East's IT

2011. 11. 28. 19:33 Log/Linux

리눅스 방화벽 - iptables

iptables - administration tool for IPv4 packet filtering and NAT

SYNOPSIS
iptables [-t table] -A chain rule-specification [options] ; 선택한 chain 맨 아래쪽에 한개의상의 rule 추가
iptables [-t table] -I chain [rulenum] rule-specification [options] ; 선택된 chain에 한개 이상의 룰 추가
iptables [-t table] -R chain rulenum rule-specification [options] ; 선택된 chain 으로 부터 rule 변경
iptables [-t table] -D chain rulenum [options] ; 선택된 chain으로 부터 한개의상의 rule 삭제
iptables [-t table] -[LFZ] [chain] [options]
iptables [-t table] -N chain ; chain 생성
iptables [-t table] -X [chain] ; chain 삭제
iptables [-t table] -P chain target [options] ; target 에 대한 chain 정책 설정
iptables [-t table] -E old-chain-name new-chain-name ; chain 이름 변경
iptables [-t table ] -F chain ; 선택된 chain 삭제, -F 옵션뒤에 chain 을 명시하지 않으면 모든 체인 삭제.
(This is equivalent to deleting all the rules one by one.)

DESCRIPTION
Iptables is used to set up, maintain, and inspect the tables of IP packet filter rules in the Linux kernel. Several different tables
may be defined. Each table contains a number of built-in chains and may also contain user-defined chains.

Each chain is a list of rules which can match a set of packets. Each rule specifies what to do with a packet that matches. This is
called a 'target' which may be a jump to a user-defined chain in the same table.

iptables chain 종류

INPUT : 들어오는 패킷
OUTPUT : 나가는 패킷
FORWARD : 경유하는 패킷
이 세개의 기본체인은 수정이나 삭제가 불가.

기타.
RH-Firewall-1-INPUT : 사용자 정의 패킷

_____
Incoming / \ Outgoing
-->[Routing ]---> |FORWARD|------->
[Decision] \_____/ ^
| |
v ____
___ / \
/ \ |OUTPUT|
|INPUT| \____/
\___/ ^
| |
----> Local Process ----

그림. - 패킷 필터링 흐름.

iptables 사용방법

기본방화벽 정책

ex)
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

REJECT 와 DROP 의 의미
REJECT : 서비스에 접속하려는 사용자의 엑세스를 거부하고 connection refuesed 라는
오류 메시지늘 보여준다.
DROP : 어떠한 경고 메세지도 보여주지 않은 체 패킷을 drop 한다.

방화벽 rule 저장 및 복구

service iptables save => /etc/sysconfig/iptables 파일을 덮어쓰게 된다.

*. 방화벽 설정 리스트 출력 예.

Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp any
ACCEPT esp -- anywhere anywhere
ACCEPT ah -- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
ACCEPT udp -- anywhere anywhere udp dpt:ipp
ACCEPT tcp -- anywhere anywhere tcp dpt:ipp
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:smtp
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
[root@centos1 tmp]#

*.
esp
This module matches the SPIs in ESP header of IPsec packets.

ah
This module matches the SPIs in Authentication header of IPsec packets.

INPUT, OUTPUT, FORWARD chain 을 제외한 나머지 모든 체인은 사용자
정의 체인으로서 사용자가 마음대로 만들고 삭제할 수 있는 체인이다.
그러나 기본체인에 포함(include) 되지 않으면 적용되지 않는다.

NEW- 새로운 연결을 요청하는 패킷,
established - 기존 연결의 일부인 패킷.
related - 기존 연결에 속하지만 새로운 연결을 요청하는 패킷, 예를 들면 접속포트가 20인
수동 ftp 의 경우 전송포트는 사용되지 않은 1024 이상의 어느포트라로 사용가능하다.

기존 rule 에 새로운 rule 을 넣으려면 -I 옵션 다음에 rule 번호를 사용하면 된다.

iptables -I INPUT 1 -i lo -p all -j ACCEPT

ex)
iptables -A INPUT -j DROP => 입력되는 모든 패킷을 버림.

-A : 룰을 추가한다.
INPUT : 입력 패킷
-j : 패킷허용여부
REJECT : 서비스에 접속하려는 사용자의 엑세스를 거부하고 connection refuesed 라는
오류 메시지를 보여준다.
DROP : 어떠한 경고 메세지도 보여주지 않은 채 패킷을 drop 한다.

specifying source and destination address
source : -s, --source, --src
destination: -d, --destitnation, --dst

specifying protocol
-p, --protocol

specifying an interface

-i, --in-interface
-o, --out-interface

parameters

-p, --protocol [!] protocol: 체크할 패킷 또는 룰에 대한 프로토콜
-s, --source [!] address[/mask] :
-d, --destination [!] address[/mask]
-j, --jump target

ex) -s ! 192.168.100.1 => source address가 192.168.100.1 이 아닌 주소.
* ! 은 부정(not)을 뜻함.

ex)
iptables -A INPUT -p tcp -j ACCEPT

입력 프로토콜중 tcp 프로토콜은 모두 허용

포트제어에 대한 옵션은
--sport , --dport
--sport : 소스패킷 포트
--dport : 타겟패킷 포트

ex) iptables -A input -p tcp --dport 80 -j drop

서비스 포트번호 대신 서비스 이름을 사용하여도 된다.
ex) --dport 80 => --dport http

ex)
[root@linux101 /root]# iptables -A INPUT -s 192.168.10.1 -p tcp --dport 23 -j ACCEPT
[root@linux101 /root]# iptables -A INPUT -s 192.168.10.1 -p tcp --dport 21 -j DROP
[root@linux101 /root]# iptables -A INPUT -s 192.168.10.1 -p icmp --icmp-type echo-request -j DROP
[root@linux101 /root]# iptables -L

여러포트를 동시에 지정하는 경우
--dport 1024 : 65535 1024~65535 번호까지.

