概述：

? ? 本篇為DNS服務器內(nèi)容的第二部分主要介紹了如何配置DNS服務器的正向區(qū)域和飯向區(qū)域，以及主從DNS服務器和子域授權，轉(zhuǎn)發(fā)服務器等相關內(nèi)容

========================================================================

配置一個正向區(qū)域

?1.配置步驟：

★配置前提：

• 首先要在互聯(lián)網(wǎng)注冊一個域名；

• 其次，你的這臺DNS服務器要是一個互聯(lián)網(wǎng)上的主機，有互聯(lián)網(wǎng)的地址；

• 最后，在注冊商那里修改 NS 記錄指向你的DNS服務器的IP地址即可

★配置解析一個正向區(qū)域：

???1）定義區(qū)域；

? ?2）建立區(qū)域數(shù)據(jù)文件；

? ?3）權限及屬主修改

? ?4）讓服務器重載配置文件和區(qū)域數(shù)據(jù)文件即可

☉定義區(qū)域

• 注意：區(qū)域名即為域名

在主配置文件中或主配置文件輔助配置文件中實現(xiàn)；

◆ZONE_NAME：

• 表示要解析的域名；正解時就為域名本身，如：magedu.com；反解的時候有固定格式：ip網(wǎng)段反向.in-addr.arpa。

◆type：

• 該zone的類型，主要類型有：針對根的hint；主DNS的master，從DNS的slave和專門用于轉(zhuǎn)發(fā)的域類型forward，除了根外默認為master

◆file：該zone的文件名稱

☉建立區(qū)域解析庫數(shù)據(jù)文件(主要記錄為A或AAAA)

◆在/var/named目錄下建立區(qū)域數(shù)據(jù)文件；（定義資源記錄等）

示例：文件為/var/named/.magedu.com.zone

◆權限及屬主修改

• chgrup named /var/named/magedu.com.zone

• chmod o= ?/var/named/magedu.com.zone

◆主配置文件語法檢查，解析庫文件語法檢查

• named-checkconf?
  

• named-checkzone ZONE_NAM ZONE_FILE

☉讓服務器重載配置文件和區(qū)域數(shù)據(jù)文件

• rndc status|reload 或者 service named reload

演示步驟如下：

?1.定義區(qū)域，編輯配置文件/etc/named.rfc1912.zones，在最后添加自己定義的域即可

[root@centos7?~]#?vim?/etc/named.rfc1912.zoneszone?"magedu.com"?IN?{type?master;??????????#?指定zone的類型file?"magedu.com.zone";??#?該zone的名稱};

?2.在/var/named目錄下建立區(qū)域數(shù)據(jù)庫文件

[root@centos7?~]#?cd?/var/named#?創(chuàng)建對應的區(qū)域數(shù)據(jù)庫文件 [root@centos7?named]#?vim?magedu.com.zone $TTL?3600????????????#?定義TTL值，為3600s $ORIGIN?magedu.com.??#?當前區(qū)域的名字，會自動補全 @??????IN??????SOA?????ns1.magedu.com.??dnsadim.magedu.com.?(20171005011H10M3D1D?)IN??????NS?????????ns1?????????????#?要對應一條A記錄IN??????MX??????10?mx1?????????????#?要對應一條A記錄IN??????MX??????20?mx2?????????????#?要對應一條A記錄 ns1????IN??????A??????? ??192.168.1.112 mx1????IN??????A??????????192.168.1.113 mx2????IN??????A??????????192.168.1.114 www????IN??????A??????????192.168.1.112 web????IN??????CNAME??????www??????????????#?定義?www?的別名為?web bbs????IN??????A??????????192.168.16.115 bbs????IN??????A??????????192.168.16.116

?3.主配置文件語法檢查，解析庫文件語法檢查

#?主配置文件語法檢查 [root@centos7?named]#?named-checkconf??#?解析庫語法檢查 [root@centos7?named]#?named-checkzone?magedu.com?/var/named/magedu.com.zone?? zone?magedu.com/IN:?loaded?serial?2016100501 OK

