DNS快速入门、正反向解析……

DNS服务原理详解

因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析。

我们在访问一个网站的时候,只要输入该网站的网址就会跳转到该网站页面,而实现这一过程就需要DNS服务器将域名解析为IP地址,进而实现数据通信。

DNS:Domain Name Service 域名解析服务

监听端口:

udp/53,tcp/53

应用程序:

BIND:Bekerley Internat Name Domain 国际域名

DNS域名

根域

    一级域名:Top Level Domain: com, edu, mil, gov, net, org, int,arpa

组织域:.com, .org, .net, .mil, .edu, .gov, .info, .cc, .me, .tv

国家域:.cn, .us, .uk, .jp, .tw, .hk, .iq, .ir

反向域:.in-addr.arpa

              最多127 级域名

ICANN(The Internet Corporation for Assigned Names and Numbers)互联网名称与数字地址分配机构,负责在全球范围内对互联网通用顶级域名(gTLD )以及国家和地区顶级域名(ccTLD)系统的管理、以及根服务器系统的管理。

DNS树状结构图

DNS快速入门、正反向解析……

DNS查询类型:

递归查询

DNS快速入门、正反向解析……

DNS请求被服务器接受后,如果属于此服务器管辖范围则请求上级服务器依次传递请求,并且依次传递结果给发出请求的主机。

迭代查询

DNS快速入门、正反向解析……

DNS请求被服务器接受后,如果不是自己管辖范围,让客户端访问根域服务器,然后跟域通知客户端去访问下级服务器,直到最后客户端访问管辖请求域名的服务器为止。

名称服务器:域内负责解析本域内的名称的主机

根服务器:13组服务器

解析类型:

正向解析:FQDN(完全域名) –> IP  

反向解析:IP –> FQDN(完全域名)

FQDN:(Fully Qualified Domain Name)完全限定域名

注意:正反向解析是两个不同的名称空间,是两棵不同的解析树,因此,也不是同一个解析库

DNS服务器类型:

DNS 服务器的类型:

主DNS 服务器

从DNS 服务器

缓存DNS 服务器(转发器)

DNS 服务器:管理和维护所负责解析的域内解析库的服务器;读写均可进行

DNS 服务器:从主服务器或从服务器“复制”(区域传输)解析库副本;只能进行读操作

序列号:解析库版本号,主服务器解析库变化时,其序列递增

刷新时间间隔:从服务器从主服务器请求同步解析的时间间隔

重试时间间隔:从服务器请求同步失败时,再次尝试时间间隔

过期时长:从服务器联系不到主服务器时,多久后停止服务

否定答案的缓存时长

“通知”机制:主服务器解析库发生变化时,会主动通知从服务器

区域传输:

完全传输:传送整个解析库

增量传输:传递解析库变化的那部分内容

Domain: Fully Qualified Domain Name

正向:FQDN –> IP

反向:IP –> FQDN

负责本地域名的正向和反向解析库

正向区域

反向区域

DNS解析:

一次完整的查询请求经过的流程:Client(客户端) –>hosts文件–>DNS Service Local Cache(自己的本地缓存)–> DNS Server (recursion递归) –> Server Cache(缓存) –>iteration(迭代) –>根–>顶级域名DNS–>二级域名DNS…

解析答案:

肯定答案:

否定答案:请求的条目不存在等原因导致无法返回结果

权威答案:由直接负责的DNS服务器返回的答案

非权威答案:

例如,DNS客户机查询URL地址www.fastweb.com.cn流程图

DNS快速入门、正反向解析……

区域解析库:

由众多RR组成:(Resource Record资源记录)

SOA:Start Of Authority(起始授权记录)

一个区域解析库有且仅能有一个SOA记录,必须位于解析库的第一条记录

A:internet Address(地址记录)       FQDN –> IP

AAAA: FQDN –> IPv6

PTR: PoinTeR(域名服务记录)        IP –> FQDN

一个区域解析库可以有多个NS记录

NS: Name Server(专用于标明当前区域的DNS服务器)

CNAME:Canonical Name (别名记录)

MX: Mail eXchanger(邮件交换器)

优先级:0-99,数字越小优先级越高

资源记录定义的格式:

语法:name  [TTL]  IN   rr_type  value

注意:

(1) TTL可从全局继承

(2) @可用于引用当前区域的名字

(3)同一个名字可以通过多条记录定义多个不同的值;此时DNS 服务器会以轮询方式响应

(4)同一个值也可能有多个不同的定义名字;通过多个不同的名字指向同一个值进行定义;此仅表示通过多个不同的名字可以找到同一个主机

SOA记录

name:当前区域的名字,例如“rookie.com.”

