域名系統（DNS）的起源與發展、原理及解析流程
BIND是什么

WHO

WHEN

WHAT

WHY

WHERE

HOW

BUT

實訓目的

1.掌握LINUX系統下主DNS服務器的配置
2.掌握LINUX系統下主從DNS服務器同步的配置方法
3.掌握LINUX系統下DNS正向解釋區域文件的配置方法
4.掌握LINUX系統下DNS反向解釋區域文件的配置方法
5.掌握DNS的常用檢測命令的使用方法

項目設計

前置

無

端口

:53

說明&命令

bind是DNS服務器軟件 ，服務名稱是named
正向代理和反向代理詳解（純小白必看 最好懂的白話文教程）
正向代理：小學生假裝大學生到小賣部買煙
反向代理：小學生從大學生手里買煙，大學生從小賣部進貨

一、DNS正向解釋

1、準備三臺虛擬機，分別作為主DNS，從DNS，以及客戶端

2、主從DNS（域名dns1）服務器上安裝DNS軟件包

[root@centos-a1 ~]# yum install bind -y [root@centos-a2 ~]# yum install bind -y

3、配置主DNS的主配文件，增加mmnl.edu的區域字段

bind9named.conf詳解
named.conf 詳解
bind服務4—主配置文件詳解
dnssec 詳解需要慢慢分析

// // named.conf // // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS // server as a caching only nameserver (as a localhost DNS resolver only). // // See /usr/share/doc/bind*/sample/ for example named configuration files. // // See the BIND Administrator's Reference Manual (ARM) for details about the // configuration located in /usr/share/doc/bind-{version}/Bv9ARM.html // 由 Red Hat 綁定包提供，用于配置 ISC BIND named(8) DNS // 服務器作為僅緩存的名稱服務器（僅作為 localhost DNS 解析器）。 // // 參見 /usr/share/doc/bind*/sample/ 例如命名的配置文件。 // // 有關位于 /usr/share/doc/bind-{version}/Bv9ARM.html 中的配置的詳細信息，請參閱 BIND 管理員參考手冊 (ARM) options {設定全局配置選項和默認值listen-on port 53 { 127.0.0.1; };指定在[$IP]地址上面的[$PORT]端口提供服務,默認為53listen-on-v6 port 53 { ::1; };在ipv6地址上監聽directory "/var/named";服務器的工作目錄dump-file "/var/named/data/cache_dump.db";當執行rndc dumpdb時服務器dump文件的路徑statistics-file "/var/named/data/named_stats.txt";執行rndc stats將服務器的統計信息寫入文件,默認為named.statsmemstatistics-file "/var/named/data/named_mem_stats.txt";默認為named.memestats,當退出的服務的時候將服務器的統計信息寫到文件中.recursing-file "/var/named/data/named.recursing";secroots-file "/var/named/data/named.secroots";allow-query { localhost; };指定哪個服務器可以進行普通DNS查詢,如果在zone中指定,將覆蓋全局參數,默認允許來自全部主機的查詢./* - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.- If you are building a RECURSIVE (caching) DNS server, you need to enable recursion. - If your recursive DNS server has a public IP address, you MUST enable access control to limit queries to your legitimate users. Failing to do so willcause your server to become part of large scale DNS amplification attacks. Implementing BCP38 within your network would greatlyreduce such attack surface */* - 如果您正在構建 AUTHORITATIVE DNS 服務器，請不要啟用遞歸。 - 如果您正在構建 RECURSIVE（緩存）DNS 服務器，則需要啟用遞歸。- 如果您的遞歸 DNS 服務器有一個公共 IP 地址，您必須啟用訪問控制以限制對您的合法用戶的查詢。否則將導致您的服務器成為大規模 DNS 放大攻擊的一部分。在您的網絡中實施 BCP38 將大大減少此類攻擊面 *recursion yes;遞歸查詢dnssec-enable yes;是否支持DNSSEC開關,默認為yes，DNSSEC 是防止任何 DNS 攻擊媒介dnssec-validation yes;是否進行DNSSEC確認開關,默認為no,是解析服務器對響應的記錄進行驗證的功能，必須是信任鏈可信的域名才行,默認auto ，開啟這個功能遞歸服務器就會去驗證是否可信任/* Path to ISC DLV key *//* ISC DLV 密鑰的路徑 */bindkeys-file "/etc/named.root.key";managed-keys-directory "/var/named/dynamic";pid-file "/run/named/named.pid";服務器記錄進程ID的文件路徑.session-keyfile "/run/named/session.key"; };logging {定義bing服務的日志, channel -> categroy.channel default_debug {file "data/named.run";severity dynamic;}; };zone "." IN {定義一個區域type hint; 區域Type: master: 主域服務 slave: 從域服務 stub: 只復制主域的NS記錄,屬于BIND特有功能. hint: 設定初始化設置根域服務器所用的參數. forward: 域轉發設置 delegation-only: 設定返回為NXDOMAIN?file "named.ca"; };include "/etc/named.rfc1912.zones";表示當前的dns服務器當中，申明區域文件是誰。 include "/etc/named.root.key";密鑰。當dns服務器無法解析的時候，就會把請求發送到根dns上，但是根dns不允許被任何人訪問，于是需要一種認證機制，這里的認證就是密鑰