?4.重新加載區(qū)域?rndc status|reload;service named reload

[root@centos7?named]#?rndc?reload?#?重新加載 server?reload?successful[root@centos7?named]#?rndc?status version:?9.9.4-RedHat-9.9.4-29.el7?<id:8f9657aa> CPUs?found:?4 worker?threads:?4 UDP?listeners?per?interface:?4 number?of?zones:?102????#?原來是101，現(xiàn)在變?yōu)?02，加載成功 debug?level:?0 xfers?running:?0 xfers?deferred:?0 tcp?clients:?0/100 server?is?up?and?running

?5.測試能否解析

[root@centos7?named]#?host?-t?A?www.magedu.com www.magedu.com?has?address?192.168.1.112[root@centos7?named]#?host?-t?A?bbs.magedu.com?? bbs.magedu.com?has?address?192.168.16.116 bbs.magedu.com?has?address?192.168.16.115[root@centos7?named]#?host?-t?A?bbs.magedu.com bbs.magedu.com?has?address?192.168.16.115 bbs.magedu.com?has?address?192.168.16.116[root@centos7?named]#?host?-t?A?bbs.magedu.com bbs.magedu.com?has?address?192.168.16.116 bbs.magedu.com?has?address?192.168.16.115[root@centos7?named]#?dig?-t?A?www.magedu.com;?<<>>?DiG?9.9.4-RedHat-9.9.4-29.el7?<<>>?-t?A?www.magedu.com ;;?global?options:?+cmd ;;?Got?answer: ;;?->>HEADER<<-?opcode:?QUERY,?status:?NOERROR,?id:?48512 ;;?flags:?qr?aa?rd?ra;?QUERY:?1,?ANSWER:?1,?AUTHORITY:?1,?ADDITIONAL:?2;;?OPT?PSEUDOSECTION: ;?EDNS:?version:?0,?flags:;?udp:?4096 ;;?QUESTION?SECTION: ;www.magedu.com. IN A;;?ANSWER?SECTION: www.magedu.com. 3600 IN A 192.168.1.112;;?AUTHORITY?SECTION: magedu.com. 3600 IN NS ns1.magedu.com.;;?ADDITIONAL?SECTION: ns1.magedu.com. 3600 IN A 192.168.1.112;;?Query?time:?0?msec ;;?SERVER:?192.168.1.112#53(192.168.1.112) ;;?WHEN:?Sat?Mar?04?18:11:29?CST?2017 ;;?MSG?SIZE??rcvd:?93

?6.修改權限（640）和屬組

#?修改屬組為named [root@centos7?named]#?chown?:named?magedu.com.zone?#?修改權限使其他用戶沒有任何權限 [root@centos7?named]#?chmod?o=?magedu.com.zone????? [root@centos7?named]#?ll total?20 drwxrwx---?2?named?named???22?Oct??4?14:49?data drwxrwx---?2?named?named???30?Oct??4?15:06?dynamic -rw-r-----?1?root??named??491?Oct??5?13:04?magedu.com.zone?? -rw-r-----?1?root??named?2076?Jan?28??2013?named.ca -rw-r-----?1?root??named??152?Dec?15??2009?named.empty -rw-r-----?1?root??named??152?Jun?21??2007?named.localhost -rw-r-----?1?root??named??168?Dec?15??2009?named.loopback drwxrwx---?2?named?named????6?Nov?20??2015?slaves#?重新加載 [root@centos7?named]#?rndc?reload?? server?reload?successful

配置一個反向區(qū)域

?1.配置步驟：

★定義區(qū)域

☉在主配置文件中或主配置文件輔助配置文件中實現(xiàn)；

?注意：

• 反向區(qū)域的名字格式為：反寫的網(wǎng)段地址.in-addr.arpa?（如：16.168.192.in-addr.arpa）

★建立區(qū)域解析庫數(shù)據(jù)文件（主要記錄為PTR記錄）

◆在/var/named目錄下建立區(qū)域數(shù)據(jù)文件；

示例：文件為 /var/named/192.168.16.zone

?

◆權限及屬主修改

• chgrup named /var/named/magedu.com.zone

• chmod o= ?/var/named/magedu.com.zone

◆主配置文件語法檢查，解析庫文件語法檢查

• named-checkconf?
  