*. 인터페이스 지정

-i (input interface) , -o (output interface)로 지정한다.

iptables -A INPUT -i eth0 -p tcp --dport(80) -j DROP

*.랜카드가 한개뿐이라면 디바이스를 따로 명시할 필요가 없다.

command line 에서 설정한 iptables rule 은 방화벽이 새로 시작되면
방화벽 설정파일 내용대로 설정된다.
현재 설정 rule을 영구적으로 유지하고 싶으면 iptables-save 명령을 입력하면
설정파일이 현재 설정 내용으로 교체된다.

ip table 상태를 모니터링 하려면 iptstate 를 사용하면 된다.

ex)
# iptstate
IPTables - State Top
Version: 1.4 Sort: SrcIP s to change sorting
Source Destination Proto State TTL
172.16.0.1:514 172.16.0.101:514 udp 0:00:05
192.168.100.1:49494 192.168.100.3:22 tcp ESTABLISHED 119:59:59
192.168.100.1:138 192.168.100.255:138 udp 0:00:08
192.168.100.7:138 192.168.100.255:138 udp 0:00:29
192.168.100.7:137 192.168.100.255:137 udp 0:00:28

*. iptables 시작 및 종료

iptables start : /etc/init.d/ipstables start
iptables stop : /etc/init.d/iptables stop

firewall 초기화
iptables -F
iptables -X
iptables -Z

기본 정책 설정

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

사용자 정의 chain 생성 및 추가
iptables -N 사용자 정의 chain명
iptables -A input -j 사용자 정의 chain 명 : input chain 에 추가하는 경우

rule 설정 예
설정
iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP

제거
iptables -D INPUT 1
iptables -D INPUT -s 127.0.0.1 -p icmp -j DROP

*. iptables 주요옵션
iptables -F : 방화벽 설정해제
iptables -L : 방화벽 설정보기

[root@centos1 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:631
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
[root@centos1 ~]#

ex)
iptables -N DenyList
[root@centos1 ~]# iptables -A DenyList -p tcp -s 192.168.10.0/24 -j REJECT

조건 옵션
-p proto ; protocol 지정 tcp,udp,icmp 등 (all 은 모든 프로토콜을 의미)
-i device ; 들어오는 패킷장치를 지정. ex) -i eth1
-o device ; 나가는 패킷장치를 지정. ex) -o eth1
-s ip address ; source ip 주소 지정
-d ip address ; destination ip 주소 지정
-s port num ; 패킷 소스 포트 번호지정
-d port num ; 패킷 목적지 포트 번호 지정

*. 조건 앞에 '!' 를 붙이면 not 을 의미한다.
ex) -p !tcp ; tcp 프로토콜을 제외한 나머지 프로토콜.
-i !eth0 ; eth0 장치를 제외한 나머지 장치

연습)
1.input chain 의 1번 규칙은 lo 장치로부터 모든 패킷 허용
2.DenyList 사슬 생성
3.INPUT 사슬의 2번규칙은 들어온 패킷은 DenyList 로 보낸다.
4.INPUT 사슬의 3번규칙은 들어온 패킷은 AcceptList 로 보낸다.
5.DenyList 의 1번규칙의 내용은 192.168.10.0/24 로 부터의 모든 패킷은 거부한다.
6.DenyList의 2번규칙읜 내용는 192.168.20.0/24 로 부터의 모든 패킷은 거부한다.
7.AcceptList의 1번규칙의 내용은 192.168.30.0/24 로 부터의 모든 패킷은 허용한다.
8.AcceptList 의 2번 규칙의 내용은 192.168.40.0/24 로 부터의 모든 패킷은 허용한다.
9.AcceptList 의 3번 규칙은 192.168.50.0/24로 부터의 TCP의 http 포트의 패킷은 허용한다.

# iptables -F
# iptables -x
# iptables -N DenyList
# iptables -N AcceptList
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -j DenyList
# iptables -A INPUT -j AcceptList
# iptables -A DenyList -s 192.168.10.0/24 -j REJECT
# iptables -A DenyList -s 192.168.20.0/24 -j REJECT
# iptables -A DenyList -s 192.168.30.0/24 -j REJECT
# iptables -A DenyList -s 192.168.40.0/24 -j REJECT
# iptables -A DenyList -s 192.168.50.0/24 -p tcp --dport 80 -j ACCEPT

- 기타설정
*. mac 주소 지정

-m mac ; mac 주소로부터의 패킷

ex)
iptables -A input -m mac --mac-source 00:11:22:AB:CD:EF -j REJECT
iptables -A input -m mac --mac-source ! 00:22:33:AB:CD:EF -j REJECT

==================================================
아래는 설정 예제입니다.

루프백 접속 허용

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

내부 네트워크 접속
iptables -A TestList -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT

내부 -> 외부 접속
iptables -A TestList -s 외부주소 -p tcp --sport 포트번호 -j ACCEPT
iptables -A OUTPUT -d 외부주소 -p tcp --dport 포트 -j ACCEPT

① DNS 포트 허용
iptables -A TestList -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

② ICMP 핑 허용

iptables -A OUTPUT -o eth0 -p icmp --icmp-type echo-request -j ACCEPT
iptables -A TestList -i eth0 -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp --icmp-type echo-reply -j ACCEPT

③ SSH 포트 허용
iptables -A TestList -s 172.16.1.20 -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -d 172.16.1.20 -p tcp --dport 22 -j ACCEPT

④ HTTP 포트 허용
iptables -A TestList -i eth0 -p tcp --sport 80 --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 80 -j ACCEPT

⑤ FTP 포트 허용

* 명령(제어) 포트(tcp 21) 접속
iptables -A TestList -i eth0 -p tcp --sport 21 --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 21 -j ACCEPT

*데이터 포트(tcp20) 접속(능동 모드 접속)

iptables -A TestList -i eth0 -p tcp --sport 21 --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 21 -j ACCEPT

*데이터 포트(tcp 1024이상의 포트) (Passive 모드 접속)

iptables -A TestList -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT

외부 -> 내부 접속

① SSH 포트 허용

iptables -A TestList -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT

② http 포트 허용

iptables -A TestList -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT

③ ftp 포트 허용 ( passive mode)

iptables -A TestList -i eth0 -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 21 -j ACCEPT

iptables -A TestList -i eth0 -p tcp --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 -j ACCEPT

iptables -A Test -p all -m state --state RELATED,ESTABLISHED - j ACCEPT
iptables -A Test -p tcp -m state --state NEW --dport ssh -j ACCEPT

==================================================

예제.