將全局里的監聽IP和允許誰查詢改為any，將DNSSEC兩個選項關閉

listen-on port 53 { any; }; allow-query {any;}; dnssec-enable no; dnssec-validation no;

再增加mmnl.edu區域字段

zone "mmnl.edu" IN {type master;主域服務file "mmnl.edu.zone"; };

4、主DNS上創建區域文件（帶權限），并增加授權區域dns1，NS紀錄dns1，以及對應的A記錄、web的A記錄和別名www

DNS服務詳解(解析+搭建)
DNS服務和BIND

[root@centos-a1 ~]# cd /var/named [root@centos-a1 named]# ll total 16 drwxrwx--- 2 named named 6 Feb 24 01:17 data drwxrwx--- 2 named named 6 Feb 24 01:17 dynamic -rw-r----- 1 root named 2253 Apr 5 2018 named.ca -rw-r----- 1 root named 152 Dec 15 2009 named.empty -rw-r----- 1 root named 152 Jun 21 2007 named.localhost -rw-r----- 1 root named 168 Dec 15 2009 named.loopback drwxrwx--- 2 named named 6 Feb 24 01:17 slaves [root@centos-a1 named]# cp named.localhost mmnl.edu.zone -p `必須加p拷貝，文件的屬組必須是named， 如果不加p，屬組會改變，那么域名解析將不可能成功` 會出現以下情況 [root@centos7-a3 ~]# ping www.mmnl.edu ping: www.mmnl.edu: Name or service not known [root@centos7-a3 ~]# curl www.mmnl.edu curl: (6) Could not resolve host: www.mmnl.edu; Unknown error [root@centos7-a3 ~]# nslookup www.mmnl.edu Server: 192.168.111.21 Address: 192.168.111.21#53** server can't find www.mmnl.edu: SERVFAIL $TTL 1D域名有效解析生存周期（一般指緩存時間） @ IN SOA @ rname.invalid. ( @：代表域名本身 SOA：SOA標記（起始授權機構的資源記錄，描述了域名的管理員、電子郵件地址和一些時間參數）0 ; serial配置文件修改版本（如：20190826）1D ; refresh更新頻率（從向主的查詢周期）1H ; retry更新失敗的重試時間周期1W ; expire無法更新時的失效周期3H ) ; minimum緩存服務器無法更新的失效時間NS @設置DNS服務器的域名A 127.0.0.1IPV4的域名IP解析記錄AAAA ::1IPV6的域名IP解析記錄 SOA(起始授權記錄)1、記錄提供有關dns區域工作方式的信息(描述域名的管理員、電子郵件地址、時間參數)2、具體來說就是當前主機具體負責哪個區域的解析 3、指定某個DNS服務提供解析NS 1、將自己的域名映射到DNS服務器上 2、將域名最終映射到哪一臺主機（由哪一臺主機去解析當前所定義的域主機） 3、標記DNS服務器注意：SOA是標明了要解析的域、一個主服務器，、NS是標明了本機的域名，多個服務器A (ipv4地址記錄)1、將主機名映射到ipv4地址2、這是正向域名解析地址，即將域名解析成IPCNAME (規范名稱)：記錄域別名PTR(指針記錄)1、將IPV4 IPV6地址映射到主機名用于反向DNS反向解析2、反向解析是將IP地址解析為域名AAAA (IPV6 地址記錄) ：資源記錄（四A記錄）將主機名映射到ipv6地址 MX （郵件交換記錄）： 標記郵件服務器serial number: 序列號 定義當前使用的數據序列號 sn遵循“年+月+日+編號” 主和從的更新依據 refresh： 定義檢查間隔時間 （上次和這次變化的時間） retry： 重試時間 < 檢查時間> expire: 過期時間 緩存放多久過期 negative answer ttl: 否定答案的緩存時長（沒有指定生存期的數據可以保存在數據中的時間及TTL值）存放不能解析的域名，下次訪問直接返回不能解析時間單位：M(分鐘)、H(小時)、D(天)、W(周)，默認單位是秒