• named-checkzone ZONE_NAM ZONE_FILE

★讓服務器重載配置文件和區(qū)域數(shù)據(jù)文件

• rndc status|reload 或者 service named reload

演示步驟如下：

1.定義區(qū)域，編輯配置文件/etc/named.rfc1912.zones，在最后添加自己定義的域即可

#?編輯主配置文件/etc/named.rfc1912.zones,在最后添加反解的區(qū)域 [root@centos7?~]#?vim?/etc/named.rfc1912.zoneszone?"1.168.192.in-addr.arpa"?IN?{type?master;file?"192.168.1.zone";?};

?2.在/var/named目錄下建立區(qū)域數(shù)據(jù)庫文件

[root@centos7?named]#?cat?192.168.1.zone $TTL?3600 $ORIGIN?1.168.192.in-addr.arpa. @ IN SOA ns1.magedu.com. nsadmin.magedu.com.?(20161005011H10M3D12H?)IN NS ns1.magedu.com. 112?????IN??????PTR ns1.magedu.com. 113 IN PTR mx1.magedu.com. 114 IN PTR mx2.magedu.com. 115 IN PTR bbs.magedu.com. 116 IN PTR bbs.magedu.com. 112 IN PTR www.magedu.com.

?3.修改屬組和權限

[root@centos7?named]#?chgrp?named?192.168.16.zone? [root@centos7?named]#?chmod?640?192.168.16.zone? [root@centos7?named]#?ll total?24 -rw-r-----?1?root??named??334?Oct??5?21:21?192.168.16.zone??#?修改后的屬組和權限 drwxrwx---?2?named?named???22?Oct??4?14:49?data drwxrwx---?2?named?named???58?Oct??5?19:00?dynamic -rw-r-----?1?root??named??491?Oct??5?13:04?magedu.com.zone -rw-r-----?1?root??named?2076?Jan?28??2013?named.ca -rw-r-----?1?root??named??152?Dec?15??2009?named.empty -rw-r-----?1?root??named??152?Jun?21??2007?named.localhost -rw-r-----?1?root??named??168?Dec?15??2009?named.loopback drwxrwx---?2?named?named????6?Nov?20??2015?slaves

?4.主配置文件語法檢查，解析庫文件語法檢查

[root@centos7?named]#?named-checkzone?16.168.192.in-addr.arpa?/var/named/192.168.16.zone? zone?16.168.192.in-addr.arpa/IN:?loaded?serial?2016100501 OK [root@centos7?named]#?named-checkconf

?5.重新加載區(qū)域?rndc status|reload

[root@centos7?named]#?rndc?reload server?reload?successful [root@centos7?named]#?rndc?status version:?9.9.4-RedHat-9.9.4-29.el7?<id:8f9657aa> CPUs?found:?4 worker?threads:?4 UDP?listeners?per?interface:?4 number?of?zones:?103??#?可以看到又增加了一個區(qū)域 debug?level:?0 xfers?running:?0 xfers?deferred:?0 soa?queries?in?progress:?0 query?logging?is?OFF recursive?clients:?0/0/1000 tcp?clients:?0/100 server?is?up?and?running

?6.在另一臺centos 6 主機上 測試可以正常反向解析

[root@centos7?~]#?dig?-x??192.168.1.115?@192.168.1.112;?<<>>?DiG?9.9.4-RedHat-9.9.4-29.el7?<<>>?-x?192.168.1.115 ;;?global?options:?+cmd ;;?Got?answer: ;;?->>HEADER<<-?opcode:?QUERY,?status:?NOERROR,?id:?4517 ;;?flags:?qr?aa?rd?ra;?QUERY:?1,?ANSWER:?1,?AUTHORITY:?1,?ADDITIONAL:?2;;?OPT?PSEUDOSECTION: ;?EDNS:?version:?0,?flags:;?udp:?4096 ;;?QUESTION?SECTION: ;115.1.168.192.in-addr.arpa. IN PTR;;?ANSWER?SECTION: 115.1.168.192.in-addr.arpa.?3600?IN PTR bbs.magedu.com.;;?AUTHORITY?SECTION: 1.168.192.in-addr.arpa. 3600 IN NS ns1.magedu.com.;;?ADDITIONAL?SECTION: ns1.magedu.com. 3600 IN A 192.168.1.112;;?Query?time:?1?msec ;;?SERVER:?192.168.1.112#53(192.168.1.112) ;;?WHEN:?六?3月?04?20:03:11?CST?2017 ;;?MSG?SIZE??rcvd:?117