value:有多部分组成

   (1)当前区域的主DNS服务器的FQDN,也可以使用当前区域的名字

   (2)当前区域管理员的邮箱地址;但地址中不能使用@ 符号,一般用. 替换,例如linux.rookie.com

   (3)主从服务区域传输相关定义以及否定的答案的统一的TTL

   例如:

rookie.com.        86400        IN        SOA          rookie.com.         admin.rookie.com.    (

2017052201       ; 序列号serial

2H                     ; 刷新时间refresh

10M                   ; 重试时间retry

1W                    ; 过期时间expire

1D                     ; 否定答案的TTL值negative answer ttl

)

NS记录:

name: 当前区域的名字

value: 当前区域的某DNS 服务器的名字,例如 ns.rookie.com.

注意:一个区域可以有多个NS 记录

例如:

rookie.com.   IN   NS   ns1.rookie.com.

rookie.com.   IN   NS   ns2.rookie.com.

注意:

(1)相邻的两个资源记录的name相同时,后续的可省略

(2)对NS记录而言,任何一个ns记录后面的服务器名字,都应该在后续有一个A记录

MX记录:

name:当前区域的名字

value:当前区域的某邮件服务器(smtp 服务器)的主机名

一个区域内,MX 记录可有多个;但每个记录的value之前应该有一个数字(0-99),表示此服务器的优先级;数字越小优先级越高

例如:

rookie.com.   IN   MX   10(优先级)   mx1.rookie.com.

rookie.com.   IN   MX   20(优先级)   mx2.rookie.com.

注意:

(1)对MX记录而言,任何一个MX记录后面的服务器名字,都应该在后续有一个A记录

A记录:

name:某主机的FQDN   例如www.rookie.com.

value:主机名对应主机的IP地址

例如:

www.rookie.com.   IN   A   1.1.1.1
www.rookie.com.   IN   A   2.2.2.2
mx1.rookie.com.   IN   A   3.3.3.3
mx2.rookie.com.   IN   A   4.4.4.4
$GENERATE  1-254  HOST$   A   1.2.3.$
*.rookie.com.     IN   A   5.5.5.5
rookie.com.       IN   A   6.6.6.6

避免用户写错名称时给错误答案,可通过泛域名解析进行解析至某特定地址

AAAA记录:

name: FQDN

value: IPv6

PTR记录:

name: IP地址,有特定格式,把IP 地址反过来写,1.2.3.4 ,要写作4.3.2.1 ;并且要加特定后缀:in-addr.arpa. ,所以完整写法为:4.3.2.1.in-addr.arpa.

value: FQDN

例如:

4.3.2.1.in-addr.arpa.  IN  PTR  www.rookie.com.

1.2.3为网络地址 ,可简写成:

4  IN  PTR  www.rookie.com.

注意:网络地址及后缀可省略;主机地址依然需要反着写

CNAME:

name:FQDN格式的别名

value:FQDN格式的正式名字

例如:

web.rookie.com.   IN   CNAME  www.rookie.com.

子域:

子域,是相对父域来说的,指域名中的每一个段。各子域之间用小数点分隔开。放在域名最后的子域称为最高级子域,或称为一级域,在它前面的子域称为二级域。

子域授权:每个域的名称服务器,都是通过其上级名称服务器在解析库进行授权

类似根域授权tld:

.com.     IN   NS ns1.com.

.com.     IN   NS ns2.com.

ns1.com.   IN   A   2.2.2.1

ns2.com. IN    A   2.2.2.2

rookie.com. 在.com 的名称服务器上,解析库中添加资源记录

rookie.com.  IN  NS  ns1.rookie.com.

rookie.com.      IN  NS  ns2.rookie.com.

rookie.com.      IN  NS  ns3.rookie.com.

ns1.rookie.com.  IN  A  3.3.3.1

ns2.rookie.com.  IN  A  3.3.3.2

ns3.rookie.com.  IN  A  3.3.3.3

glue record:粘合记录,父域授权子域的记录

BIND安装:

DNS协议—>BIND

程序环境:
主程序:/usr/sbin/named
Unit File:/usr/lib/systemd/system/named.service
配置文件:/etc/named.conf
区域解析库文件:/var/named
关闭dnssec功能:
vim  /etc/named.conf
dnssec-enable no;
dnssec-validation no;
解析一个区域:
定义:/etc/named.rfc1912.conf
zone “ilinux.io” IN {
type master;
file “ZONE_FILE”;
};
例:vim /etc/named.rfc1912.conf
zone “rookie.com” IN {
type master;
file “rookie.com.zone”;
};   

定义解析库文件示例:
$TTL 600      #全局定义    缓存十分钟
ilinux.com.      IN      SOA     ilinux.com.      nsadmin.ilinux.com. (
2017052301
1H
5M
1W
6H )
IN      NS      dns1.ilinux.com.
IN      NS      dns2.ilinux.com.
dns1.ilinux.com. IN      A       172.16.0.67
dns2.ilinux.com. IN      A       172.16.0.68
www.ilinux.com.IN      A       172.16.0.1
web                 IN      CNAME   www

 

BIND 的安装配置:

BIND:Berkeley Internet Name Domain

dns: 协议
BIND: dns协议的一种实现
named:bind程序的运行的进程名

dns服务程序包:bind  unbound

程序名:named   unbound

程序包:yum list all bind*

bind:提供的dns server程序、以及几个常用的测试程序

bind-libs:被bind和bind-utils包中的程序共同用到的库文件

bind-utils:bind客户端程序集,例如dig, host, nslookup等

bind-chroot:选装,让named运行于jail模式下

/var/named/chroot/

 

bind服务器:

服务脚本和名称:/etc/rc.d/init.d/named

/usr/lib/systemd/system/named.service

主配置文件:/etc/named.conf

                     /etc/named.iscdlv.key

/etc/named.rfc1912.zones

/etc/named.root.key

yum install -y bind后可见

解析库文件:/var/named/ ZONE_NAME.ZONE

注意:

(1)一台DNS服务器可同时为多个区域提供解析

(2)必须要有根区域解析库文件;named.ca

(3)应该有两个区域解析库文件(如果包括ipv6的,应该更多)实现localhost和127.0.0.1的正反向解析库

        正向:named.localhost
反向:named.loopback

rndc: remote name domain controller (远程域名控制器)

提供辅助性的管理功能 953/tcp 但默认监听于127.0.0.1地址,因此仅允许本地使用

bind程序安装完成之后,默认即可做缓存名称服务器使用,如果没有专门负责解析的区域,直接即可启动服务

CentOS 6:  service  named  start

CentOS 7:  systemctl  start  named.service

 

主配置文件格式:

全局配置段:

        options { … }

日志子系统配置段:

        logging { … }

区域定义段:

        zone “ZONE_NAME” IN { … }

区域定义:本机能够为哪些zone进行解析,就要定义哪些zone

注意:

每个配置语句必须以分号结尾

任何服务程序如果期望其能够通过网络被其它主机访问,至少应该监听在一个能与外部主机通信的IP

缓存名称服务器的配置:

监听能与外部主机通信的地址

listen-on port 53

listen-on port 53 { 172.16.252.245; }

dnssec: 建议关闭dnssec,设为no(自己做实验时建议关闭)

       dnssec-enable no

       dnssec-validation no

       dnssec-lookaside no

关闭仅允许本地查询:

       //allow-query  { localhost; }

检查配置文件语法错误:
named-checkconf               /etc/named.conf
检查区域配置文件错误:

        named-checkzone “rookie.com” /var/named/rookie.com.zone

例:[root@localhost ~]#vim /etc/named.conf

DNS快速入门、正反向解析……

DNS快速入门、正反向解析……

DNS快速入门、正反向解析……

测试命令dig:

dig [-t type] name [@SERVER] [query options]

dig 只用于测试dns 系统,不会查询hosts 文件进行解析

查询选项:

+[no]trace程:跟踪解析过程 : dig +trace rookie.com

+[no]recurse:进行递归解析

[root@localhost ~]#dig -t A www.baidu.com @172.16.252.254 +trace

 

测试反向解析:

dig  -x  IP = dig  -t  ptr  reverseip.in-addr.arpa

模拟区域传送:

dig  -t  axfr  ZONE_NAME @SERVER

dig  -t  axfr  rookie.com @10.10.10.11

dig  -t  axfr  100.1.10.in-addr.arpa @172.16.1.1

dig  -t  NS  .  @114.114.114.114

dig  -t  NS  .  @a.root-servers.net

[root@localhost ~]#dig -t NS baidu.com @172.16.0.1
; <<>> DiG 9.9.4-RedHat-9.9.4-37.el7 <<>> -t NS baidu.com @172.16.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35043
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 6
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;baidu.com. IN  NS
 
;; ANSWER SECTION:
baidu.com.  54644   IN  NS  ns7.baidu.com.
baidu.com.  54644   IN  NS  ns3.baidu.com.
baidu.com.  54644   IN  NS  ns4.baidu.com.
baidu.com.  54644   IN  NS  dns.baidu.com.
baidu.com.  54644   IN  NS  ns2.baidu.com.
 
