DNS and BIND

DNS and BIND

名称解析:把一种代号转换成为另一种代号的功能
是应用程序基于某个搜索键在指定的数据库查询,查询到对应的键以后,对应键被找出来的过程!
passwd —《nsswith》/etc/nsswith.conf

注意:查询的时候用到的是UDP的53,主从复制走的是tcp(但是也用到udp)

DNS: Domain Name Service,协议(C/S, 53/udp, 53/tcp);应用层协议;
BIND:Bekerley Internat Name Domain, ISC (www.isc.org)

TCP: 面向连接的协议;
UDP: User Datagram Protocol,无连接协议

本地名称解析配置文件:hosts

/etc/hosts
%WINDOWS%/system32/drivers/etc/hosts
    1.1.1.1 www.magedu.com
    1.2.2.2 www.apple.com

这个就导致,一个机器要想知道地址会要很大的一个文件!为了解决这个问题,就把这种集中起来做成一个集中的存储!就有了DNS!

DNS域名分类

1、 根域
2、 一级域名:Top Level Domain: tld
com, edu, mil, gov, net, org, int,
三类:组织域、国家域(.cn, .ca, .hk, .tw)、反向域 .in-addr.arpa

3、二级域名  (magedu)

4、 三级域名   (www、ftp等)
最多127级域名

 ICANN(The Internet Corporation for Assigned Names and Numbers)互联网名称与数字地址分配机构,负责在全球范围内对互联网通用顶级域名(gTLD)以及国家和地区顶级域名(ccTLD)系统的管理、以及根服务器系统的管理

5.DNS域名结构
DNS and BIND

DNS解析

DNS查询类型:
递归查询

 递归查询:只发起一次请求,最终能得到答案

迭代查询

迭代:发起一次请求,不一定得到答案

DNS and BIND

名称服务器:域内负责解析本域内的名称的主机;
       根服务器:13组服务器

解析类型:
       Name –> IP
       IP –> Name

注意:正反向解析是两个不同的名称空间,是两棵不同的解析树;

DNS服务器的类型:

  • 主DNS服务器

  • 辅助DNS服务器

  • 缓存DNS服务器(一般企业里用为了转发)

  • 转发器

两种同步方式push(主服务器向从服务器推送)、pull(从服务器定期从主中拉出数据)

主DNS服务器:维护所负责解析的域内解析库服务器;解析库由管理维护;
从DNS服务器:从主DNS服务器或其它的从DNS服务器那里“复制”(区域传递)一份解析库;
        序列号:解析库的版本号;前提:主服务器解析库内容发生变化,其序列递增;
        刷新时间间隔:从服务器从主服务器请求同步解析库的时间间隔;
        重试时间间隔:从服务器从主服务器请求同步解析库失败时,再次尝试的时间间隔;
        过期时长:从服务器始终联系不到主服务器时,多久多后放弃从服务器角度,停止提供服务;

“通知”机制:主服务器解析库发生变化时,会主动通知从服务器

注意主的能更改 从的只能复制 当备份,改了主 的以后要同步数据库(该版本号)  要不从不能同步

区域传输

区域传输:

完全传输:传送整个解析库
增量传输:传递解析库变化的那部分内容

Domain: Fully Qualified Domain Name

正向:FQDN –> IP
反向: IP –> FQDN

负责本地域名的正向和反向解析库:

正向区域
反向区域

DNS解析

一次完整的查询请求经过的流程:

  Client -->hosts文件 -->DNS Service Local Cache --> DNS Server (recursion) --> Server Cache --> iteration(迭代) --> 根--> 顶级域名DNS-->二级域名DNS…

解析答案:

  • 肯定答案:

  • 否定答案:请求的条目不存在等原因导致无法返回结果

  • 权威答案:查到的最后记录的确有的

  • 非权威答案:别的记录中转发的


资源记录

区域解析库:由众多RR组成:

数据库每一个条叫一个资源记录(Resource Record),资源记录有类型 ,用于表示资源的功能

资源记录:Resource Record, RR
记录类型:A, AAAA, PTR, SOA, NS, CNAME, MX

  • SOA:Start Of Authority,起始授权

  • NS:Name Server,域名服务器

  • MX:mail eXchanger:邮件交换器

  • A:Address,(FQDN–>IP)

  • PTR: PoiTeR,(IP–>FQDN)