主從DNS服務器

?1.從服務器及配置從區(qū)域步驟：

★從服務器

• 從服務器是區(qū)域級別的概念。即主服務器上如果同時擁有正向和反向區(qū)域的解析庫，那么要配置從服務器，我們可以只配置主服務器上正向區(qū)域的從DNS服務器或者反向區(qū)域的從DNS服務器，當然也可以都配置。
  

★配置從服務器的步驟

☉On Slave(在從服務器上）

◆定義區(qū)域

?定義一個從區(qū)域：

◆配置文件語法檢查：

• named-checkconf

?◆重載配置

• rndc reload

• systemctl reload named.service

注意：

• 定義的區(qū)域文件應該放在/var/named/slaves 目錄下，因為此目錄的屬主和屬組都為named，并且有寫權限，所以slaves 目錄是專用于從服務器從主服務器那邊同步數(shù)據(jù)文件后，需要自動創(chuàng)建數(shù)據(jù)文件時使用。

☉On Master（在主服務器上）

◆確保區(qū)域數(shù)據(jù)文件中為每個從服務器配置NS記錄，并且在正向區(qū)域文件需要每個從服務器的NS記錄的主機名配置一個A記錄，且此A后面的地址為真正的從服務器的IP地址。

◆解析庫文件語法檢查

• named-checkzone ZONE_NAM ZONE_FILE

◆重載配置

◆可以手動進行測試

• # dig -t axfr magedu.com @192.168.16.104 ? (主服務器地址，表示主服務器到從服務器的全量傳送)

注意：

• 從服務器應該為一臺獨立的名稱服務器（安裝bind程序，編輯配置文件為緩存名稱服務器，然后檢查語法，啟動服務器）

• 主服務器的區(qū)域解析庫文件中必須有一條NS記錄指向從服務器

• 從服務器只需要定義區(qū)域，而無須提供解析庫文件；解析庫文件應該放置于 /var/named/slaves/ 目錄中

• 主服務器得允許從服務器作區(qū)域傳送；

• 主從服務器時間應該同步，可通過ntp進行；

• bind程序的版本應該保持一致；否則，應該從高，主低。

• 主名稱服務器數(shù)據(jù)庫修改完之后一定要使相應的序列號加1，這樣從服務器才可以檢測到并及時更新，并且重載

★時間同步；

• 任何在分布式環(huán)境中，讓多臺服務器基于某一種特定應用同時協(xié)調(diào)的內(nèi)容、進程或服務，都應該做時間同步。
  

☉ntpdate命令

☉互聯(lián)網(wǎng)上可用的時間服務器如下：

• time.nist.gov

• time.nuri.net

• 0.asia.pool.ntp.org

• 1.asia.pool.ntp.org

? ? ...

配置正向區(qū)域的從服務器演示過程如下：

在另一臺節(jié)點服務器上，安裝 bind 配置做為從DNS服務器，安裝及修改配置文件同主DNS服務器；

? 1.在從服務器上定義區(qū)域，編輯配置文件/etc/named.rfc1912.zones，在最后添加自己定義的域，然后檢查配置文件是否有語法錯誤

#?定義一個從區(qū)域 [root@centos7?~]#?vim?/etc/named.rfc1912.zoneszone?"magedu.com"??IN?{type?slave;file?"slaves/magedu.com.zone";??#?放在slave目錄下masters?{?192.168.1.112;?};????#?一定要指向主服務器的IP};#?檢查配置文件 [root@centos7?~]#?named-checkconf

2.在主服務器上的區(qū)域數(shù)據(jù)文件中為從服務器配置NS記錄，并且為從服務器的NS記錄的主機名配置一個A記錄，且此A記錄后面的地址為真正的從服務器的IP地址