配置過程詳見
DNS中NS和SOA區別

$TTL 1D @ IN SOA mmnl.edu. rname.invalid. (0 ; serial1D ; refresh1H ; retry1W ; expire3H ) ; minimum @ IN NS dns1.mmnl.edu. dns1 IN A 192.168.111.21 web IN A 192.168.111.10 www IN CNAME web

5、啟動DNS服務并設置自動運行，檢測DNS服務監聽端口

[root@centos-a1 named]# systemctl start named [root@centos-a1 named]# systemctl enable named Created symlink from /etc/systemd/system/multi-user.target.wants/named.service to /usr/lib/systemd/system/named.service. [root@centos-a1 named]# netstat -an | grep :53 tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN tcp 0 0 192.168.122.1:53 0.0.0.0:* LISTEN tcp 0 0 192.168.111.21:42389 192.203.230.10:53 TIME_WAIT tcp 0 0 192.168.111.21:59742 192.203.230.10:53 TIME_WAIT tcp6 0 0 ::1:53 :::* LISTEN udp 0 0 127.0.0.1:53 0.0.0.0:* udp 0 0 192.168.122.1:53 0.0.0.0:* udp 0 0 0.0.0.0:5353 0.0.0.0:* udp6 0 0 ::1:53 :::*

如果啟動失敗，嘗試檢查配置文件

[root@centos-a1 named]# named-checkconf /etc/named.conf [root@centos-a1 named]# named-checkzone mmnl.edu /var/named/mmnl.edu.zone zone mmnl.edu/IN: loaded serial 0 OK

6、配置客戶端的DNS地址指向主DNS服務器（配置前測試域名）

[root@centos7-a3 ~]# nslookup localhost Server: 192.168.111.21 Address: 192.168.111.21#53

7、使用ping命令測試內網以及外網域名解釋，查看確認

[root@centos7-a3 ~]# ping www.mmnl.edu PING www.mmnl.edu (192.168.111.10) 56(84) bytes of data. From centos7-a3 (192.168.111.23) icmp_seq=1 Destination Host Unreachable From centos7-a3 (192.168.111.23) icmp_seq=2 Destination Host Unreachable From centos7-a3 (192.168.111.23) icmp_seq=3 Destination Host Unreachable From centos7-a3 (192.168.111.23) icmp_seq=4 Destination Host Unreachable ^C --- www.mmnl.edu ping statistics --- 5 packets transmitted, 0 received, +4 errors, 100% packet loss, time 4002ms

8、使用nslookup命令測試內網以及外網域名解釋，查看確認

nslookup命令詳解

[root@centos7-a3 ~]# nslookup www.mmnl.edu Server: 192.168.111.21 Address: 192.168.111.21#53Name: www.mmnl.edu Address: 192.168.111.10 [root@centos7-a3 ~]# nslookup www.baidu.com Server: 192.168.111.21 Address: 192.168.111.21#53Non-authoritative answer: www.baidu.com canonical name = www.a.shifen.com. Name: www.a.shifen.com Address: 14.215.177.38 Name: www.a.shifen.com Address: 14.215.177.39