  • AAAA:Address,FQDN–>IPv6

  • CNAME:Canonical Name,正式名称(别名记录)

DNS:FQDN –> IP

资源记录定义的格式:

语法:name [TTL] IN  rr_type  value
注意:
(1) TTL可从全局继承
(2) @可用于引用当前区域的名字
(3) 同一个名字可以通过多条记录定义多个不同的值;此时DNS服务器会以轮询方式响应
(4) 同一个值也可能有多个不同的定义名字;通过多个不同的名字指向同一个值进行定义;此仅表示通过多个不同的名字可以找到同一个主机

SOA:

name: 当前区域的名字,例如“magedu.com.”;
value: 有多部分组成
    (1) 当前区域的主DNS服务器的FQDN,也可以使用当前区域的名字;
    (2) 录前区域管理员的邮箱地址;但地址中不能使用@符号,一般用.替换,例如linuxedu.magedu.com;
    (3) (主从服务协调属性的定义以及否定的答案的统一的TTL)

例如:
    magedu.com.     86400     IN     SOA     ns.magedu.com.(这里是主dns)     nsadmin.magedu.com.     (
                2015042201  ;序列号
                2H          ;刷新时间
                10M            ;重试时间
                1W            ;过期时间
                1D            ;否定答案的TTL值
        )

NS:

name: 当前区域的名字
value: 当前区域的某DNS服务器的名字,例如ns.magedu.com.;
注意:一个区域可以有多个NS记录;

例如:
magedu.com.        IN         NS      ns1.magedu.com.
magedu.com.        IN         NS      ns2.magedu.com.

注意:
(1) 相邻的两个资源记录的name相同时,后续的可省略;
(2) 对NS记录而言,任何一个ns记录后面的服务器名字,都应该在后续有一个A记录;

MX:

name: 当前区域的名字
value: 当前区域的某邮件服务器(smtp服务器)的主机名;
一个区域内,MX记录可有多个;但每个记录的value之前应该有一个数字(0-99),表示此服务器的优先级;数字越小优先级越高;

例如:
magedu.com.        IN      MX  10  mx1.magedu.com.
                IN         MX  20 mx2.magedu.com.

注意:
    (1) 对MX记录而言,任何一个MX记录后面的服务器名字,都应该在后续有一个A记录;

A:

name: 某主机的FQDN,例如www.magedu.com.
value: 主机名对应主机的IP地址;

例如:
www.magedu.com.        IN      A     1.1.1.1
www.magedu.com.        IN      A      1.1.1.2
mx1.magedu.com.        IN      A   1.1.1.3
mx2.magedu.com.        IN      A   1.1.1.3

$GENERATE 1-254 HOST$(这个可以改成想要的) A 1.2.3.$
(一次定义多个A记录 ---- HOST1-254)

*.magedu.com.  IN  A  5.5.5.5
(解决了 wwww.mageedu.com 三级域名多写的只能解析)
magedu.com. IN  A 6.6.6.6
(解决了不写 www 也能访问)



注意后边三个:
$GENERATE
*.magedu.com.          IN     A      1.1.1.4
magedu.com.            IN     A   1.1.1.4

避免用户写错名称时给错误答案,可通过泛域名解析进行解析至某特定地址;

AAAA:

name: FQDN
value: IPv6

PTR:

name: IP,有特定格式,把IP地址反过来写,1.2.3.4,要写作4.3.2.1;而有特定后缀:in-addr.arpa.,所以完整写法为:4.3.2.1.in-addra.arpa.
            value: FQDN

例如:
4.3.2.1.in-addr.arpa.     IN     PTR     www.magedu.com.
简写成:
4      IN  PTR     www.magedu.com.

注意:网络地址及后缀可省略;主机地址依然需要反着写

CNAME(别名记录):

    name: 别名的FQDN
    value: 正工名字的FQDN;

例如:
web.magedu.com.     IN      CNAME      www.magedu.com.