;; ADDITIONAL SECTION:
ns2.baidu.com.  140982  IN  A   61.135.165.235
ns4.baidu.com.  140982  IN  A   220.181.38.10
dns.baidu.com.  140982  IN  A   202.108.22.220
ns3.baidu.com.  140982  IN  A   220.181.37.10
ns7.baidu.com.  140982  IN  A   119.75.219.82
 
;; Query time: 2 msec
;; SERVER: 172.16.0.1#53(172.16.0.1)
;; WHEN: Thu Jun 01 07:22:38 EDT 2017
;; MSG SIZE  rcvd: 208
[root@localhost ~]#dig -t NS baidu.com @172.16.0.1 +nocomments
; <<>> DiG 9.9.4-RedHat-9.9.4-37.el7 <<>> -t NS baidu.com @172.16.0.1 +nocomments
;; global options: +cmd
;baidu.com. IN  NS
baidu.com.  54627   IN  NS  dns.baidu.com.
baidu.com.  54627   IN  NS  ns3.baidu.com.
baidu.com.  54627   IN  NS  ns2.baidu.com.
baidu.com.  54627   IN  NS  ns4.baidu.com.
baidu.com.  54627   IN  NS  ns7.baidu.com.
ns2.baidu.com.  140965  IN  A   61.135.165.235
ns4.baidu.com.  140965  IN  A   220.181.38.10
dns.baidu.com.  140965  IN  A   202.108.22.220
ns3.baidu.com.  140965  IN  A   220.181.37.10
ns7.baidu.com.  140965  IN  A   119.75.219.82
;; Query time: 1 msec
;; SERVER: 172.16.0.1#53(172.16.0.1)
;; WHEN: Thu Jun 01 07:22:56 EDT 2017
;; MSG SIZE  rcvd: 208

测试命令host:

host [-t type] name [SERVER]

host   -t   NS   rookie.com 172.16.0.1

host   -t   soa   rookie.com

host   -t   mx   rookie.com

host   -t   axfr   rookie.com

host 1.2.3.4

nslookup命令:nslookup [-option] [name | -] [server]

交互式模式:

nslookup>

server IP:指明使用哪个DNS server进行查询

set q=RR_TYPE:指明查询的资源记录类型

name:要查询的名称

[root@localhost ~]#nslookup
> server 172.16.0.1
Default server: 172.16.0.1
Address: 172.16.0.1#53
> set q=a
> www.tencent.com
Server: 172.16.0.1
Address:    172.16.0.1#53
 
Non-authoritative answer:
www.tencent.com canonical name = upfile.wj.qq.com.cloud.tc.qq.com.
upfile.wj.qq.com.cloud.tc.qq.com    canonical name = ssd.tcdn.qq.com.
Name:   ssd.tcdn.qq.com
Address: 111.202.99.24
Name:   ssd.tcdn.qq.com
Address: 111.202.99.25
Name:   ssd.tcdn.qq.com
Address: 111.202.99.23
Name:   ssd.tcdn.qq.com
Address: 123.125.110.21
Name:   ssd.tcdn.qq.com
Address: 123.125.110.12
Name:   ssd.tcdn.qq.com
Address: 123.125.110.11
Name:   ssd.tcdn.qq.com
Address: 123.125.110.22

命令rndc:

rndc:remote name domain contoller(远程域名控制器)
953/tcp,但默认监听于127.0.0.1地址,因此仅允许本地使用

        rndc –> rndc (953/tcp)

rndc COMMAND

命令:

reload:重载主配置文件和区域解析库文件

reload zonename:重载区域解析库文件

retransfer zonename:手动启动区域传送,而不管序列号是否增加

notify zonename:重新对区域传送发通知

reconfig:重载主配置文件

querylog:开启或关闭查询日志文件/var/log/message

trace:递增debug 一个级别

trace LEVEL:指定使用的级别

notrace:为将调试级别设置为 0

flush:清空DNS

[root@localhost ~]#rndc status
version: 9.9.4-RedHat-9.9.4-37.el7 <id:8f9657aa>  版本
CPUs found: 4   CPU
worker threads: 4   线程
UDP listeners per interface: 4  接口
number of zones: 101    区域数
debug level: 0  调试级别
xfers running: 0    运行
xfers deferred: 0   延迟
soa queries in progress: 0 正在进行的SOA查询
query logging is OFF    查询记录
recursive clients: 0/0/1000 递归客户端
tcp clients: 0/100  TCP客户端
server is up and running    服务器启动并运行