3.主服務器解析庫文件語法檢查，并重置；

#?語法檢查 [root@centos7?named]#?named-checkzone?magedu.com?/var/named/magedu.com.zone zone?magedu.com/IN:?loaded?serial?2017100502 OK#?重置 [root@centos7?named]#?rndc?reload server?reload?successful[root@centos7?named]#?rndc?status version:?9.9.4-RedHat-9.9.4-29.el7?<id:8f9657aa> CPUs?found:?4 worker?threads:?4 UDP?listeners?per?interface:?4 number?of?zones:?103 debug?level:?0 xfers?running:?0 xfers?deferred:?0 soa?queries?in?progress:?0 query?logging?is?OFF recursive?clients:?0/0/1000 tcp?clients:?0/100 server?is?up?and?running??#?運行中

4.從服務器重置，并查看運行狀態(tài)，最后查看/var/named/slaves中是否有從主服務器同步過來的文件，測試可正常解析；

[root@centos7?~]#?rndc?reload server?reload?successful[root@centos7?~]#?ll?/var/named/slaves/ total?4 -rw-r--r--?1?named?named?566?Mar??4?21:54?magedu.com.zone???#?從主服務器復制的文件#?測試，使用從服務器作為DNS，可以正常解析 [root@centos7?~]#?dig?-t?A?www.magedu.com?@192.168.1.114;?<<>>?DiG?9.9.4-RedHat-9.9.4-29.el7?<<>>?-t?A?www.magedu.com?@192.168.1.114 ;;?global?options:?+cmd ;;?Got?answer: ;;?->>HEADER<<-?opcode:?QUERY,?status:?NOERROR,?id:?37167 ;;?flags:?qr?aa?rd?ra;?QUERY:?1,?ANSWER:?1,?AUTHORITY:?2,?ADDITIONAL:?3;;?OPT?PSEUDOSECTION: ;?EDNS:?version:?0,?flags:;?udp:?4096 ;;?QUESTION?SECTION: ;www.magedu.com. IN A;;?ANSWER?SECTION: www.magedu.com. 3600 IN A 192.168.1.112;;?AUTHORITY?SECTION: magedu.com. 3600 IN NS ns2.magedu.com. magedu.com. 3600 IN NS ns1.magedu.com.;;?ADDITIONAL?SECTION: ns1.magedu.com. 3600 IN A 192.168.1.112 ns2.magedu.com. 3600 IN A 192.168.1.114;;?Query?time:?0?msec ;;?SERVER:?192.168.1.114#53(192.168.1.114) ;;?WHEN:?Sat?Mar?04?21:59:36?CST?2017 ;;?MSG?SIZE??rcvd:?127

子域授權

注意：

• 我們注冊了二級域名之后，域名服務商會提供給我們DNS服務器（群租），我們只需在其二級域下添加相應的主機記錄（如web服務器的別名www，對應的ip地址）即可完成解析，但如果公司的部門很龐大，為了方便管理，需要單獨對一個部門添加一個域名，這時，就需要在其二級域下添加一個三級域（如：ops.magedu.com.），而添加的三級域必須要經(jīng)過上一級授權才可以。

• ops.magedu.com.是一個三級域，www.ops.magedu.com.是三級域中的web服務器的別名；而 magedu.com 是一個二級域，www.magedu.com是一個二級域中web服務器的別名；

• 注意一定不要搞混淆了，雖然別名相同但域的級別不同。

• 每一個域名都必須要有與之對應的名稱服務器才可以解析。

?1.子域：

★子域授權：

• 每個域的名稱服務器，都是通過其上級名稱服務器在解析庫進行授權;

☉類似根域授權tld：

☉magedu.com. 在.com的名稱服務器上，解析庫中添加資源記錄：

☉glue record：粘合記錄，父域授權子域的記錄

?2.互聯(lián)網(wǎng)域名：

★域名注冊：

• 代理商：萬網(wǎng)，新網(wǎng)，godaddy

☉注冊完成以后，想自己用專用服務來解析

• 管理后臺：把NS記錄指向你的服務器名稱，A記錄指向你的服務器地址即可；

附圖：

?阿里云DNS

☉這個域名是在阿里云注冊的.com域名，這個管理界面就是向.com域名服務器授權來查詢的。這是在win界面進行的子域授權管理，及資源記錄管理，那在DNS的配置文件中也很容易去配置實現(xiàn)子域授權，如下：

?3.正向解析區(qū)域授權子域的方法：

★原理：

• 在本域名服務器上的正向解析庫文件當中定義子域?qū)腄NS服務器的主機名和A記錄即可。

★方法：

☉具體步驟如下：

? 1）首先要在父域（二級域）的主DNS服務器上授權，編輯父域的數(shù)據(jù)解析庫文件；? ?

