DNS、BIND实现正向，反向，主/从，子域，转发，基本安全控制

DNS、BIND实现正向，反向，主/从，子域，转发，基本安全控制

DNS与BIND

DNS(Domin Name System)域名系统：是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布
式数据库，能够使人更方便地访问互联网。
BIND（Berkeley Internet Name Daemon）：是现今互联网上最常使用的DNS服务器软件，使用BIND作为
服务器软件的DNS服务器约占所有DNS服务器的90%。
BIND现在由互联网系统协会（Internet Systems Consortium）负责开发与维护

DNS：
DNS查询类型：
递归查询：
迭代查询：
DNS名称解析方式：
域名--IP：正向解析
IP--域名：方向解析
区域(zone)和域(domain)：
FQDN --> IP正向解析库；区域
IP --> FQDN反向解析库；区域
区域数据库文件：
资源记录：Resource Record, 简称rr、记录类型如下：
1、SOA： Start Of Authority，起始授权记录，一个区域解析库有且只能有一个SOA记录，而且必须
放在第一条，而且在编写时不能使用“@”符号,使用“.”符号代替，后续有示例：
2、NS： Name Service，域名服务记录，一个区域解析库可以有多个NS记录，其中一个为主的，任何
一个NS记录后面的服务器名字，都应该在后续有一个A（地址记录）；
3、A：  Address, 地址记录，FQDN --> IPv4(正向解析库)；
4、AAAA： 地址记录， FQDN --> IPv6(正向解析库)；
5、CNAME：Canonical Name，别名记录；
6、PTR： Pointer，IP --> FQDN(反向解析库)，IP有特定格式，把IP地址反过来写，1.2.3.4，
要写作4.3.2.1；而有特定后缀：in-addr.arpa.，所以完整写法为：4.3.2.1.in-addr.arpa.
7、MX： Mail eXchanger，邮件交换器，任何一个MX记录后面的服务器名字，都应该在后续有一个A记录
优先级：0-99，数字越小优先级越高；
BIND：
程序环境：
yum –y install bind #安装bind
主程序：/usr/sbin/named
配置文件：/etc/named.conf （练习时需关闭dnssec功能）、/etc/named.rfc1912.conf
区域解析库文件：/var/named/*
注意：(1) 一台DNS服务器可同时为多个区域提供解析；
　(2) 必须要有根区域解析库文件： named.ca；
　(3)两个区域解析库文件：localhost和127.0.0.1的正反向解析库；
正向：named.localhost
反向：named.loopback

1、 正向解析区域、

通过域名解析到IP地址

1.1在配置文件中定义，编辑/etc/named.conf修改如下（listen行如注释掉，表示监测本机全部ip地址）：



1.2编辑/etc/name.rfc1912.conf修改如下(第二个zone)：



1.3在/var/named/下创建上图的中的区域记录文件，编写内容如下：



1.4文件编辑完成后修改文件属组及修改权限：

chgrp named /var/named/smartwy.com.zone #修改文件属组，

chmod o= /var/named/smartwy.com.zone #设置其他人没有任何权限

检查语法是否有错



1.5使用rndc reload重新加载配置文件与区域解析库，最后测试是否配置成功(重新加载named服务也可)

2、 反向解析区域、

通过IP地址解析到域名

1.1修改/etc/name.rfc1912.conf文件，



编写/var/named/smartwy.ptr.com.zone文件就可以了，如下：



1.2文件编辑完成后修改文件属组及修改权限：

chgrp named /var/named/smartwy.ptr.com.zone #修改文件属组，

chmod o= /var/named/smartwy.ptr.com.zone #设置其他人没有任何权限

检查语法是否有错



1.3使用rndc reload重新加载配置文件与区域解析库，最后测试是否配置成功(重新加载named服务也可)

3、 主/从解析、

1.1在从服务器上/etc/named.rfc1912.conf 编辑如下：



使用rndc reload重新加载配置文件(重启named服务也可)

1.2在主服务器上/var/named/smartwy.com.zone



检查语法

使用rndc reload重新加载配置文件(重启named服务也可)

1.3使用dig命令测试

4、 子域解析、

1.1在在主域的区域解析库添加子域信息



1.2在子域配置文件/etc/named.rfc1912.conf里添加配置参数(确保/etc/named.conf，Listen行已监听子域IP)



1.3在子域的区域解析库编写内容，如下：



注意：主域与子域配置完成后都需检查语法与rndc reload重新加载

1.4 使用dig命令在centos7系统上测试，

5、 转发解析、

转发分为两种模式：

1、区域转发：仅转发对某特定区域的解析请求；

2、全局转发：针对凡本地没有通过zone定义的区域查询请求，全部转给某转发器

下面使用区域转发，在配置文件内编写如下：



配置完成后rndc reload重载，使用dig命令测试



上面是区域转发，全局转发可修改主配置文件/etc/named.conf，在options { } 内编写，内容与区域转发相同，如需自行测试！

6、 基本安全控制、

使用访问控制列表-acl；把一个或多个地址归并一个命名的集合，随后通过此名称即可对此集全内的所有主机实现统一调用，格式如下：



注意：acl NAME｛｝要在options｛｝前定义，先定义，后使用，可使用“!”表示对后面的IP取反(！172.16.0.0/16；表示此IP范围外的IP集合)。

BIND有四种内置acl选项

none：没有一个主机；

any：任意主机；

local：本机；

localnet：本机所在的IP所属的网络；

访问控制指令
a541
：

1，allow-query { none | any | local | localnet }; 允许查询的主机；白名单；

2，allow-transfer { none | any | local | localnet }; 允许向哪些主机做区域传送；默认为向所有主机；应该配置仅允许从服务器；

3，allow-recursion { none | any | local | localnet }; 允许哪此主机向当前DNS服务器发起递归查询请求；

4，allow-update { none | any | local | localnet }; DDNS，允许进程动态更新区域数据库文件中内容(建议none)；