPv6 address, or the keyword "any".//  listen-on-v6    { ::1; }; // These zones are already covered by the empty zones listed below.// If you remove the related empty zones below, comment these lines out.disable-empty-zone "255.255.255.255.IN-ADDR.ARPA";disable-empty-zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA";disable-empty-zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA"; // If you've got a DNS server around at your upstream provider, enter// its IP address here, and enable the line below.  This will make you// benefit from its cache, thus reduce overall DNS traffic in the Internet./*forwarders {127.0.0.1;};*/ // If the 'forwarders' clause is not empty the default is to 'forward first'// which will fall back to sending a query from your local server if the name// servers in 'forwarders' do not have the answer.  Alternatively you can// force your name server to never initiate queries of its own by enabling the// following line://  forward only; // If you wish to have forwarding configured automatically based on// the entries in /etc/resolv.conf, uncomment the following line and// set named_auto_forward=yes in /etc/rc.conf.  You can also enable// named_auto_forward_only (the effect of which is described above).//  include "/etc/namedb/auto_forward.conf";
Just as the comment says, to benefit from an uplink's cache, forwarders can be enabled here. Under normal circumstances, a name server will recursively query the Internet looking at certain name servers until it finds the answer it is looking for. Having this enabled will have it query the uplink's name server (or name server provided) first, taking advantage of its cache. If the uplink name server in question is a heavily trafficked, fast name server, enabling this may be worthwhile.
Warning: 127.0.0.1 will not work here. Change this IP
address to a name server at your uplink.
/*Modern versions of BIND use a random UDP port for each outgoingquery by default in order to dramatically reduce the possibilityof cache poisoning.  All users are strongly encouraged to utilizethis feature, and to configure their firewalls to accommodate it. AS A LAST RESORT in order to get around a restrictive firewallpolicy you can try enabling the option below.  Use of this optionwill significantly reduce your ability to withstand cache poisoningattacks, and should be avoided if at all possible. Replace NNNNN in the example with a number between 49160 and 65530.*/// query-source address * port NNNNN;}; // If you enable a local name server, don't forget to enter 127.0.0.1// first in your /etc/resolv.conf so this server will be queried.// Also, make sure to enable it in /etc/rc.conf. // The traditional root hints mechanism. Use this, OR the slave zones below.zone "." { type hint; file "named.root"; }; /*  Slaving the following zones from the root name servers has somesignificant advantages:1. Faster local resolution for your users2. No spurious traffic will be sent from your network to the roots3. Greater resilience to any potential root server failure/DDoS On the other hand, this method requires more monitoring than thehints file to be sure that an unexpected failure mode has notincapacitated your server.  Name servers that are serving a lotof clients will benefit more from this approach than individualhosts.  Use with caution. To use this mechanism, uncomment the entries below, and commentthe hint zone above.*//*zone "." {type slave;file "slave/root.slave";masters {192.5.5.241;    // F.ROOT-SERVERS.NET.};notify no;};zone "arpa" {type slave;file "slave/arpa.slave";masters {192.5.5.241;    // F.ROOT-SERVERS.NET.};notify no;};zone "in-addr.arpa" {type slave;file "slave/in-addr.arpa.slave";masters {192.5.5.241;    // F.ROOT-SERVERS.NET.};notify no;};*/ /*  Serving the following zones locally will prevent any queriesfor these zones leaving your network and going to the rootname servers.  