注意：

• 每次修改解析數(shù)據(jù)庫文件之后都要使序列號加1，這樣從服務器才能夠檢測到序列號不一致，并及時更新從DNS服務器

• 修改完之后保存退出并重載（#?rndc reload）

2）接下來配置子域服務器，其配置過程和之前的任何一個DNS服務器是一樣的（安裝bind程序，配置配置文件，定義手動添加區(qū)域解析庫文件）如下：

◆首先安裝bind程序；

• #?yum install bind -y

◆編輯配置文件/etc/named.conf,以緩存名稱服務器的方式啟動起來；

• 全局配置段：?options { any; };

• 關閉 dnssec

• 關閉僅允許本地查詢 ?//allow-query { localhost; };

• 語法檢查：named-checkconf [/etc/named.conf]

• 啟動服務，并查看狀態(tài) ：systemctl start|status named

• 檢查53號端口是否啟動：netstat -tunlp

◆配置其成為ops子域的主DNS域名服務器

1.編輯?/etc/named.rfc1912.zones ，新增加一個區(qū)域

2.建立授權子域的區(qū)域解析庫文件

3.權限及屬主修改

• # chgrup named /var/named/ops.magedu.com.zone

• # chmod o= ?/var/named/ops.magedu.com.zone

4.主配置文件語法檢查，解析庫文件語法檢查

• #?named-checkconf?
  

• # named-checkzone ?ops.magedu.com ?/var/named/ops.magedu.com.zone

5.重新加載區(qū)域

• # rndc status|reload;

6.測試能否解析

轉(zhuǎn)發(fā)服務器

★注意：

• 被轉(zhuǎn)發(fā)的服務器必須要能夠為請求者做遞歸，否則轉(zhuǎn)發(fā)請求不予進行；

★區(qū)域轉(zhuǎn)發(fā)：

• 僅轉(zhuǎn)發(fā)對特定區(qū)域的解析請求，比全局轉(zhuǎn)發(fā)優(yōu)先級高；
  

☉格式：

注意：

• 如果不定義區(qū)域轉(zhuǎn)發(fā)的話，子域要查找上一級就會先去找根再一步步查找，如果定義了區(qū)域轉(zhuǎn)發(fā)（被轉(zhuǎn)發(fā)的服務器為上一級的），子域就可以直接查找上一級而不通過查找根（比喻：家丑不可外揚）。

★全局轉(zhuǎn)發(fā):?

• 針對凡本地沒有通過zone定義的區(qū)域查詢請求，全轉(zhuǎn)發(fā)給指定的可以訪問互聯(lián)網(wǎng)的服務器；

?編輯named.conf文件，在options全局配置段中添加

☉過程：? ?

• 先去找 zone中定義的（自己負責解析的域和定義的區(qū)域轉(zhuǎn)發(fā)的父域），有直接返回查找結果；如果沒有就全局轉(zhuǎn)發(fā)給父域（比如：子域首先定義了區(qū)域轉(zhuǎn)發(fā)，這樣僅能查詢自己的上一級，但之外的比如www.baidu.com是查詢不了的；但是自己的父域是可以訪問互聯(lián)網(wǎng)的，這樣就可以定義所有自己訪問不了的統(tǒng)統(tǒng)轉(zhuǎn)發(fā)給父域）

演示：

1.以子域授權為例，定義區(qū)域轉(zhuǎn)發(fā)，子域可以查找自己的上一級（父域）

[root@centos7?~]#?vim?/etc/named.rfc1912.zones??#?編輯配置文件，新增加一個區(qū)域zone?"magedu.com"?IN?{type?forward;forward??only;?????#?只是內(nèi)部使用，不需要迭代forwarders?{?192.168.16.112;?};?#?定義父域DNS服務器的ip，如果有從服務器也寫上};