9、使用dig命令測試內網以及外網域名解釋，查看確認

dig命令
dig命令詳解
工控網絡基礎入門篇之如何用 Dig命令檢查域名的解析
F5 GTM DNS 知識點和實驗 3 -加速dns解析
wireshark篩選dhcp包_使用wireshark抓包工具，對DHCP、HTTP、DNS的數據包進行分析

[root@centos7-a3 ~]# dig www.mmnl.edu +short 192.168.111.10 [root@centos7-a3 ~]# dig www.baidu.com +short www.a.shifen.com. 14.215.177.39 14.215.177.38 [root@centos7-a3 ~]# dig www.baidu.com; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.9 <<>> www.baidu.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36871 ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 5, ADDITIONAL: 6 QR：查詢/.響應 Query/Response，指明數據包是查詢還是響應 AA：權威應答 Authoritative Answer，表示由域內權威域名服務器發出的 TC：截斷 Truncation，指明響應太長，無法裝入數據包而被截斷 RD：期望遞歸 Recursion Desired，表示客戶端在目標服務器不含請求信息時要求遞歸查詢 RA：可用遞歸 Recursion Available，表示域名服務器支持遞歸查詢 Z：保留 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.baidu.com. IN A;; ANSWER SECTION: www.baidu.com. 291 IN CNAME www.a.shifen.com. www.a.shifen.com. 300 IN A 14.215.177.39 www.a.shifen.com. 300 IN A 14.215.177.38;; AUTHORITY SECTION: a.shifen.com. 293 IN NS ns3.a.shifen.com. a.shifen.com. 293 IN NS ns1.a.shifen.com. a.shifen.com. 293 IN NS ns2.a.shifen.com. a.shifen.com. 293 IN NS ns4.a.shifen.com. a.shifen.com. 293 IN NS ns5.a.shifen.com.;; ADDITIONAL SECTION: ns1.a.shifen.com. 293 IN A 110.242.68.42 ns5.a.shifen.com. 293 IN A 180.76.76.95 ns3.a.shifen.com. 293 IN A 112.80.255.253 ns2.a.shifen.com. 293 IN A 220.181.33.32 ns4.a.shifen.com. 293 IN A 14.215.177.229;; Query time: 47 msec ;; SERVER: 192.168.111.21#53(192.168.111.21) ;; WHEN: Mon Jun 20 12:09:17 CST 2022 ;; MSG SIZE rcvd: 271[root@centos7-a3 ~]# dig www.mmnl.edu; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.9 <<>> www.mmnl.edu ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31734 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.mmnl.edu. IN A;; ANSWER SECTION: www.mmnl.edu. 86400 IN A 192.168.111.10;; AUTHORITY SECTION: mmnl.edu. 86400 IN NS dns1.mmnl.edu.;; ADDITIONAL SECTION: dns1.mmnl.edu. 86400 IN A 192.168.111.21;; Query time: 1 msec ;; SERVER: 192.168.111.21#53(192.168.111.21) ;; WHEN: Mon Jun 20 12:10:50 CST 2022 ;; MSG SIZE rcvd: 92

10、測試百度域及主機的A、NS、MX記錄，查看確認

[root@centos-a3 named]# dig -t A www.baidu.com +short www.a.shifen.com. 14.215.177.39 14.215.177.38 [root@centos-a3 named]# dig -t NS www.baidu.com +short www.a.shifen.com. [root@centos-a3 named]# dig -t MX www.baidu.com +short www.a.shifen.com. [root@centos7-a3 ~]# dig -t A www.mmnl.edu +short 192.168.111.10 [root@centos7-a3 ~]# dig -t NS www.mmnl.edu +short [root@centos7-a3 ~]# dig -t MX www.mmnl.edu +short

