변군이글루

BIND 관리를 위한 RNDC 설정

bind 서버를 로컬 및 원격지에서 관리하기 위한 Tool로써 보다 향상된 보안 기능을 포함하고 있다. 이것은 클라이언트에 해당되는 Tool로써 제공된다. 그러나 rndc 명령어를 실행할 때마다 별도의 옵션이 필요하기 때문에 rndc.conf 파일을 생성하여 보다 쉽게 사용할 수 있도록 한다.

☞ rndc-confgen

rndc-confgen 명령어는 rndc.conf 파일을 보다 쉽게 생성해주는 명령어로 보다 향상된 DNS 서버를 관리하기 위해 제공된 유틸리티로 BIND 서버와 별도로 사용된다.

rndc-confget 옵션

먼저 /etc/rndc.conf 파일을 생성하기 위해 다음과 같이 설정을 입력한다.

위와 같이 생성이 되는데 출력 결과를 파일로 저장한다면 “>”을 이용하여 저장한다.

rndc를 이용하여 서버를 관리하기 위해 named.conf 에서도 각 옵션을 설정해 주어야 하며 controls 에 의해 제어할 수 있다.

☞ named.conf 에 적용

“vi named.conf” 을 열고 “rrndc.conf” 을 이용하여 파일을 불러온 후 다음만 남겨두고 삭제한다. 위에서 주석이 해제된 부분은 BIND 서버에 rndc 명령어를 이용하여 접속하고자 할 때 사용할 수 있는 설정이며 하단에 주석으로 처리된 부분인 named.conf에서 설정해야 하는 부분이다. 만약 rndc.conf 파일을 작성하지 않았다면 rndc 명령에서 제공하는 옵션을 이용하여 각각 접속을 해야 한다.

☞ rndc

위의 내용으로 원격지 및 로컬에서 “rndc” 명령어를 이용하여 네임서버를 제어할 수 있다. 다음은 rndc 명령에서 제공하는 명령어에 대한 설명이다.

whois 유틸을 이용한 ASN 정보조회

$ dig google.co.kr

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6_3.6 <<>> google.co.kr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25372
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;google.co.kr.   IN A

;; ANSWER SECTION:
google.co.kr.  300 IN A 74.125.129.94

;; AUTHORITY SECTION:
google.co.kr.  83365 IN NS ns1.google.com.
google.co.kr.  83365 IN NS ns2.google.com.
google.co.kr.  83365 IN NS ns3.google.com.
google.co.kr.  83365 IN NS ns4.google.com.

;; ADDITIONAL SECTION:
ns1.google.com.  190320 IN A 216.239.32.10
ns2.google.com.  190320 IN A 216.239.34.10
ns3.google.com.  190320 IN A 216.239.36.10
ns4.google.com.  190320 IN A 216.239.38.10

;; Query time: 345 msec
;; SERVER: 61.78.35.195#53(61.78.35.195)
;; WHEN: Tue Mar 12 10:54:26 2013
;; MSG SIZE  rcvd: 192

$ whois -h whois.cymru.com " -v 74.125.129.94"
[Querying whois.cymru.com]
[whois.cymru.com]
AS      | IP               | BGP Prefix          | CC | Registry | Allocated  | AS Name
15169   | 74.125.129.94    | 74.125.129.0/24     | US | arin     | 2007-03-13 | GOOGLE - Google Inc.

named 계정 생성

# useradd -m -d /var/named -c "NAMED" -s /sbin/nologin -u 25 named

# grep named /etc/passwd
named:x:25:25:Named:/var/named:/sbin/nologin

recursive clients 개수

# rndc status | grep recursive
recursive clients: 6/10000

// recursive clients 수가 200이상 증가 시,
// 외부 통신이 불가능한 상황이 발생한다.

# rndc recursing
// 현재 외부 질의를 하고 있는 퀴리를 수집

# vi /var/named/named.recursing (recursing queries 로그 확인)
-----------------------------------------------------------------
;
; Recursing Queries
;
; client 152.149.80.2#35056: '118.220.172.71.co.kr' requesttime 1245718851
; client 152.149.73.143#49185: 'grafjasqq.ru' requesttime 1245718858
; client 152.149.73.143#49185: 'grafjasqq.ru' requesttime 1245718862
; client 152.149.80.2#35151: '118.220.172.71.co.kr' requesttime 1245718869
; client 152.149.73.143#49686: 'grafjasqq.ru' requesttime 1245718875
; Dump complete
~
-----------------------------------------------------------------

// blackhole에 IP 등록

# vi /etc/named.conf
-----------------------------------------------------------------
options {
        blackhole {131.123.123.19;};
};
-----------------------------------------------------------------

# rndc relocad

named.localhost ZONE 파일