A (iptables)

INPUT
ssh 허용
ftp 허용
나머지포트(x)
------------------------------
OUTPUT
telnet 허용
나머지포트(x)
-------------------------------------------------------------------

default 설정파일(centos)
-----------------------------------------------------------------
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

-----------------------------------------------------------------------------
*. 기타

옵션
-m : iptable에서 확장모듈을 로드하기 위한 옵션
m state 는 /lib/iptables/libipt_state.so <== 이 모듈을 로드하기위한것입니다.
예를 들면 테스트를 위해서 아래처럼 없는 모듈을 옵션뒤에 넣어보면 쉽게 알수
있을것입니다.
[root@centos1 iptables]# iptables -m test
iptables v1.3.5: Couldn't load match `test':/lib/iptables/libipt_test.so: cannot open shared object file: No such file or directory
그리고 로드된 모듈은 /proc/net/ip_tables_matches 이파일에서 볼수 있습니다.

그리고 state 옵션은 뒤에 아래와 같은 네가지 tcp 상태 옵션이 올수 있습니다.
NEW : 새 연결을 시도하는 패킷
ESTABLISHED : 양쪽 방향에서 연결이 완료된 패킷과 관련이 있는 패킷
RELATED : 새 연결을 시도하는 패킷이지만 이전 연결과 관련있는 패킷
예를 들면 ftp data 전송 패킷.(예를 들면 ftp 서비스가 방화벽에서 허용되어 있고
연결되어 있는 상태라면 ftp data 패킷도 허용이 돕니다)
INVALID : 이전 연결과 전혀 상관이 없는 패킷.

'Log > Linux' 카테고리의 다른 글

포트스캔 및 차단 (0)	2011.11.28
로그서비스 - syslog / logrotate / logwatch (0)	2011.11.28
apache / php / mysql 설치 및 연동 (0)	2011.11.28
fedora9 dns 서버 설정 테스트 내용. (0)	2011.11.28
NFS 서비스 (0)	2011.11.28

Posted by logwatch

2011. 11. 28. 19:32 Log/Linux

apache / php / mysql 설치 및 연동

apache / php / mysql 설치 및 연동
*. 아파치서버 version 2.2 문서
아파치 웹서버 설치방법은 DSO 방식 및 static 방식 2가지가 있는데
여기서는 DSO 방식으로 설치한다.
편의상 복잡한 설치 옵션은 생략하고 일반적으로 자주 사용되는 기본적인
몇가지 옵션만 주어 설치한다.

[/tmp/apm]# ls
httpd-2.0.63.tar.gz mysql-5.0.77.tar php-5.2.9.tar.bz2
[/tmp/apm]#
[/tmp/apm]# tar -xvf mysql-5.0.77.tar
[/tmp/apm/mysql-5.0.77]# ./configure --prefix=/usr/local/mysql \
> --localstatedir=/usr/local/mysql/data --with-charset=utf8 --with-readline 끝나면 ...
[/tmp/apm/mysql-5.0.77]# make && make install
[/tmp/apm/mysql-5.0.77]# find . -name *.cnf <== mysql 설정파일 경로 확인
./support-files/my-medium.cnf
./support-files/my-large.cnf
./support-files/my-huge.cnf
./support-files/my-small.cnf
./support-files/my-innodb-heavy-4G.cnf
./mysql-test/std_data/bug15328.cnf
./mysql-test/std_data/ndb_config_mycnf1.cnf
./mysql-test/std_data/ndb_config_mycnf2.cnf
[/tmp/apm/mysql-5.0.77]#
이중에서 my-medium.cnf 를 /etc 디렉토리로 복사한다

[/tmp/apm/mysql-5.0.77]# cp support-files/my-medium.cnf /etc/my.cnf
cp: overwrite `/etc/my.cnf'? y
[/tmp/apm/mysql-5.0.77]#
[/tmp/apm/mysql-5.0.77]# cd /usr/local/mysql/
[/usr/local/mysql]# ls
bin include lib libexec mysql-test share sql-bench
[/usr/local/mysql]#

[/usr/local/mysql/bin]# ./mysql_install_db <== 이 스크립트 파일은 myslq db 서버가 구동되기 위해서 필요한 DB 를 생성하는 스크립트 파일이다.
Installing MySQL system tables...

[/usr/local/mysql/bin]# ls ../data <== DB 서버가 구동되는 필요한 DB가 생성이 되었다.
mysql mysql-bin.000001 mysql-bin.000002 mysql-bin.index test
[/usr/local/mysql/bin]#

[/usr/local/mysql]# ls
bin include lib libexec mysql-test share sql-bench
[/usr/local/mysql]#

[/usr/local/mysql]# echo "/usr/local/mysql/lib" >> /etc/ld.so.conf <= 공유라이브러리 설정파일에 mysql 라이브러리 경로를 추가한다.
[/usr/local/mysql]# cat /etc/ld.so.conf
include ld.so.conf.d/*.conf
/usr/local/mysql/lib
[/usr/local/mysql]#

* 기존의 mysql 계정이 있으면(mysql 패키지가 리눅스 설치할때 설치가 되었다면
mysql 계정이 이미 생성되어 있을수도 있습니다. 그러나 소스코드를 컴파일하는경우에는
mysql 계정의 설정정보(홈디렉토리등..)가 맞지 않을수도 있으므로 계정이 이미 있으면
삭제하고 새로 생성하는것이 권장됩니다.
userdel -r mysql 또는 userdel mysql
그런다음..
useradd -M -s /sbin/nologin mysql => mysql 계정은 mysqlDB 운영을 위해서만 필요한 시스템
계정이므로 이런식으로 계정을 생성하는것이 보안상 안전합니다. 패스워드도 당연히 부여할
필요가 없습니다.