11、配置主DNS服務器關閉遞歸查詢，測試內網以及外網域名解釋，對比結果，確認權威應答

什么是遞歸查詢，迭代查詢？
DNS的遞歸查詢和迭代查詢

[root@centos-a1 named]# vim /etc/named.conf recursion no;關閉遞歸查詢后，bind采用迭代查詢 [root@centos-a1 named]# systemctl restart named [root@centos7-a3 ~]# dig www.mmnl.edu @192.168.111.21; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.9 <<>> www.mmnl.edu @192.168.111.21 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25067 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2 ;; WARNING: recursion requested but not available `報錯：遞歸請求但不可用，即有rd，但沒ra` ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.mmnl.edu. IN A;; ANSWER SECTION: www.mmnl.edu. 86400 IN A 192.168.111.10;; AUTHORITY SECTION: mmnl.edu. 86400 IN NS dns1.mmnl.edu.;; ADDITIONAL SECTION: dns1.mmnl.edu. 86400 IN A 192.168.111.21;; Query time: 0 msec ;; SERVER: 192.168.111.21#53(192.168.111.21) ;; WHEN: Mon Jun 20 12:43:29 CST 2022 ;; MSG SIZE rcvd: 92[root@centos7-a3 ~]# dig www.baidu.com @192.168.111.21; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.9 <<>> www.baidu.com @192.168.111.21 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: `REFUSED`, id: 45394 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; WARNING: recursion requested but not available `同樣報錯，但是refused，因為關閉了遞歸查詢，所以客戶端無法向服務器查詢` ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.baidu.com. IN A;; Query time: 0 msec ;; SERVER: 192.168.111.21#53(192.168.111.21) ;; WHEN: Mon Jun 20 12:43:31 CST 2022 ;; MSG SIZE rcvd: 42

二、DNS反向解釋

反向DNS和PTR記錄

1、編輯主DNS的編輯配置，增加域名反向解釋區域字段

[root@centos-a1 ~]# vim /etc/named.conf zone "111.168.192.in-addr.arpa" IN {type master;file "192.168.111.zone"; };

2、主DNS上創建反解區域文件（帶權限），并增加授權區域dns1，NS記錄dns1，以及對應的PTR記錄，重啟主DNS服務

[root@centos-a1 ~]# cd /var/named/ [root@centos-a1 named]# ll total 24 drwxrwx--- 2 named named 23 Jun 20 11:31 data drwxrwx--- 2 named named 60 Jun 20 13:04 dynamic -rw-r----- 1 root named 219 Jun 20 11:44 mmnl.edu.zone -rw-r----- 1 root root 152 Jun 20 10:38 mmnl.edu.zone.test -rw-r----- 1 root named 2253 Apr 5 2018 named.ca -rw-r----- 1 root named 152 Dec 15 2009 named.empty -rw-r----- 1 root named 152 Jun 21 2007 named.localhost -rw-r----- 1 root named 168 Dec 15 2009 named.loopback drwxrwx--- 2 named named 6 Feb 24 01:17 slaves [root@centos-a1 named]# cp named.loopback 192.168.111.zone -p [root@centos-a1 named]# vim 192.168.111.zone A 127.0.0.1AAAA ::1 $TTL 1D @ IN SOA mmnl.edu. rname.invalid. (0 ; serial1D ; refresh1H ; retry1W ; expire3H ) ; minimumIN NS dns1.mmnl.edu. dns1 IN A 192.168.111.21 21 IN PTR dns1.mmnl.edu. 10 IN PTR www.mmnl.edu.

3、使用nslookup命令測試域名反解，查看確認

[root@centos7-a3 ~]# nslookup 192.168.111.21 21.111.168.192.in-addr.arpa name = dns1.mmnl.edu.