2.以子域授權為例定義了區(qū)域轉(zhuǎn)發(fā)之后再定義全局轉(zhuǎn)發(fā)：

#?編輯named.conf文件，在options全局配置段中添加 [root@centos7?~]#?vim?/etc/named.conf??options?{listen-on?port?53?{?any;?};listen-on-v6?port?53?{?::1;?};directory? "/var/named";dump-file? "/var/named/data/cache_dump.db";statistics-file?"/var/named/data/named_stats.txt";memstatistics-file?"/var/named/data/named_mem_stats.txt";forward?only??forwarders?{?192.168.1.112;?};?#?表示只要是自己不負責的統(tǒng)統(tǒng)轉(zhuǎn)發(fā)給父域，父域去迭代查詢，然后返回結果//allow-query?????{?localhost;?};

bind中安全的相關配置

1.bind中的acl訪問控制列表

★acl：

• 把一個或多個地址歸并為一個集合，隨后通過此名稱即可對此集全內(nèi)的所有主機實現(xiàn)統(tǒng)一調(diào)用；

☉格式：

☉bind有四個內(nèi)置的acl：

• none：沒有一個主機

• any：任意主機

• localhost：本機

• localnet：本機的IP同掩碼運算后得到的網(wǎng)絡地址

注意：

• 只能先定義，后使用；因此一般定義在配置文件中，處于options的前面；

?2.控制訪問指令

★訪問控制的指令：

• allow-query {}：允許查詢的主機；白名單；默認是所有主機，如果有的話只有定義在里面的才可以查詢；

• allow-transfer {}：允許向哪些主機做區(qū)域傳送；默認為向所有主機，應該配置為僅允許從服務器；

• allow-recursion {}：允許哪些主機向當前DNS服務器發(fā)起遞歸查詢請求；

• allow-update {}：DDNS，允許動態(tài)更新區(qū)域數(shù)據(jù)庫文件中的內(nèi)容，一般都為 none

bind?view

★view：視圖

• 一個bind服務器可定義多個view，每個view中可定義一個或多個zone，每個view用來匹配一組客戶端；

• 多個view內(nèi)可能需要對同一個區(qū)域進行解析，但使用不同的區(qū)域解析庫文件

☉格式：

?

注意：

• 一旦啟用了view，所有的zone都只能定義在view中

• 僅在允許遞歸請求的客戶端所在view中定義根區(qū)域

• 客戶端請求到達時，是自上而下檢查每個view所服務的客戶端列表

★CDN：Content Delivery Network

★智能DNS：

• dnspod

• dns.la

附：

1. 完整的 主 named.conf 配置文件

[root@centos7?named]#?cat?/etc/named.conf // //?named.conf // //?Provided?by?Red?Hat?bind?package?to?configure?the?ISC?BIND?named(8)?DNS //?server?as?a?caching?only?nameserver?(as?a?localhost?DNS?resolver?only). // //?See?/usr/share/doc/bind*/sample/?for?example?named?configuration?files. //#?定義訪問控制，一定要先定義，再調(diào)用 acl?mynet?{192.168.1.0/24;127.0.0.0/8; };acl?slaves?{192.168.1.114;127.0.0.1; };options?{listen-on?port?53?{?any;?};???#?監(jiān)聽所有的地址的53號端口listen-on-v6?port?53?{?::1;?};directory? "/var/named";dump-file? "/var/named/data/cache_dump.db";statistics-file?"/var/named/data/named_stats.txt";memstatistics-file?"/var/named/data/named_mem_stats.txt";allow-query?????{?mynet;?};??#?僅允許?mynet?中定義的的網(wǎng)段中的主機可以進行查詢；/*?-?If?you?are?building?an?AUTHORITATIVE?DNS?server,?do?NOT?enable?recursion.-?If?you?are?building?a?RECURSIVE?(caching)?DNS?server,?you?need?to?enable?recursion.?-?If?your?recursive?DNS?server?has?a?public?IP?address,?you?MUST?enable?access?control?to?limit?queries?to?your?legitimate?users.?Failing?to?do?so?willcause?your?server?to?become?part?of?large?scale?DNS?amplification?attacks.?Implementing?BCP38?within?your?network?would?greatlyreduce?such?attack?surface?*/allow-recursion ?{?mynet;?};??#?僅允許為?mynet?中定義的網(wǎng)段中的主機進行遞歸查詢dnssec-enable?no;?????????????#?關閉dnssecdnssec-validation?no;/*?Path?to?ISC?DLV?key?*/bindkeys-file?"/etc/named.iscdlv.key";managed-keys-directory?"/var/named/dynamic";pid-file?"/run/named/named.pid";session-keyfile?"/run/named/session.key"; };logging?{channel?default_debug?{file?"data/named.run";severity?dynamic;}; };zone?"."?IN?{type?hint;file?"named.ca"; };include?"/etc/named.rfc1912.zones"; include?"/etc/named.root.key";