[/usr/local/mysql]# chown -R root.mysql /usr/local/mysql
[/usr/local/mysql]# chown -R mysql.mysql /usr/local/mysql/data
[/usr/local/mysql]#
[/usr/local/mysql/bin]# ./mysqld_safe & <== mysql 데이터베이스 서버 구동 스크립트 파일(* mysql 서버 종료는 이 스크립트로 하지않고
/usr/local/mysql/bin/mysqladmin -u root -p shutdown 이렇게 한다.)
[1] 1190
[/usr/local/mysql/bin]# nohup: ignoring input and redirecting stderr to stdout
Starting mysqld daemon with databases from /usr/local/mysql/data

[/usr/local/mysql/bin]#

[root@vega ld.so.conf.d]# ps -ef | grep mysqld
root 1190 2638 0 18:06 pts/1 00:00:00 /bin/sh ./mysqld_safe
mysql 1213 1190 1 18:06 pts/1 00:00:00 /usr/local/mysql/libexec/mysqld --basedir=/usr/local/mysql --datadir=/usr/local/mysql/data --user=mysql --pid-file=/usr/local/mysql/data/vega.pid --skip-external-locking --port=3306 --socket=/tmp/mysql.sock
root 1224 2902 0 18:06 pts/2 00:00:00 grep mysqld
[root@vega ld.so.conf.d]#

[/usr/local/mysql/bin]# ./mysql
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 1
Server version: 5.0.77-log Source distribution

Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

mysql> show databases; <== db 서버가 구동되는 필요한 db가 만들어져 있음을 알수 있다.
+--------------------+
| Database |
+--------------------+
| information_schema |
| mysql |
| test |
+--------------------+
3 rows in set (0.04 sec)

mysql> quit
Bye
[/usr/local/mysql/bin]# D
[/tmp/apm]# ls
httpd-2.0.63.tar.gz mysql-5.0.77 mysql-5.0.77.tar php-5.2.9.tar.bz2
[/tmp/apm]# gzip -d httpd-2.0.63.tar.gz
[/tmp/apm]# tar -xvf httpd-2.0.63.tar
[/tmp/apm]# ls
httpd-2.0.63.tar.gz mysql-5.0.77 mysql-5.0.77.tar php-5.2.9.tar.bz2
[/tmp/apm]# gzip -d httpd-2.0.63.tar.gz
[/tmp/apm]# tar -xvf httpd-2.0.63.tar
[/tmp/apm]# cd httpd-2.0.63
[/tmp/apm/httpd-2.0.63]# ls
ABOUT_APACHE CHANGES LICENSE NWGNUmakefile acconfig.h buildconf docs libhttpd.dsp srclib
Apache.dsp INSTALL Makefile.in README acinclude.m4 config.layout emacs-style modules support
Apache.dsw InstallBin.dsp Makefile.win README.platforms apachenw.mcp.zip configure httpd.spec os test
BuildBin.dsp LAYOUT NOTICE VERSIONING build configure.in include server
[/tmp/apm/httpd-2.0.63]#

[/tmp/apm/httpd-2.0.63]# ./configure --prefix=/usr/local/apache \
> --enable-mods-shared=most <== DSO 방식으로 설치하기 위한 옵션
*. 아파치 configure 옵션은 여기에 자세히 나와 있다.
=> http://httpd.apache.org/docs/2.0/ko/programs/configure.html

[/tmp/apm/httpd-2.0.63]#make && make install

[/tmp/apm]# ls
httpd-2.0.63 httpd-2.0.63.tar mysql-5.0.77 mysql-5.0.77.tar php-5.2.9.tar.bz2
[/tmp/apm]# bzip2 -d php-5.2.9.tar.bz2
[/tmp/apm]# ls
httpd-2.0.63 httpd-2.0.63.tar mysql-5.0.77 mysql-5.0.77.tar php-5.2.9.tar
[/tmp/apm]# tar -xvf php-5.2.9.tar

*. 날짜와 시간 설정이 며칠 또는 몇 시간정도로 크게 잘못 설정이 된 경우에는
컴파일이 제대로 되지 않는 문제가 발생할 수 있으므로 확인해보고 컴파일 하기전에
날짜 및 시간 설정을 대로 해야 한다. 아래처럼.
[/tmp/apm]# date
2009. 02. 06. (금) 18:59:55 KST
[/tmp/apm]# date 030412562009 <= 정확히 설정.
2009. 03. 04. (수) 12:56:00 KST
[/tmp/apm]#

[/tmp/apm/php-5.2.9]# ./configure --prefix=/usr/local/php --with-mysql=/usr/local/mysql --with-apxs2=/usr/local/apache/bin/apxs
[/tmp/apm/php-5.2.9]# make && make install
[/tmp/apm/php-5.2.9]# cp php.ini-dist /usr/local/php/lib/php.ini <= php 환경설정파일을 복사해 두어야 한다. (*. php.5.3.0 버전인 경우 php.ini-production 또는 php.ini-development 파일을 복사해 주어야 합니다)
[/tmp/apm/php-5.2.9]# /etc/ld.so.conf 파일에
/usr/local/apache/lib
/usr/local/apache/modules 이 두개의 디렉토리 경로를 추가한다.