互联网域名

域名注册:
代理商:万网, 新网;godaddy

注册完成以后,想自己用专用服务来解析
管理后台:把NS记录指向的服务器名称,和A记录指向
的服务器地址


BIND的安装配置:

dns服务,程序包名bind,程序名named

程序包:
    bind:提供服务
    bind-libs:提供库文件    
    bind-utils:测试服务

    bind-chroot: /var/named/chroot/

    /var/named 放的是区域数据库文件

服务脚本和名称:/etc/rc.d/init.d/named,unbound.service

主配置文件:

  • /etc/named.conf,

  • /etc/named.rfc1912.zones,

  • /etc/rndc.key

  • /etc/unbound/unbound.conf

解析库文件:/var/named/ZONE_NAME.ZONE

注意:

(1) 一台物理服务器可同时为多个区域提供解析;
(2) 必须要有根区域文件;named.ca
(3) 应该有两个(如果包括ipv6的,应该更多)实现localhost
和本地回环地址的解析库

rndc: remote name domain controller,
默认与bind安装在同一主机,且只能通过127.0.0.1连接
named进程
提供辅助性的管理功能;953/tcp

DNS配置与安装

  1. 安装bind

  2. 设置为开机启动 chkconfig named on(centos 6)、systemctl enable named (centos 7)并启动试试

  3. 配置区域数据库及相关文件!
    /etc/named.conf (此文件是全局配置文件)

主配置文件:/etc/named.conf

全局配置:options {};
日志子系统配置:logging {};
区域定义:本机能够为哪些zone进行解析,就要定义哪些zone;

zone "ZONE_NAME" IN {};

注意:任何服务程序如果期望其能够通过网络被其它主机访问,至少应该监听在一个能与外部主机通信的IP地址上

缓存名称服务器的配置:
监听外部地址即可;
dnssec: 建议关闭dnssec,设为no


例:

套路:

主DNS名称服务器:
(1) 在主配置文件中定义区域
    zone "ZONE_NAME" IN {
        type {master|slave|hint|forward};
        file "ZONE_NAME.zone";
        };
(2) 定义区域解析库文件
    出现的内容:
    宏定义;
    资源记录;
主配置文件语法检查:
    named-checkconf
 解析库文件语法检查:
    named-checkzone "magedu.com" /var/named/magedu.com.zone
加载配置文件
 rndc status|reload ;service named reload

一、主DNS名称服务器 正向区域:

1、安装bind包,启动服务
2、创建zone信息
vi /etc/named.conf

 listen-on port 53 { localhost; };
 allow-query {any;};

3、在主配置文件中定义区域(vim named.rfc1912.zones或者在主配置文件中加)

zone "ZONE_NAME" IN {
        type {master|slave|hint|forward};
        file "ZONE_NAME.zone";
};

zone "magedu.com" IN {
        type master;
        file "magedu.com.zone";
};

4.配置区域数据库文件(vim /var/named/magedu.com.zone)

$TTL 86400
magedu.com.   IN  SOA ns1.magedu.com.  admin.magedu.com. (2016092601   1D  10M 1W 1H )
magedu.com.   IN  NS ns1
magedu.com.   IN  NS ns2
ns1     IN      A   10.1.252.213
ns2     IN      A   10.1.252.210
websrv   IN    A  10.1.252.213
websrv  IN   A 10.1.252.210
www  IN CNAME  websrv
@       IN  MX 10 mailsrv
mailsrv IN  A 10.1.252.210
$GENERATE 1-9  server$ IN A   1.1.1.6$
*       IN  A 10.1.252.213
@       IN A 10.1.252.213

5、更改数据库文件的权限

chgrp named magedu.com.zone
chmod 640 magedu.com.zone

6、主配置文件语法检查:

named-checkconf

解析库文件语法检查:

named-checkzone "magedu.com   /var/named/magedu.com.zone

7、重新加载配置文件

rndc status|reload
service named reload


二、从服务器配置

1、应该为一台独立的名称服务器
2、主服务器的区域解析库文件中必须有一条NS记录指向从服务器
3、从服务器只需要定义区域,而无须提供解析库文件;解析库文件应该放置于/var/named/slaves/目录中
4、主服务器得允许从服务器作区域传送
5、主从服务器时间应该同步,可通过ntp进行;
6、bind程序的版本应该保持一致;否则,应该从高,主低

从服务器配置步骤

1、装包,启服务
2、更改配置文件 vim /etc/named.conf
listen-on port 53 { localhost; };
allow-query {any;};
allow-transfer {从IP;}; 主服务器
allow-transfer {none;}; 从服务器
(000)更改主的配置文件,使之加上从服务器的记录

@    IN    NS  ns2
ns2    IN    A    10.1.252.21

3、改vim /etc/named.rfc1912.zones  注意这里建的空间要与主空间的名字要一致

格式

zone "ZONE_NAME" IN {
    type slave;
    masters { MASTER_IP; };//这里写的是主DNS服务器的地址
    file "slaves/ZONE_NAME.zone";//从服务器的文件单独保存在 /var/named/slave 目录内,/后边随便起个名就行没要求
};