4、使用dig命令測試域名反解，查看確認

[root@centos7-a3 ~]# dig -x 192.168.111.21 ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.9 <<>> -x 192.168.111.21 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2157 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;21.111.168.192.in-addr.arpa. IN PTR;; ANSWER SECTION: 21.111.168.192.in-addr.arpa. 86400 IN PTR dns1.mmnl.edu.;; AUTHORITY SECTION: 111.168.192.in-addr.arpa. 86400 IN NS dns1.mmnl.edu.;; ADDITIONAL SECTION: dns1.mmnl.edu. 86400 IN A 192.168.111.21;; Query time: 0 msec ;; SERVER: 192.168.111.21#53(192.168.111.21) ;; WHEN: Mon Jun 20 17:50:45 CST 2022 ;; MSG SIZE rcvd: 113

三、DNS主從配置

輔助域名服務器的概念和作用
輔域名服務器(SLAVE)-dns詳細解析
輔助DNS服務器提供區域冗余，能夠在這個區域的主服務器停止響應的情況下為客戶端解析這個區域的DNS名稱
輔域名服務器(SLAVE)
英文叫做slave server(bind9以后）或secondary server(bind4)
輔助域名服務器使用一個叫域傳輸的復制過程，調入其他域名服務器的內容。但通常情況下，數據是直接從主服務器上傳輸過來。使用輔助域名服務器的主要目的是實現容錯和工作負載的分擔。
特點：
1、一個域內可以由多個輔助域名服務器。
2、配置輔助域名服務器不需要編寫hosts文件，它從主域名服務器上得到。

1、主DNS上增加從DNS（dns2）的正解及反解記錄，并重啟服務

[root@centos-a1 named]# vim mmnl.edu.zone $TTL 1D @ IN SOA mmnl.edu. rname.invalid. (0 ; serial1D ; refresh1H ; retry1W ; expire3H ) ; minimumIN NS dns1.mmnl.edu.IN NS dns2.mmnl.edu. dns1 IN A 192.168.111.21 dns2 IN A 192.168.111.22 www IN A 192.168.111.10 web IN CNAME www [root@centos-a1 named]# vim 192.168.111.zone $TTL 1D @ IN SOA mmnl.edu. rname.invalid. (0 ; serial1D ; refresh1H ; retry1W ; expire3H ) ; minimumIN NS dns1.mmnl.edu.IN NS dns2.mmnl.edu. 21 IN PTR dns1.mmnl.edu. 22 IN PTR dns2.mmnl.edu. 10 IN PTR www.mmnl.edu. 10 IN PTR web.mmnl.edu. [root@centos-a1 named]# systemctl restart named `dig檢驗` [root@centos-a1 named]# dig dns2.mmnl.edu @192.168.111.21 +short 192.168.111.22 [root@centos-a1 named]# dig -x 192.168.111.22 @192.168.111.21 +short dns2.mmnl.edu. `無誤`

2、從DNS上配置正解和反解區域字段（指向主），并啟動服務

zone "mmnl.edu" IN {type slave;file "slaves/mmnl.edu.zone";masters { 192.168.111.21; };}; zone "111.168.192.in-addr.arpa" IN {type slave;file "slaves/192.168.111.zone";masters { 192.168.111.21; }; }; [root@centos-a2 slaves]# netstat -ltnp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1/systemd tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN 6995/X tcp 0 0 192.168.111.22:53 0.0.0.0:* LISTEN 62236/named tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 62236/named tcp 0 0 192.168.122.1:53 0.0.0.0:* LISTEN 6809/dnsmasq tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 6509/sshd tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 6508/cupsd tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 62236/named tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 6780/master tcp6 0 0 :::111 :::* LISTEN 1/systemd tcp6 0 0 :::6000 :::* LISTEN 6995/X tcp6 0 0 ::1:53 :::* LISTEN 62236/named tcp6 0 0 :::22 :::* LISTEN 6509/sshd tcp6 0 0 ::1:631 :::* LISTEN 6508/cupsd tcp6 0 0 ::1:953 :::* LISTEN 62236/named tcp6 0 0 ::1:25 :::* LISTEN 6780/master [root@centos-a2 slaves]# ll total 8 -rw-r--r-- 1 named named 410 Jun 20 20:03 192.168.111.zone -rw-r--r-- 1 named named 337 Jun 20 20:03 mmnl.edu.zone