[/tmp/apm/php-5.2.9]# ldconfig <= /etc/ld.so.conf 설정파일 적용

#[[/tmp/apm/php-5.2.9]vi /usr/local/apache/conf/httpd.conf
ServerName 지시자를 아래와 같이 설정한다.
ServerName 127.0.0.1 <= 도메인주소가 있으면 그거 적어넣으면 되지만 도메인주소가 없으면 이렇게 적어둔다.
이게 설정안되어 있으면 아파치 실행시 아래와 같은 경고가 뜬다.
httpd: Could not determine the server's fully qualified domain name, using 127.0.0.1 for ServerName

* 설정파일에서 아래 내용을 확인후 없으면 추가
LoadModule php5_module modules/libphp5.so

* php파일을 처리하기 위해 아래두줄 추가
AddType application/x-httpd-php .php .html .htm <== 이런 확장자는 php 모듈이 처리
AddType application/x-httpd-php-source .phps <= 확장자가 .phps 이면 클라이언트에게 소스코드를 보여준다.

[/usr/local/apache/bin]# pgrep -fl httpd 아파치 구동하기전에 이미 올라와 있는지 확인하여 rpm 으로 설치된 아파치가 구동되어 있으면
종료한다.(killall httpd)
[/usr/local/apache/bin]# [/usr/local/apache/bin]# ./apachectl start (restart 및 종료는 start 인수대신에 restart 및 stop 인수를 사용하면 된다)
[/usr/local/apache/bin]# pgrep -fl httpd
21891 /usr/local/apache/bin/httpd -k start
21892 /usr/local/apache/bin/httpd -k start
21893 /usr/local/apache/bin/httpd -k start
21894 /usr/local/apache/bin/httpd -k start
21895 /usr/local/apache/bin/httpd -k start
21896 /usr/local/apache/bin/httpd -k start
[/usr/local/apache/bin]#

*. /usr/local/apache/htdocs 디렉토리에
아래와 같이 간단한 파일을 만들어서 php 와 연동이 되는지 테스트한다.

[root@vega htdocs]# cat test.php
echo "hello php";
?>
[root@vega htdocs]# cat test1.php
phpinfo(); <= phpinfo 함수는 php 라이브러리함수로서 시스템 아키텍처 및 여러가지 아파치,mysql 및 php 에 관련된 여러가지
환경변수등을 출려해주는 함수
?>
[root@vega htdocs]#

http://리눅스서버주소/test.php

※ 동적 방식(DSO)과 정적(static) 방식의 차이

static 방식 : 아파치가 실행될 때 모든 모듈을 메모리에 적재한다. 그래서 dso 방식보다 빠르지만 사용하지 않는 모듈도 메모리에 올라가기 때문에 자원을 낭비할 수 있다. 또한 운영중에 필요한 다른 모듈이 있을 경우 아파치를 재컴파일 해야하는 단점이 있다.

DSO 방식 : 아파치가 실행되는 도중에 모듈이 필요할 경우라면 따로 읽어서 시스템에 적재하는 방식 필요할 때만 메모리에 올리기 때문에 자원 이용이 효율적이지만 매번 읽어와야 하기 때문에 static에 비해 속도가 느리다.

* Makefile *
================================================
make - GNU make utility to maintain groups of programs

대규모의 프로그램을 작성하는 경우 프로그램의 크기가 커지므로 원시 프로그램 파일을 여러개로 분할하는 것이 바람직하다.
어떤 프로그램이 다음과 같이 3개의 file로 분할되어 있다고 하자
myhead.h --> main.c --> main.o
==> myprog
print.c --> print.o
이 경우 main.c 속으로 myhead.h가 include되며 또 print.c 내부의 함수를 사용한다면 다음과 같은 경우가 발생할 것이다.
1) myhead.h 또는 main.c를 수정하는 경우에는 main.c를 재 컴파일하고 print.o와 링크한다. 물론, print.c의 재 컴파일은 필요없다.
2) print.c를 수정하는 경우에는 print.c를 재 컴파일을 하고 main.o와 링크한다.

이 예는 3개의 파일뿐이므로 수정, 재 컴파일 및 링크의 관계가 (1),(2)로 간단하지만 원시화일의 수가 늘면 포함관계가 복잡해지며, 원시 파일 수정시 파일 재 컴파일 및 링크가 복잡해진다.
unix에서는 이 재컴파일 및 링크를 자동화하기 위한 도구로서 make명령어가 준비되어 있다.
이 make명령어의 형식은 다음과 같다.

make [ -f makefile ] [option] [files]

-f makefile 특정 파일명을 지정, -f 옵션을 생략하면 makefile, Makefile, s.makefile, s.Makefile의 순서로 하나씩 취해짐
-i 오류코드를 무시
Makefile은 기본적으로 아래와 같이 목표(target), 의존관계(dependency), 명령(command)의 세개로 이루어진 기분적인 규칙(rule)들이 계속적으로 나열되어 있다고 봐도 무방하다. make가 지능적으로 화일을 갱신하는것도 모두 이 간단한 규칙에 의하기 때문이다.

target ... : dependency ...
command
...
...
여기서 목표(target) 부분은 명령(command)가 수행이 되어서 나온 결과 화일을 지정한다. 당연히 목적화일(object file)이나 실행화일이 될 것이다. 명령(command)부분에 정의된 명령들은 의존관계(depenency)부분에 정의된 화일의 내용이 바뀌었거나, 목표부분에 해당하는 화일이 없을때 이곳에 정의되 것들이 차례대로 실행이 된다. 일반적으로 쉘상에서 쓸수 있는 모든 명령어들을 사용하수가 있으며 bash 에 기반한 쉘 스크립트도 지원한다.
[참고] 목표부분에는 결과화일만 올수 있는것이 아니고, 보통 make clean 에 서와 같이 간단한 레이블(label) 기능을 제공하기도 한다. 명령 부분은 꼭 TAB 글자로 시작해야 한다. 그냥 스페이스등을 사용하면 make 실행중에 에러가 난다. make가 명령어인지 아닌지를 TAB 가지고 구별하기 때문이다.

