DNS 子域授权和高级应用

DNS 基础主从部分 http://www.178linux.com/12395

实验环境：

    系统环境：Centos 6.7

    关闭SELINUX：setenforce 0 #立即生效   （实际是宽容模式）

    配置防火墙：iptables -F（清除防火墙规则）或者是关闭iptables

    DNS父域服务器的IP：192.168.1.7

    子域DNS服务器：192.168.1.5

    安装好bind:yum -y install bind 

一 子域授权

    1.配置父域DNS主配置文件：/etc/named.conf  

    service named start 

    2.配置区域文件：/etc/named.rfc1912.zones

      在最后添加下面几行   

        zone "test.com" IN {

          type master;

          file "test.com.zone";

        };

    3.配置区域解析库文件：/var/named/test.com.zone  

        $TTL 86400

        $ORIGIN test.com.

        @       IN      SOA     ns1.test.com.   admin.test.com. (

                                2016030901

                                1H

                                5M

                                7D

                                1D )

                IN      NS      ns1

                IN      NS      ns2

        ns1     IN      A       192.168.1.7 

        ns2     IN      A       192.168.1.198

        www     IN      A       192.168.1.7

        *       IN      A       192.168.1.7  

    4.修改区域解析库文件的权限并测试文件的语法有没有错误

    cd /var/named/

    chmod 640 test.come.zone

    chown :named test.come.zone

    named-checkzone "test.com" /var/named/test.com.zone 

    5.启动服务，测试解析是否正常

    service named start

    dig -t A www.test.com @192.168.1.7

    6.子域授权，在区域解析库中添加子域的NS记录和A记录

    /var/named/test.com.zone

    最后添加2行    

    ops     IN      NS       ns1.ops

    ns1.ops IN      A       192.168.1.5

    添加完后重载

    rndc  reload

    rndc status

    7.配置子域的主配置文件:/etc/named.conf

      跟父域配置是一样的

    8.配置子域区域文件：/etc/named.rfc1912.zones

        在最后添加下面几行

        zone "ops.test.com" IN {

          type master;

          file "ops.test.com.zone";

        };

    9.配置子域区域解析库文件：/var/named/ops.test.com.zone

        $TTL 86400

        $ORIGIN ops.test.com.

        @        IN      SOA     ns1.ops.test.com.   admin.ops.test.com. (

                                2016030901

                                1H

                                5M

                                7D

                                1D )

                IN      NS      ns1

                IN      NS      ns2

        ns1     IN      A       192.168.1.5

        ns2     IN      A       192.168.1.198

        www     IN      A       192.168.1.199

        *       IN      A       192.168.1.199

    10.启动服务，并测试

    service named start (如果已经启动过服务，直接rndc reload重载就可以了）

    dig -t A www.ops.test.com @192.168.1.5

    11.在父域DNS上测试

     dig -t A www.ops.test.com @192.168.1.7

    12. 在子域上定义转发区域

        在区域文件上配置：vi /etc/named.rfc1912.zones      

        zone "test.com" IN {

                type forward;

                forward only;

                forwarders { 192.168.1.7; };

        };

    13.重载服务，在子域上测试

    rndc reload

二 bind中基础的安全相关的配置

    acl: 把一个或多个地址归并为一个集合，并通过一个统一的名称调用；

    语法格式：

     acl acl_name {

     ip;

     ip;

     net/prelen;

     };

    bind有四个内置的acl:

     none: 没有一个主机；

     any: 任意主机；

     local: 本机；

     localnet: 本机的IP同掩码运算后得到的网络地址；

    注意：只能先定义，后使用；因此，其一般定义在配置文件中options的前面；

    访问控制的指令：

     allow-query {}： 允许查询的主机；白名单；

     allow-transfer {}：允许区域传送的主机；白名单；

     allow-recursion {}: 允许递归的主机；

     allow-update {}: 允许更新区域数据库中的内容；

    1.定义acl，编辑/etc/named.conf,修改内容

     在options上添加全局配置    

    acl slaves {

            192.168.1.7;

            127.0.0.1;

    };

    2.编辑/etc/named.rfc1912.zones,将acl应用到test.com域，并测试

    在test.com域中添加 allow-query { 127.0.0.1;};

    rndc reload

    3.编辑/etc/named.rfc1912.zones，讲acl应用到test.com域，并测试

    在test.com域中添加 allow-transfer { 127.0.0.1;};

    rndc reload

    dig -t AXFR test.com @192.168.1.7

三 bind view

  1.配置主配置文件：/etc/named.conf

    2.配置区域文件：/etc/named.rfc1912.zones 

    3.创建test.com.tencent解析库文件

     直接复制test.com.zone，文件名字是test.com.tencent，并且做修改

     cp -a test.com.zone test.com.tencent

    4.重载服务，并且在192.168.1.0的网络做测试 

     service named reload 

    dig -t A www.test.com @192.168.1.7

    5.在其他的网络做测试，验证智能DNS是否成功.