查看區域文件會出現亂碼
詳見
Centos7 bind服務器主從同步，從服務器區域文件亂碼

3、設置客戶端的DNS地址指向從DNS服務器（或@服務器），測試域名解釋結果，查看確認

[root@centos7-a3 ~]# nslookup localhost Server: 192.168.111.22 Address: 192.168.111.22#53Name: localhost Address: 127.0.0.1 Name: localhost Address: ::1 [root@centos7-a3 ~]# dig www.mmnl.edu @192.168.111.22 ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.9 <<>> www.mmnl.edu @192.168.111.22 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26671 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.mmnl.edu. IN A;; ANSWER SECTION: www.mmnl.edu. 86400 IN A 192.168.111.10;; AUTHORITY SECTION: mmnl.edu. 86400 IN NS dns1.mmnl.edu. mmnl.edu. 86400 IN NS dns2.mmnl.edu.;; ADDITIONAL SECTION: dns1.mmnl.edu. 86400 IN A 192.168.111.21 dns2.mmnl.edu. 86400 IN A 192.168.111.22;; Query time: 2 msec ;; SERVER: 192.168.111.22#53(192.168.111.22) ;; WHEN: Mon Jun 20 20:15:31 CST 2022 ;; MSG SIZE rcvd: 127

4、在主DNS上，增加ftp的A記錄，并重啟服務。客戶端測試ftp域名在從DNS服務器上的解釋，確認結果（區域文件的序列號）

DNS 序列號概念
文件的序列號，當修改文件后需要增加該值的大小，使得主DNS通知輔DNS服務器zone數據文件需要重新更新了。一般用修改當天的時間和當天第幾次修改就可以了

`正向` 2022062001 ; serial ftp IN A 192.168.111.11 [root@centos7-a3 ~]# dig ftp.mmnl.edu @192.168.111.22 +short 192.168.111.11

5、主DNS上每個區域設置為不允許更新數據（allow-update）

BIND配置文件詳解（轉）

zone "mmnl.edu" IN {type master;file "mmnl.edu.zone";allow-update { none; }; }; zone "111.168.192.in-addr.arpa" IN {type master;file "192.168.111.zone";allow-update { none; }; };

6、主DNS上正解區域設置指定傳送對象為從DNS服務器，反解區域指定傳送對象為其他設備（allow-transfer）

allow-transfer
設定哪臺主機允許和本地服務器進行域傳輸。allow-transfer也可以設置在zone語句中，這樣全局options中的allow-transfer選項在這里就不起作用了。如果沒有設定，默認值是允許和所有主機進行域傳輸。

zone "mmnl.edu" IN {type master;file "mmnl.edu.zone";allow-update { none; };allow-transfer { 192.168.111.22; }; }; zone "111.168.192.in-addr.arpa" IN {type master;file "192.168.111.zone";allow-update { none; };allow-transfer { 192.168.111.222; }; };

7、在主DNS服務器上，增加ftp的PTR記錄，修改序號并重啟服務

`反向` 2022062001 ; serial 11 IN PTR ftp.mmnl.edu. `如果不修改序列號，則文件不會更新，會出現查詢為空的情況` [root@centos7-a3 ~]# dig -x 192.168.111.11 +short [root@centos7-a3 ~] 返回值為空 `所以必須修改序列號，使得從域更新文件` [root@centos7-a3 ~]# dig -x 192.168.111.11 +short ftp.mmnl.edu.

8、客戶端測試ftp域名反解在從DNS服務器上的解釋結果

[root@centos7-a3 ~]# dig -x 192.168.111.12 +short ftp.mmnl.edu. 查詢結果為之前的反解文件，說明從域未更新反向區域文件

9、主DNS上配置反解區域指定傳送到從DNS，再次測試ftp域名反解在從DNS服務器上解釋結果，查看確認

zone "111.168.192.in-addr.arpa" IN {type master;file "192.168.111.zone";allow-update { none; };allow-transfer { 192.168.111.22; }; }; [root@centos7-a3 ~]# dig -x 192.168.111.11 @192.168.111.22 +short ftp.mmnl.edu.

自測

centos7 dns配置_CentOS7服務器配置課程自測題目（完整版）

安全&優化

見下章

總結

以上是生活随笔為你收集整理的Linux实训项目——第十一章：基础DNS服务器与主从同步的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。