ex. make를 사용한 원시 파일관리
[root@capella backup2]# cat myheader.h
int add(int x,int y);
int multiply(int x, int y);

[root@capella backup2]# cat main.c
#include <stdio.h>
#include "myheader.h"

int main()
{
int a=2,b=3;
printf("%d + %d = %d\n",a,b,add(a,b));
printf("%d * %d = %d\n",a,b,multiply(a,b));
}

[root@capella backup2]# cat add.c
int add(int x,int y)
{
int result=0;
return (result=x+y);
}

[root@capella backup2]# cat multiply.c
int multiply(int x,int y)
{
int answer;
return (answer = x * y);
}

[root@capella backup2]# cat Makefile
test: main.o add.o multiply.o
gcc -o test2 main.c add.c multiply.c
clean:
rm *.o
rm test
install:
mkdir /tmp/myprogram
cp test /tmp/myprogram
[root@capella backup2]#

*. 라이브러리
정적라이브러리 생성

- 프로그램이 컴파일될때 라이브러리를 직접 링크하며 프로그램 크기는 사용한
라이브러리 크기 만큼 증가한다.

[root@capella lib]# gcc -c add.c multiply.c
[root@capella lib]# ls
add.c add.o main.c multiply.c multiply.o myheader.h
[root@capella lib]#
[root@capella lib]# ar r libTest.a add.o multiply.o ; 오브젝트코드를 이용하여 정적 라이브러리 생성
ar: creating libTest.a
[root@capella lib]# ar s libTest.a ; 라이브러리에서 오브젝트파일 검색을 위한 index 생성
[root@capella lib]# ar t libTest.a <= library 내용 확인
add.o
multiply.oㅣ
[root@capella lib]#
[root@capella lib]# gcc -o test main.c -lTest -L. ; -lTest => 라이브러리 이름, -L 라이브러리경로
-lTest : 참조할 라이브러리이름
-L : 라이브러리가 있는 경로 (디폴트라이브러리 경로(ex /usr/lib 에 없는 라이브러리라면
이 옵션으로 라이브러리 경로를 명시해야 한다)
[root@capella dlib]# ./test
2 + 3 = 5
2 * 3 = 6
[root@capella dlib]#

공유라이브러리 생성
- 프로그램이 컴파일될때 직접 링크되지 않고 프로그램이 실행될때 적재되어 사용된다.

[root@capella new]# gcc -c -fPIC add.c multiply.c
[root@capella new]# ls
add.c add.o main.c multiply.c multiply.o myheader.h
[root@capella new]# gcc -shared -fPIC -o libTest.so add.o multiply.o
[root@capella new]# ls
add.c add.o libTest.so main.c multiply.c multiply.o myheader.h
[root@capella new]# gcc -o test main.c -lTest -L.
[root@capella new]# ls
add.c add.o libTest.so main.c multiply.c multiply.o myheader.h test
[root@capella new]# ./test
./test: error while loading shared libraries: libTest.so: cannot open shared object file: No such file or directory

=> 파일실행시 라이브러리를 /etc/ld.sol.cache 에서 찾는다. /etc/ld.so.cache 를 갱신해 주기 위해서는
/etc/ld.so.conf 에 해당 경로를 추가하고 이 파일 내용을 적용하기 위해서 ldconfig 를 실행한다.
[root@capella new]# echo "/tmp/c/shared_lib" >> /etc/ld.so.conf
[root@capella new]# ldconfig
[root@capella new]# strings /etc/ld.so.cache | grep tmp
/tmp/c/shared_lib/new/libTest.so
[root@capella shared_lib]# ./test
2 + 3 = 5
2 * 3 = 6
[root@capella shared_lib]#

* . mysql 계정

GRANT ALL PRIVILEGES ON *.* TO lee@localhost IDENTIFIED BY 'password' WITH GRANT OPTION;

lee 에게 모든 db 권한 부여

특정 db 에 대해서만 권한 부여할때에는 *.* => db명.* 이렇게 설정하면 된다.

GRANT ALL PRIVILEGES ON *.* TO lee@"%" IDENTIFIED BY 'password' WITH GRANT OPTION;

=> localhost 대신에 "%" 를 사용하면 어디서든 접근 가능하다.

*. 특정권한만 부여할 경우에는 ALL PRIVILEGES 부분을 바꿔주면 된다.
ex) GRANT select,insert,... ON *.* ....

*. 계정 암호변경

update user set password=password('암호') where user='계정';

flush privileges ; 변경된 권한 테이블을 reload

----------------------------------------------------------------------------------------------------------------------------------
apache 설정(httpd.conf) 주요 지시어

ServerRoot "/usr/local/apache" ; 아파치서버 디렉토리
Listen 80 ; 아파치 서버 포트
LoadModule : 아파치 서비스 구동시 로드되는 모듈.(DSO 방식일경우)
- 정적컴파일된 모듈은 httpd -l 로 확인할 수 있다.

User daemon ; 아파치 서버 프로세스 소유자
Group daemon ; 아파치 서버 프로세스 그룹

ServerName 도메인명 또는 ip address ; 이부분이 설정되어 있지 않으면
아파치가 시작될때 경고메세지가 출력된다.
도메인이 없다면 자신의 ip address 라도 적어두어야 한다.
ex) ServerName 127.0.0.1

DocumentRoot "/usr/local/apache/htdocs"
웹페이지의 root 디렉토리.

<= 아파치 서버의 DocumentRoot 디렉토리
Options FollowSymLinks
AllowOverride None <= 보안상 None 으로 하는것이 안전하다.
Order deny,allow
Deny from all

Options Indexes FollowSymLinks
Order allow,deny
Allow from all

Order allow,deny
Deny from all
Satisfy All

ErrorLog "logs/error_log"
LogLevel warn
- warn 수준이상의 메시지를 logs/error_log 파일에 기록.

CustomLog "logs/access_log" common
- access 기록.

ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"
- cgi 파일을 위한 디렉토리가 DocumentRoot 바깥에 있을경우
/cgi-bin 으로 alias 시켜준다. ( /usr/local/apache/htdocs/cgi-bin 이런 의미가 된다)

AllowOverride None
Options None
Order allow,deny
Allow from all

DefaultType text/plain <= Default MIME type 으로 Document 형식을 지정.

TypesConfig conf/mime.types <= MIME type 설정파일

AddType <= MIME type 설정.
ex)
AddType application/x-httpd-php .php .html .htm
AddType application/x-httpd-php-source .phps
AddHandler cgi-script .cgi <= cgi 는 보안상 특정 디렉토리에서만 실행되도록
설정되어 있는데 아무디레토리에서나 실행가능하게 하기위한 설정.
확장자가 cgi 이기만 하면 된다.

include 경로명 <= 웹서버 관련 설정파일을 포함하기 위한 설정

Options
-----------
All : 모든 옵션 사용. 보안상 좋지 않다
Indexes : 파일리스트를 다 보여준다. 역시 보안상 좋지 않다.
ExecCGI : CGI 실행을 할수 있도록 한다.
FollowSymLinks : symbolic 링크된 파일을 사용할 수 있도록 한다.
DocumentRoot 외부에 지정된 디렉토리라도 링크걸려 있으면
사용가능하다.

AllowOverride
----------------
AuthConfig : 접근인증 제어 지시자
FileInfo : 문서의 종류에 따라 제어
Limit : 명령어 제한 지시자
Options : 옵션 지시자
Indexes : 인덱스 관련 지시자

Order deny,allow <= deny 규칙 먼저 적용, allow 는 나중.
--------------------
deny - 특정 위치에서 access 거부
allow - 특정 위치에서 access 허용

ex)
Order deny,allow
Deny from all
Allow from 192.168.1.0/24

/test 디렉토리 access 권한은 192.168.1.0 네트워크에서만 가능하다.

*. 아파치를 DSO 방식으로 설치를 한 경우라면 아파치 설치후 나중에
필요한 모듈이 있으면 apxs 를 이용해서 올려줄 수 있다.

ex)
[root@centos1 httpd-2.2.10]# /usr/local/apache/bin/apxs -i -a -c ./modules/mappers/mod_userdir.c
/usr/local/apache/build/libtool --silent --mode=compile gcc -prefer-pic -DLINUX=2 -D_REENTRANT -D_GNU_SOURCE -D_LARGEFILE64_SOURCE -g -O2 -pthread -I/usr/local/apache/include -I/usr/local/apache/include -I/usr/local/apache/include -c -o ./modules/mappers/mod_userdir.lo ./modules/mappers/mod_userdir.c && touch ./modules/mappers/mod_userdir.slo
/usr/local/apache/build/libtool --silent --mode=link gcc -o ./modules/mappers/mod_userdir.la -rpath /usr/local/apache/modules -module -avoid-version ./modules/mappers/mod_userdir.lo
/usr/local/apache/build/instdso.sh SH_LIBTOOL='/usr/local/apache/build/libtool' ./modules/mappers/mod_userdir.la /usr/local/apache/modules
/usr/local/apache/build/libtool --mode=install cp ./modules/mappers/mod_userdir.la /usr/local/apache/modules/
cp ./modules/mappers/.libs/mod_userdir.so /usr/local/apache/modules/mod_userdir.so
cp ./modules/mappers/.libs/mod_userdir.lai /usr/local/apache/modules/mod_userdir.la
cp ./modules/mappers/.libs/mod_userdir.a /usr/local/apache/modules/mod_userdir.a
chmod 644 /usr/local/apache/modules/mod_userdir.a
ranlib /usr/local/apache/modules/mod_userdir.a
PATH="$PATH:/sbin" ldconfig -n /usr/local/apache/modules
----------------------------------------------------------------------
Libraries have been installed in:
/usr/local/apache/modules

If you ever happen to want to link against installed libraries
in a given directory, LIBDIR, you must either use libtool, and
specify the full pathname of the library, or use the `-LLIBDIR'
flag during linking and do at least one of the following:
- add LIBDIR to the `LD_LIBRARY_PATH' environment variable
during execution
- add LIBDIR to the `LD_RUN_PATH' environment variable
during linking
- use the `-Wl,--rpath -Wl,LIBDIR' linker flag
- have your system administrator add LIBDIR to `/etc/ld.so.conf'

See any operating system documentation about shared libraries for
more information, such as the ld(1) and ld.so(8) manual pages.
----------------------------------------------------------------------
chmod 755 /usr/local/apache/modules/mod_userdir.so
[activating module `userdir' in /usr/local/apache/conf/httpd.conf]
[root@centos1 httpd-2.2.10]#

'Log > Linux' 카테고리의 다른 글

로그서비스 - syslog / logrotate / logwatch (0)	2011.11.28
리눅스 방화벽 - iptables (0)	2011.11.28
fedora9 dns 서버 설정 테스트 내용. (0)	2011.11.28
NFS 서비스 (0)	2011.11.28
dns 설정 실습 (0)	2011.11.28

Posted by logwatch

2011. 11. 28. 19:32 Log/Linux

fedora9 dns 서버 설정 테스트 내용.

/etc/named.conf 파일에서

options {
listen-on port 53 { 192.168.100.1; }; <=== 이부분 수정
// listen-on-v6 port 53 { ::1; }; <=== 이부분은 주석처리
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { localhost; };
recursion yes;
};

나머지는 그대로...