例:

zone "qzx.com" IN {
        type slave;
        masters {10.1.253.73;};
        file "slaves/qzx.com.slave";
};

rndc reload

传送成功;也可以看日志/var/log/messages;走的是TCP端口但是也需要UDP协议                            
DNS and BIND

4、权限限制 named.conf

访问控制的指令:
allow-query {}: 允许查询的主机;白名单;
allow-transfer {}:允许区域传送的主机;白名单
allow-recursion {}: 允许递归的主机,建议全局使用
allow-update {}: 允许更新区域数据库中的内容

例:为了安全起见只让固定的从主机能同步,从主机不允许让别的主机同步

在主的DNS配置文件中加上

     allow-transfer {10.1.253.73;};//允许区域传送的主机;白名单 括号内写上IP地址

在从的DNS配置文件中加上

    allow-transfer {none;};

三、反向区域:

区域名称:网络地址反写.in-addr.arpa. 172.16.100. –> 100.16.172.in-addr.arpa.

(1) 定义区域

zone "ZONE_NAME" IN {
            type {master|slave|forward};
            file "网络地址.zone"
        };

例
zone "1.10.in-addr.arpa" IN {
            type    master;
            file    "10.1.zone";
        };

(2) 区域解析库文件
注意:不需要MX和A,以及AAAA记录;以PTR记录为主;

示例:

$TTL 86400
@  IN   SOA   ns1.qzx.com.  admin.magedu.com. (
                    2016092901
                     1H
                     5M
                     7D
                     1D )
        IN      NS      ns1.qzx.com.
73.253  IN      PTR     ns1.qzx.com.
73.253  IN      PTR     www.qzx.com.
1.100   IN      PTR     ftp.qzx.com.

(3)、语法检查

[root@localhost named]# named-checkconf 
[root@localhost named]# named-checkzone "1.10.in-addr.arpa" 10.1.zone

(4)重读配置文件

[root@localhost named]# rndc reload
server reload successful

测试命令讲解

测试命令dig

dig [-t type] name [@SERVER] [query options]
dig只用于测试dns系统,不会查询hosts文件进行解析

查询选项:
+[no]trace:跟踪解析过程 : dig +trace magedu.com
+[no]recurse:进行递归解析

测试反向解析:
dig -x IP = dig –t ptr reverseip.in-addr.arpa

模拟区域传送:
dig -t axfr ZONE_NAME @SERVER
dig -t axfr magedu.com @10.10.10.11
dig –t axfr 100.1.10.in-addr.arpa @172.16.1.1
dig -t NS . @114.114.114.114
dig  -t NS . @a.root-servers.net

host

host [-t type] name [SERVER]
host –t NS magedu.com @172.16.0.1
host –t soa magedu.com
host –t mx magedu.com
host –t axfr magedu.com
host  1.2.3.4

nslookup命令:

nslookup [-option] [name | -] [server]

• 交互式模式:
nslookup>
server IP: 指明使用哪个DNS server进行查询
set q=RR_TYPE: 指明查询的资源记录类型
NAME: 要查询的名称

测试:改客户端主机 vim  /etc/resolv.conf

配置文件的重新加载

rndc命令

rndc:
rndc –> rndc (953/tcp)
rndc COMMAND

COMMAND:

  • reload: 重载主配置文件和区域解析库文件

  • reload zone: 重载区域解析库文件

  • retransfer zone: 手动启动区域传送过程,而不管序列号是增加

  • notify zone: 重新对区域传送发通知

  • reconfig: 重载主配置文件

  • querylog: 开启或关闭查询日志文件/var/log/message(默认不记录查询,打开后每查询一次就记录一次)

  • trace: 递增debug一个级别

  • trace LEVEL: 指定使用的级别

  • notrace:将调试级别设置为 0

  • flush:清空DNS服务器的所有缓存记录

  • status :查询状态


bind中ACL

bind中基础的安全相关的配置:

acl: 把一个或多个地址归并为一个集合,并通过一个统一的名
称调用
格式:

acl acl_name {
        ip;
        net/prelen;
        ……
    };

示例:

acl mynet {
        172.16.0.0/16;
        10.10.10.10;
        };

bind有四个内置的acl:

  • none: 没有一个主机

  • any: 任意主机

  • localhost: 本机

  • localnet: 本机的IP同掩码运算后得到的网络地址

注意:只能先定义,后使用;因此一般定义在配置文件中,处于options的前面

访问控制

访问控制的指令:

allow-query {}: 允许查询的主机;白名单;
allow-transfer {}:允许区域传送的主机;白名单
allow-recursion {}: 允许递归的主机,建议全局使用
allow-update {}: 允许更新区域数据库中的内容

子域

子域授权:分布式数据库
正向解析区域子域方法:
定义一个子区域:

实现了在mgedu.com这个DNS中查找他的子域study.magedu.com的DNS

即在主DNS中添加子域的名称及地址

例想要添加子域study.mage.com

study    IN    NS    ns1.study.magedu.com.
ns1.study    IN    A    10.1.0.111
例2,在magedu.com中添加子域 ops、fin
ops.magedu.com.  IN  NS  ns1.ops.magedu.com.
ops.magedu.com.  IN  NS ns2.ops.magedu.com.
ns1.ops.magedu.com.  IN  A  1.1.1.1
ns2.ops.magedu.com.  IN  A  1.1.1.2
fin.magedu.com.  IN  NS  ns1.fin.magedu.com.
fin.magedu.com.  IN  NS  ns2.fin.magedu.com.
ns1.fin.magedu.com.  IN  A  3.1.1.1
ns2.fin.magedu.com.  IN  A  3.1.1.2

注意:关闭dnssec功能:
dnssec-enable no;
dnssec-validation no
这两项是DNS安全的功能要 no掉 注释也不行,默认yes

原创文章,作者:qzx,如若转载,请注明出处:http://www.178linux.com/53407

(0)
qzxqzx
上一篇 2016-10-21
下一篇 2016-10-21

相关推荐

  • N25第7周作业

    1、创建一个10G分区,并格式为ext4文件系统;   (1) 要求其block大小为2048, 预留空间百分比为2, 卷标为MYDATA, 默认挂载属性包含acl;    (2) 挂载至/data/mydata目录,要求挂载时禁止程序自动运行,且不更新文件的访问时间戳; ]# fdisk /dev/sdb #划出一个…

    Linux干货 2017-02-21
  • Corosync + Pacemaker 搭建高可用MariaDB服务

    Corosync + Pacemaker 搭建高可用MariaDB服务 实验描述 1.本实验的目的是为了通过手动配置corosync配置文件,实现MariaDB服务的高可用,集群心跳传递使用组播方式。2.三个节点的主机名分别为:node5.redhat.com、node6.redhat.com、node7.redhat.com。地址为172.16.100.5…

    Linux干货 2016-04-06
  • Linux终端类型

    Linux终端类型 Linux的终端类型包括控制台终端、虚拟终端、伪终端、串行终端、控制终端、图形终端。   终端 要理解伪终端(Pseudo Terminal),先来看看什么是“终端”(Terminal)。 终端是一种字符型设备,它有多种类型,通常使用tty来简称各种类型的终端设备。 1、串行端口终端(/dev/ttySx) 串行端口终端(Ser…

    Linux干货 2016-10-14
  • 4

    1;复制/etc/skel目录为/home/tuinser1, 要求/home/tuser1及其内部文件的属组和其它用户均没有任何访问权限。 #   install -d -m 700 /etc/skel /home/tuser1  #  &nbsp…

    Linux干货 2017-01-16
  • Zabbix介绍、安装配置

    Zabbix介绍、安装配置 我们为什么需要监控? 常用的开源监控系统有哪些? Zabbix架构 Zabbix的安装和配置 总结 前言 本篇文章转自我的个人博客 http://anyisalin.com 欢迎大家访问 我们为什么需要监控? 没有监控就将系统上线, 就是在耍流氓; 在生产环境中, 监控是必不可少的, 因为我们需要实时了解业务的…

    2016-05-13
  • lvs nat模型调度双http服务且http上布置discuz

    实验的拓扑图: 实验方案: 我们先在real server上编译安装好http,然后,咋们切换到mysql服务器上安装mysql,在换到http主机上编译php的工作方式基于模块的,再把discuz资源放到http的资源访问目录下,且在双方http主机上布上rsync服务器,双反的主机也要加上inotify来实时关注http访问目录的资源变化,有变化就要数据…

    Linux干货 2015-10-22