2./etc/named.rfc1912.zones 配置文件

[root@centos7?named]#?cat?/etc/named.rfc1912.zones? //?named.rfc1912.zones: // //?Provided?by?Red?Hat?caching-nameserver?package? // //?ISC?BIND?named?zone?configuration?for?zones?recommended?by //?RFC?1912?section?4.1?:?localhost?TLDs?and?address?zones //?and?http://www.ietf.org/internet-drafts/draft-ietf-dnsop-default-local-zones-02.txt //?(c)2007?R?W?Franks //? //?See?/usr/share/doc/bind*/sample/?for?example?named?configuration?files. //zone?"localhost.localdomain"?IN?{type?master;file?"named.localhost";allow-update?{?none;?}; };zone?"localhost"?IN?{type?master;file?"named.localhost";allow-update?{?none;?}; };zone?"1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa"?IN?{type?master;file?"named.loopback";allow-update?{?none;?}; };zone?"1.0.0.127.in-addr.arpa"?IN?{type?master;file?"named.loopback";allow-update?{?none;?}; };zone?"0.in-addr.arpa"?IN?{type?master;file?"named.empty";allow-update?{?none;?}; };#?自己定義的正向解析區(qū)域 zone?"magedu.com"?IN?{type?master;file?"magedu.com.zone";allow-transfer?{?slaves;?};??????#?僅允許?slaves?中定義的主機可以做區(qū)域傳送allow-update?{?none;?};??????????#?關閉?DDNS };#?自己定義的反向解析區(qū)域 zone?"1.168.192.in-addr.arpa"?IN?{type?master;allow-transfer?{?slaves;?};?file?"192.168.1.zone";allow-update?{?none;?};? };

3.正向區(qū)域的區(qū)域解析庫文件

[root@centos7?~]#?cat?/var/named/magedu.com.zone? $TTL?3600 $ORIGIN?magedu.com. @??????IN??????SOA?????ns1.magedu.com.??dnsadim.magedu.com.?(20171005031H10M3D1D?)IN??????NS?????????ns1?????#?主DNSIN??????NS?????????ns2?????#?從DNSIN??????MX??????10?mx1IN??????MX??????20?mx2 ns1????IN??????A??????? ??192.168.1.112??#?主DNS?A?記錄 ns2????IN??????A??????????192.168.1.114????????#?從DNS?A?記錄 mx1????IN??????A??????????192.168.1.113? mx2????IN??????A??????????192.168.1.114 www????IN??????A??????????192.168.1.112 web????IN??????CNAME??????www bbs????IN??????A??????????192.168.1.115 bbs????IN??????A??????????192.168.1.116 pops???IN??????A??????????192.168.1.117

3.反向區(qū)域的區(qū)域解析庫文件

[root@centos7?~]#?cat?/var/named/192.168.1.zone? $TTL?3600 $ORIGIN?1.168.192.in-addr.arpa. @ IN SOA ns1.magedu.com. nsadmin.magedu.com.?(20161005011H10M3D12H?)IN NS ns1.magedu.com. 112?????IN??????PTR ns1.magedu.com. 113 IN PTR mx1.magedu.com. 114 IN PTR mx2.magedu.com. 115 IN PTR bbs.magedu.com. 116 IN PTR bbs.magedu.com. 112 IN PTR www.magedu.com.

后續(xù)還有一些內(nèi)容：編譯安裝bind，壓力測試，DNS排錯這里先不做整理，后續(xù)用到再做整理。

轉(zhuǎn)載于:https://blog.51cto.com/1992tao/1859019

總結

以上是生活随笔為你收集整理的DNS and Bind （二）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。