配置主DNS 服务器:

(1)在主配置文件中定义区域

zone "ZONE_NAME" IN {
type {master|slave|hint|forward};
file "ZONE_NAME.zone";
};

(2)定义区域解析库文件

出现的内容

宏定义

资源记录

主配置文件语法检查:

named-checkconf

解析库文件语法检查:

named-checkzone "rookie.com" /var/named/rookie.com.zone
rndc status|reload ;service named reload

注意:实验配置前需要特别注意三点

关闭防火墙

关闭SElinux

时间必须同步

 

配置解析一个正向区域:

以rookie.com域为例:
(1)定义区域
在主配置文件中(/etc/named.conf)或主配置文件辅助配置文件(/etc/named.rfc1912.conf)中实现
[root@localhost ~]#vim /etc/named.rfc1912.zones
zone "rookie.com" IN {
        type master;
        file "rookie.com.zone";
};
注意:区域名字即为域名
(2)建立区域数据文件(主要记录为A或AAAA记录)
在/var/named目录下建立区域数据文件;
文件为:/var/named/rookie.com.zone
[root@localhost /var/named]#vim rookie.com.zone
$TTL 600(全局变量  缓存600秒)
rookie.com.(域名)         IN      SOA     rookie.com.     admin.rookie.com.管理员邮箱 (
                        2017060101     序列号
                        1H             刷新时间间隔一小时
                        5M             重试时间间隔五分钟
                        1W             过期时间一周
                        6H )           否定答案的TTL值六小时
                        IN      NS      dns1.rookie.com.
                        IN      NS      dns2.rookie.com.
dns1.rookie.com.        IN      A       172.16.250.149
dns2.rookie.com.        IN      A       172.16.252.245
www.rookie.com.         IN      A       172.16.0.1
web                     IN      CNAME   www
权限及属组修改:
[root@localhost /var/named]#chgrp named /var/named/rookie.com.zone
[root@localhost /var/named]#chmod o= /var/named/rookie.com.zone
[root@localhost /var/named]#ll
总用量 20
drwxrwx--- 2 named named    6 11月 12 2016 data
drwxrwx--- 2 named named    6 11月 12 2016 dynamic
-rw-r----- 1 root  named 2076 1月  28 2013 named.ca
-rw-r----- 1 root  named  152 12月 15 2009 named.empty
-rw-r----- 1 root  named  152 6月  21 2007 named.localhost
-rw-r----- 1 root  named  168 12月 15 2009 named.loopback
-rw-r----- 1 root  named  301 6月   1 00:22 rookie.com.zone
检查语法错误:
[root@localhost /var/named]#named-checkconf 
[root@localhost /var/named]#named-checkzone "rookie.com" /var/named/rookie.com.zone
zone rookie.com/IN: loaded serial 2017060101
OK
(3)让服务器重载配置文件和区域数据文件
[root@localhost /var/named]#rndc reload
[root@localhost ~]#systemctl restart named.service
(4)验证
[root@localhost /var/named]#dig -t A www.rookie.com @172.16.250.149
 
; <<>> DiG 9.9.4-RedHat-9.9.4-37.el7 <<>> -t A www.rookie.com @172.16.250.149
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38718
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.rookie.com.    IN  A
 
;; ANSWER SECTION:
www.rookie.com. 600 IN  A   172.16.252.125
 
;; AUTHORITY SECTION:
rookie.com. 600 IN  NS  dns1.rookie.com.
rookie.com. 600 IN  NS  dns2.rookie.com.
 