This has two significant advantages:1. Faster local resolution for your users2. No spurious traffic will be sent from your network to the roots*/// RFC 1912zone "localhost"    { type master; file "master/localhost-forward.db"; };zone "127.in-addr.arpa" { type master; file "master/localhost-reverse.db"; };zone "255.in-addr.arpa" { type master; file "master/empty.db"; }; // RFC 1912-style zone for IPv6 localhost addresszone "0.ip6.arpa"   { type master; file "master/localhost-reverse.db"; }; // "This" Network (RFCs 1912 and 3330)zone "0.in-addr.arpa"       { type master; file "master/empty.db"; }; // Private Use Networks (RFC 1918)zone "10.in-addr.arpa"      { type master; file "master/empty.db"; };zone "16.172.in-addr.arpa"  { type master; file "master/empty.db"; };zone "17.172.in-addr.arpa"  { type master; file "master/empty.db"; };zone "18.172.in-addr.arpa"  { type master; file "master/empty.db"; };zone "19.172.in-addr.arpa"  { type master; file "master/empty.db"; };zone "20.172.in-addr.arpa"  { type master; file "master/empty.db"; };zone "21.172.in-addr.arpa"  { type master; file "master/empty.db"; };zone "22.172.in-addr.arpa"  { type master; file "master/empty.db"; };zone "23.172.in-addr.arpa"  { type master; file "master/empty.db"; };zone "24.172.in-addr.arpa"  { type master; file "master/empty.db"; };zone "25.172.in-addr.arpa"  { type master; file "master/empty.db"; };zone "26.172.in-addr.arpa"  { type master; file "master/empty.db"; };zone "27.172.in-addr.arpa"  { type master; file "master/empty.db"; };zone "28.172.in-addr.arpa"  { type master; file "master/empty.db"; };zone "29.172.in-addr.arpa"  { type master; file "master/empty.db"; };zone "30.172.in-addr.arpa"  { type master; file "master/empty.db"; };zone "31.172.in-addr.arpa"  { type master; file "master/empty.db"; };zone "168.192.in-addr.arpa" { type master; file "master/empty.db"; }; // Link-local/APIPA (RFCs 3330 and 3927)zone "254.169.in-addr.arpa" { type master; file "master/empty.db"; }; // TEST-NET for Documentation (RFC 3330)zone "2.0.192.in-addr.arpa" { type master; file "master/empty.db"; }; // Router Benchmark Testing (RFC 3330)zone "18.198.in-addr.arpa"  { type master; file "master/empty.db"; };zone "19.198.in-addr.arpa"  { type master; file "master/empty.db"; }; // IANA Reserved - Old Class E Spacezone "240.in-addr.arpa"     { type master; file "master/empty.db"; };zone "241.in-addr.arpa"     { type master; file "master/empty.db"; };zone "242.in-addr.arpa"     { type master; file "master/empty.db"; };zone "243.in-addr.arpa"     { type master; file "master/empty.db"; };zone "244.in-addr.arpa"     { type master; file "master/empty.db"; };zone "245.in-addr.arpa"     { type master; file "master/empty.db"; };zone "246.in-addr.arpa"     { type master; file "master/empty.db"; };zone "247.in-addr.arpa"     { type master; file "master/empty.db"; };zone "248.in-addr.arpa"     { type master; file "master/empty.db"; };zone "249.in-addr.arpa"     { type master; file "master/empty.db"; };zone "250.in-addr.arpa"     { type master; file "master/empty.db"; };zone "251.in-addr.arpa"     { type master; file "master/empty.db"; };zone "252.in-addr.arpa"     { type master; file "master/empty.db"; };zone "253.in-addr.arpa"     { type master; file "master/empty.db"; };zone "254.in-addr.arpa"     { type master; file "master/empty.db"; }; // IPv6 Unassigned Addresses (RFC 4291)zone "1.ip6.arpa"       { type master; file "master/empty.db"; };zone "3.ip6.arpa"       { type master; file "master/empty.db"; };zone "4.ip6.arpa"       { type master; file "master/empty.db"; };zone "5.ip6.arpa"       { type master; file "master/empty.db"; };zone "6.ip6.arpa"       { type master; file "master/empty.db"; };zone "7.ip6.arpa"       { type master; file "master/empty.db"; };zone "8.ip6.arpa"       { type master; file "master/empty.db"; };zone "9.ip6.arpa"       { type master; file "master/empty.db"; };zone "a.ip6.arpa"       { type master; file "master/empty.db"; };zone "b.ip6.arpa"       { type master; file "master/empty.db"; };zone "c.ip6.arpa"       { type master; file "master/empty.db"; };zone "d.ip6.arpa"       { type master; file "master/empty.db"; };zone "e.ip6.arpa"       { type master; file "master/empty.db"; };zone "0.f.ip6.arpa"     { type master; file "master/empty.db"; };zone "1.f.ip6.arpa"     { type master; file "master/empty.db"; };zone "2.f.ip6.arpa"     { type master; file "master/empty.db"; };zone "3.f.ip6.arpa"     { type master; file "master/empty.db"; };zone "4.f.ip6.arpa"     { type master; file "master/empty.db"; };zone "5.f.ip6.arpa"     { type master; file "master/empty.db"; };zone "6.f.ip6.arpa"     { type master; file "master/empty.db"; };zone "7.f.ip6.arpa"     { type master; file "master/empty.db"; };zone "8.f.ip6.arpa"     { type master; file "master/empty.db"; };zone "9.f.ip6.arpa"     { type master; file "master/empty.db"; };zone "a.f.ip6.arpa"     { type master; file "master/empty.db"; };zone "b.f.ip6.arpa"     { type master; file "master/empty.db"; };zone "0.e.f.ip6.arpa"       { type master; file "master/empty.db"; };zone "1.e.f.ip6.arpa"       { type master; file "master/empty.db"; };zone "2.e.f.ip6.arpa"       { type master; file "master/empty.db"; };zone "3.e.f.ip6.arpa"       { type master; file "master/empty.db"; };zone "4.e.f.ip6.arpa"       { type master; file "master/empty.db"; };zone "5.e.f.ip6.arpa"       { type master; file "master/empty.db"; };zone "6.e.f.ip6.arpa"       { type master; file "master/empty.db"; };zone "7.e.f.ip6.arpa"       { type master; file "master/empty.db"; }; // IPv6 ULA (RFC 4193)zone "c.f.ip6.arpa"     { type master; file "master/empty.db"; };zone "d.f.ip6.arpa"     { type master; file "master/empty.db"; }; // IPv6 Link Local (RFC 4291)zone "8.e.f.ip6.arpa"       { type master; file "master/empty.db"; };zone "9.e.f.ip6.arpa"       { type master; file "master/empty.db"; };zone "a.e.f.ip6.arpa"       { type master; file "master/empty.db"; };zone "b.e.f.ip6.arpa"       { type master; file "master/empty.db"; }; // IPv6 Deprecated Site-Local Addresses (RFC 3879)zone "c.e.f.ip6.arpa"       { type master; file "master/empty.db"; };zone "d.e.f.ip6.arpa"       { type master; file "master/empty.db"; };zone "e.e.f.ip6.arpa"       { type master; file "master/empty.db"; };zone "f.e.f.ip6.arpa"       { type master; file "master/empty.db"; }; // IP6.INT is Deprecated (RFC 4159)zone "ip6.int"          { type master; file "master/empty.db"; }; // NB: Do not use the IP addresses below, they are faked, and only// serve demonstration/documentation purposes!//// Example slave zone config entries.  It can be convenient to become// a slave at least for the zone your own domain is in.  Ask// your network administrator for the IP address of the responsible// master name server.//// Do not forget to include the reverse lookup zone!// This is named after the first bytes of the IP address, in reverse// order, with ".IN-ADDR.ARPA" appended, or ".IP6.ARPA" for IPv6.//// Before starting to set up a master zone, make sure you fully// understand how DNS and BIND work.  There are sometimes// non-obvious pitfalls.  Setting up a slave zone is usually simpler.//// NB: Don't blindly enable the examples below. :-)  Use actual names// and addresses instead. /* An example dynamic zonekey "exampleorgkey" {algorithm hmac-md5;secret "sf87HJqjkqh8ac87a02lla==";};zone "example.org" {type master;allow-update {key "exampleorgkey";};file "dynamic/example.org";};*/ /* Example of a slave reverse zonezone "1.168.192.in-addr.arpa" {type slave;file "slave/1.168.192.in-addr.arpa";masters {192.168.1.1;};};*/Dalam named.conf, ini adalah contoh dari Slave masukan untuk maju dan mundur zona.  Untuk setiap zona baru menjabat, yang baru masuk zona harus ditambahkan ke named.conf. Misalnya, untuk masuk zona sederhana 
example.org dapat terlihat seperti 

 zone "example.org" {type master;file "master/example.org";}; Zona yang merupakan tuan, seperti yang ditunjukkan oleh jenis pernyataan, yang memegang informasi zona di / etc / namedb / master / example.org file yang ditunjukkan oleh pernyataan. zone "example.org" {type slave;file "slave/example.org";}; Slave dalam kasus tersebut, zona informasi ditransfer dari master server nama untuk zona tertentu, dan disimpan dalam file yang ditentukan. Jika dan ketika master server mati atau unreachable, Slave server nama yang akan ditransfer memiliki zona informasi dan akan dapat melayani ini
An example master zone file for example.org (existing within /etc/namedb/master/example.org) is as follows:
$TTL 3600        ; 1 hour default TTLexample.org.    IN      SOA      ns1.example.org. admin.example.org. (2006051501   

Tidak ada komentar:

Posting Komentar