/etc/named.rfc1912.zones 파일에서는
// Config Primary DNS

zone "localhost.localdomain" IN {
type master;
file "named.localhost";
allow-update { none; };
};

zone "localhost" IN {
type master;
file "named.localhost";
allow-update { none; };
};

zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "named.loopback";
allow-update { none; };
};

zone "1.0.0.127.in-addr.arpa" IN {
type master;
file "named.loopback";
allow-update { none; };
};

zone "0.in-addr.arpa" IN {
type master;
file "named.empty";
allow-update { none; };
};

// Add test domain

zone "test.co.kr" IN {
type master;
file "test.hosts";
};

zone "100.168.192.in-addr.arpa" IN {
type master;
file "192.168.100.rev";
};

[/var/named/chroot/var/named]# cat test.hosts
$TTL 86400
@ IN SOA ns.test.co.kr. root.test.co.kr. (
2009030300 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
IN NS ns.test.co.kr.
ns IN A 192.168.100.1
www IN A 192.168.100.2
ftp IN A 192.168.100.3
blog.test.co.kr. IN A 192.168.100.4

[/var/named/chroot/var/named]# cp test.hosts 192.168.100.rev 복사하여
아래처럼 수정하면 된다.

[/var/named/chroot/var/named]# cat 192.168.100.rev

$TTL 86400
@ IN SOA ns.test.co.kr. root.test.co.kr. (
2009030300 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
IN NS ns.test.co.kr.
1 IN PTR ns.test.co.kr.
2 IN PTR www.test.co.kr.
3 IN PTR ftp.test.co.kr.
4 IN PTR blog.test.co.kr.
[/var/named/chroot/var/named]#

그런다음 아래처럼 /var/named 디렉토리에 링크를 건다.
cd /var/named 로 이동후
[/var/named]# ln -s /var/named/chroot/var/named/test.hosts test.hosts
[/var/named]# ln -s /var/named/chroot/var/named/192.168.100.rev 192.168.100.rev
[/var/named]#
[/var/named]# ifconfig eth0:1 192.168.100.1 <== dns ip 를 올려주어야 한다.
그렇지 않으면 dns 서버에 접속할수 없으므로 도메인 질의를 할수 없다.

[/var/named]# cat /etc/resolv.conf
;nameserver 168.126.63.1 <== 기존의 찾을 dns 는 주석처리하고
nameserver 192.168.100.1 <== 자신이 만든 dns 를 등록한다.
[/var/named]#

여기까지 완료되었으면

[/var/named]# ping 192.168.100.1 ; dns 가 살아있는지 확인.
PING 192.168.100.1 (192.168.100.1) 56(84) bytes of data.
64 bytes from 192.168.100.1: icmp_seq=1 ttl=64 time=0.144 ms
64 bytes from 192.168.100.1: icmp_seq=2 ttl=64 time=0.096 ms
^C

[/var/named]# service named start <== dns 가 이미 올라와 있는 상태이면
(service named restart 하여야 한다)
named 시작 중: [ OK ]
[/var/named]#

[/var/named]# nslookup www.test.co.kr
Server: 192.168.100.1
Address: 192.168.100.1#53

Name: www.test.co.kr
Address: 192.168.100.2

[/var/named]# nslookup ftp.test.co.kr
Server: 192.168.100.1
Address: 192.168.100.1#53

Name: ftp.test.co.kr
Address: 192.168.100.3

[/var/named]# nslookup 192.168.100.3
Server: 192.168.100.1
Address: 192.168.100.1#53

3.100.168.192.in-addr.arpa name = ftp.test.co.kr.

[/var/named]#

* 테스트가 잘됨을 알수 있다.

그런데 잘 안되면...
아래처럼 로그 파일을 확인해서 에러를 찾고 고쳐서 dns 서버를 재구동 하여야 한다.
[/var/named]# tail -10 /var/log/messages
Feb 21 02:23:29 fedora165 named[5644]: zone 0.in-addr.arpa/IN: loaded serial 0
Feb 21 02:23:29 fedora165 named[5644]: zone 1.0.0.127.in-addr.arpa/IN: NS '1.0.0.127.in-addr.arpa' has no address records (A or AAAA)
Feb 21 02:23:29 fedora165 named[5644]: zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
Feb 21 02:23:29 fedora165 named[5644]: zone 100.168.192.in-addr.arpa/IN: loaded serial 2009030300
Feb 21 02:23:29 fedora165 named[5644]: zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: NS '1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa' has no address records (A or AAAA)
Feb 21 02:23:29 fedora165 named[5644]: zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
Feb 21 02:23:29 fedora165 named[5644]: zone test.co.kr/IN: loaded serial 2009030300
Feb 21 02:23:30 fedora165 named[5644]: zone localhost.localdomain/IN: loaded serial 0
Feb 21 02:23:30 fedora165 named[5644]: zone localhost/IN: loaded serial 0
Feb 21 02:23:30 fedora165 named[5644]: running
[/var/named]#

'Log > Linux' 카테고리의 다른 글

리눅스 방화벽 - iptables (0)	2011.11.28
apache / php / mysql 설치 및 연동 (0)	2011.11.28
NFS 서비스 (0)	2011.11.28
dns 설정 실습 (0)	2011.11.28
DNS - Secondary(Slave) 구성 (0)	2011.11.28

Posted by logwatch

1 2 3 4 5 6 7 8 ··· 14

내 블로그 - 관리자 홈 전환	`Q` `Q`
새 글 쓰기	`W` `W`

글 수정 (권한 있는 경우)	`E` `E`
댓글 영역으로 이동	`C` `C`

이 페이지의 URL 복사	`S` `S`
맨 위로 이동	`T` `T`
티스토리 홈 이동	`H` `H`
단축키 안내	`Shift` + `/` `⇧` + `/`

East's IT

리눅스 방화벽 - iptables

'Log > Linux' 카테고리의 다른 글

apache / php / mysql 설치 및 연동

'Log > Linux' 카테고리의 다른 글

fedora9 dns 서버 설정 테스트 내용.

'Log > Linux' 카테고리의 다른 글

카테고리

태그목록

공지사항

달력

최근에 올라온 글

최근에 달린 댓글

링크

글 보관함

티스토리툴바

단축키

내 블로그

블로그 게시글

모든 영역

« | » 2025.4
일	월	화	수	목	금	토
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30