;; ADDITIONAL SECTION:
dns1.rookie.com.    600 IN  A   172.16.250.149
dns2.rookie.com.    600 IN  A   172.16.252.245
 
;; Query time: 0 msec
;; SERVER: 172.16.250.149#53(172.16.250.149)
;; WHEN: 四 6月 01 01:02:13 CST 2017
;; MSG SIZE  rcvd: 129
也可以通过修改/etc/hosts省略IP
[root@localhost /var/named]#vim /etc/resolv.conf
 
; generated by /usr/sbin/dhclient-script
search magedu.com
#nameserver 172.16.0.1
 
[root@localhost /var/named]#dig -t A www.rookie.com 
 
; <<>> DiG 9.9.4-RedHat-9.9.4-37.el7 <<>> -t A www.rookie.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39628
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.rookie.com.    IN  A
 
;; ANSWER SECTION:
www.rookie.com. 600 IN  A   172.16.252.125
 
;; AUTHORITY SECTION:
rookie.com. 600 IN  NS  dns2.rookie.com.
rookie.com. 600 IN  NS  dns1.rookie.com.
 
;; ADDITIONAL SECTION:
dns1.rookie.com.    600 IN  A   172.16.250.149
dns2.rookie.com.    600 IN  A   172.16.252.245
 
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: 四 6月 01 01:08:08 CST 2017
;; MSG SIZE  rcvd: 129

配置解析一个反向区域

(1)定义区域
在主配置文件中或主配置文件辅助配置文件中实现;
[root@localhost ~]#vim /etc/named.rfc1912.zones
zone "16.172.in-addr.arpa" IN {
        type master;
        file "172.16.zone";
};
注意:反向区域的名字
反写的网段地址.in-addr.arpa
   16.172.in-addr.arpa
(2)定义区域解析库文件(主要记录为PTR)
[root@localhost ~]#vim /var/named/172.16.zone
$TTL 600
@       IN      SOA     rookie.com.     admin.rookie.com. (
                2017060101
                1H
                5M
                2W
                1D )
@               IN      NS      dns1.rookie.com.
@               IN      NS      dns2.rookie.com.
149.250         IN      PTR     dns1.rookie.com.
245.252         IN      PTR     dns2.rookie.com.
125.252         IN      PTR     www.rookie.com.
权限及属组修改:
[root@localhost /var/named]#chgrp named /var/named/rookie.com.zone
[root@localhost /var/named]#chmod o= /var/named/rookie.com.zone
检查语法错误:
[root@localhost ~]#named-checkconf
[root@localhost ~]#named-checkzone "172.16" /var/named/172.16.zone
zone 172.16/IN: loaded serial 2017060101
OK
(3)让服务器重载配置文件和区域数据文件
[root@localhost ~]#rndc reload
[root@localhost ~]#systemctl restart named.service
(4)验证
[root@localhost /var/named]#dig -x 172.16.250.149
 
; <<>> DiG 9.9.4-RedHat-9.9.4-37.el7 <<>> -x 172.16.259.149
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8132
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;149.259.16.172.in-addr.arpa.   IN  PTR
 
;; ANSWER SECTION:
149.259.16.172.in-addr.arpa. 600 IN PTR dns1.rookie.com.
 
;; AUTHORITY SECTION:
16.172.in-addr.arpa.    600 IN  NS  dns1.rookie.com.
16.172.in-addr.arpa.    600 IN  NS  dns2.rookie.com.
 
;; ADDITIONAL SECTION:
dns1.rookie.com.    600 IN  A   172.16.250.149
dns2.rookie.com.    600 IN  A   172.16.252.245
 
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: 四 6月 01 01:44:45 CST 2017
;; MSG SIZE  rcvd: 150

主从服务器:

注意:从服务器是区域级别的概念;

主区域配置:可以参照上面的正向区域配置和反向区域配置

从区域配置:

On Slave

(1)定义从区域   (以另一虚拟机为例)
[root@localhost ~]#vim /etc/named.rfc1912.zones
zone "rookie.com." IN {
        type slave;
        file "slaves/rookie.com.zone";
        masters { 172.16.250.149; };            #指明主节点
};
[root@localhost ~]#vim /etc/named.conf
options {
        //listen-on port 53 { 127.0.0.1; };
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
 
        /*
         - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
         - If you are building a RECURSIVE (caching) DNS server, you need to enable
           recursion.
         - If your recursive DNS server has a public IP address, you MUST enable access
           control to limit queries to your legitimate users. Failing to do so will
           cause your server to become part of large scale DNS amplification
           attacks. Implementing BCP38 within your network would greatly
           reduce such attack surface
        */
        recursion yes;
 
        dnssec-enable no;
        dnssec-validation no;
 
配置文件语法检查:
[root@localhost ~]#named-checkconf
(2)主/从都要重载配置
[root@localhost ~]#rndc reload
[root@localhost ~]#systemctl restart named.service
[root@localhost ~]#ll /var/named/slaves/    (文件已经同步)
total 4
-rw-r--r-- 1 named named 414 Jun  1 03:01 rookie.com.zone
(3)验证     从
[root@localhost ~]#dig -t A www.rookie.com @172.16.250.149
 
; <<>> DiG 9.9.4-RedHat-9.9.4-37.el7 <<>> -t A www.rookie.com @172.16.250.149
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5639
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.rookie.com.    IN  A
 
;; ANSWER SECTION:
www.rookie.com. 600 IN  A   172.16.252.125
 
;; AUTHORITY SECTION:
rookie.com. 600 IN  NS  dns1.rookie.com.
rookie.com. 600 IN  NS  dns2.rookie.com.
 
;; ADDITIONAL SECTION:
dns1.rookie.com.    600 IN  A   172.16.250.149
dns2.rookie.com.    600 IN  A   172.16.252.245
 
;; Query time: 0 msec
;; SERVER: 172.16.250.149#53(172.16.250.149)
;; WHEN: Thu Jun 01 03:41:02 EDT 2017
;; MSG SIZE  rcvd: 129
(4)修改主配置文件,并重新测试
[root@localhost /var/named]#vim rookie.com.zone
$TTL 600
rookie.com.             IN      SOA     rookie.com.     admin.rookie.com. (
                        2017060102
                        1H
                        5M  
                        1W
                        6D )
                        IN      NS      dns1.rookie.com.
                        IN      NS      dns2.rookie.com.
dns1.rookie.com.        IN      A       172.16.250.149
dns2.rookie.com.        IN      A       172.16.252.245
www.rookie.com.         IN      A       172.16.252.125
web                     IN      CNAME   www
ftp                     IN      CNAME   www
 
[root@localhost ~]#dig -t A  ftp.rookie.com @172.16.250.149
 
; <<>> DiG 9.9.4-RedHat-9.9.4-37.el7 <<>> -t A ftp.rookie.com @172.16.250.149
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30068
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 3
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;ftp.rookie.com.    IN  A
 
;; ANSWER SECTION:
ftp.rookie.com. 600 IN  CNAME   WWW.rookie.com.
WWW.rookie.com. 600 IN  A   172.16.252.125
 
;; AUTHORITY SECTION:
rookie.com. 600 IN  NS  dns1.rookie.com.
rookie.com. 600 IN  NS  dns2.rookie.com.
 
;; ADDITIONAL SECTION:
dns1.rookie.com.    600 IN  A   172.16.250.149
dns2.rookie.com.    600 IN  A   172.16.252.245
 
;; Query time: 0 msec
;; SERVER: 172.16.250.149#53(172.16.250.149)
;; WHEN: Thu Jun 01 03:46:11 EDT 2017
;; MSG SIZE  rcvd: 147

On Master

(1) 确保区域数据文件中为每个从服务配置NS记录,并且在正向区域文件需要每个从服务器的NS记录的主机名配置一个A记录,且此A后面的地址为真正的从服务器的IP地

注意:时间要同步

ntpdate命令

子域授权:

正向解析区域授权子域的方法:

ops.rookie.com. IN NS      ns1.ops.rookie.com.
ops.rookie.com. IN NS   ns2.ops.rookie.com.
ns1.ops.rookie.com. IN A IP.AD.DR.ESS
ns2.ops.rookie.com. IN A IP.AD.DR.ESS

定义转发:

注意:被转发的服务器必须允许为当前服务做递归;

(1) 区域转发:仅转发对某特定区域的解析请求;

zone  "ZONE_NAME"  IN {
type  forward;
forward  {first|only};
forwarders  { SERVER_IP; };
};

first:首先转发;转发器不响应时,自行去迭代查询;

only:只转发

(2) 全局转发:针对凡本地没有通过zone定义的区域查询请求,通通转给某转发器;

options {
... ...
forward  {only|first};
forwarders  { SERVER_IP; };
.. ...
};

转发服务器

注意:被转发的服务器需要能够为请求者做递归,否则转发请求不予进行

first:首先转发;转发器不响应时,自行去迭代查询

only:只转发

(1)全局转发:  对非本机所负责解析区域的请求, 全 转发给指定的服务器
Options {
fforward  {only|first};
forwarders  { SERVER_IP; };
};
(2)特定区域转发:仅转发对特定的区域的请求,比全局转发优先级高
zone  "ZONE_NAME"  IN {
type  forward;
forward  {first|only};
forwarders  { SERVER_IP; };
};
注意:关闭dnssec 功能:
dnssec-enable no;
dnssec-validation no;

bind中的安全相关的配置:

acl:访问控制列表;把一个或多个地址归并一个命名的集合,随后通过此名称即可对此集合内的所有主机实现统一调用

格式:

acl acl_name {
ip;
net/prelen;
……
};
示例:
acl mynet {
172.16.0.0/16;
10.10.10.10;
};

bind有四个内置的acl:

none:没有一个主机

any:任意主机

localhost:本机

localnet:本机的IP同掩码运算后得到的网络地址

注意:只能先定义,后使用,因此一般定在配置文件中,处于options

访问控制的指令:

allow-query  {};允许查询的主机;白名单

allow-transfer {};允许向哪些主机做区域传送;默认为向所有主机;应该配置仅允许从服务器

allow-recursion {}; 允许哪此主机向当前DNS服务器发起递归查询请求

allow-update {}; DDNS,允许动态更新区域数据库文件中内容

bind view:

view:视图,一个bind 服务器可定义多个view ,每个view中可定义一个或多个zone

每个view 用来匹配一组客户端

多个view 内可能需要对同一个区域进行解析,但使用不同的区域解析库文件

view  VIEW_NAME {
zone
zone
zone
}

view internal  {
match-clients { 172.16.0.0/8; };
zone "rookie.com"  IN {
type master;
file  "rookie.com/internal";
};
};

view external {
match-clients { any; };
zone "rookie.com" IN {
type  master;
file  rookie.com/external";
};
};

 

原创文章,作者:Linux.rookie,如若转载,请注明出处:http://www.178linux.com/77393

(6)
Linux.rookieLinux.rookie
上一篇 2017-06-02
下一篇 2017-06-03

相关推荐

  • Linux发行版介绍

    一,Linux是什么?      Linux是一套免费使用和自由传播的类Unix操作系统,是一个基于POSIX和UNIX的多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的UNIX工具软件、应用程序和网络协议。它支持32位和64位硬件。Linux继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统…

    2016-10-29
  • 马哥教育网络班21期+第10周课程练习

    1、请详细描述CentOS系统的启动流程(详细到每个过程系统做了哪些事情) POST(Power On Self Test): 检测系统外围关键设备(如:CPU、内存、显卡、I/O、键盘鼠标等)是否正常。 加载BIOS(Basic Input and Output System): 根据在BIOS中设置的系统启动顺序来搜索用于启动系统的驱动器(硬盘、光盘、U…

    Linux干货 2016-09-08
  • 自制linux系统

    自制linux系统  需要为虚拟机新增一个硬盘,作为自制linux系统的载体。也可以用U盘、移动硬盘或其他设备作为载体实验步骤: (1)为虚拟机新增一个大小为20G的硬盘(2)给新增的磁盘分区,划分/boot、swap、/三个分区比如,将第一个分区当作boot,大小为500M;第二个分区当作swap分区,大小为2G;第三个分区用作/,大小为10G。…

    Linux干货 2016-09-13
  • 学习宣言

    新的一天开始了, 从今天起,正式开始Linux的系统学习, 对于基础薄弱的我来说,是一个新的挑战,而我接受这个挑战。 在今后的日子里,一定会拼搏奋进,更上一层楼。 积土而为山,积水而为海, 定会一天比一天强,努力吧。

    Linux干货 2016-10-24
  • 特殊权限

    特殊权限 文件特殊权限 一、SUID(4) SUID:当s这个标志出现在文件所有者的x权限上时,就被称作SUID。 SUID的功能和限制:1、仅仅对二进制程序有效; 2、执行者对程序需要X的执行权限; 3、本权限仅仅在执行该程序的过程中有效; 4、执行者将具有该程序所有者的权限。 5、SUID仅仅可以用在二进制程序上,…

    Linux干货 2016-08-05
  • Linux上文件管理命令、元素据及时间戳、bash的工作特性回显和命令展开、定义别名,命令引用。

    文件管理命令: mkdir 创建空目录 语法: mkdir [选项]…目录… 选项: -P:逐层创建目录。 -v:显示过程。 -m:直接给定权限。 注意:路径的基名为命令作用对象。基名路径必须存在。 示例 创建/tmp/x1/a/a1和/tmp/x1/b rmdir 移除空目录 语法 rmdir [选项]…目录&#8230…

    Linux干货 2017-12-10