DNS、BIND实现正向,反向,主/从,子域,转发,基本安全控制
2017-05-26 20:23
519 查看
DNS、BIND实现正向,反向,主/从,子域,转发,基本安全控制
DNS与BIND
DNS(Domin Name System)域名系统:是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布 式数据库,能够使人更方便地访问互联网。 BIND(Berkeley Internet Name Daemon):是现今互联网上最常使用的DNS服务器软件,使用BIND作为 服务器软件的DNS服务器约占所有DNS服务器的90%。 BIND现在由互联网系统协会(Internet Systems Consortium)负责开发与维护 DNS: DNS查询类型: 递归查询: 迭代查询: DNS名称解析方式: 域名--IP:正向解析 IP--域名:方向解析 区域(zone)和域(domain): FQDN --> IP正向解析库;区域 IP --> FQDN反向解析库;区域 区域数据库文件: 资源记录:Resource Record, 简称rr、记录类型如下: 1、SOA: Start Of Authority,起始授权记录,一个区域解析库有且只能有一个SOA记录,而且必须 放在第一条,而且在编写时不能使用“@”符号,使用“.”符号代替,后续有示例: 2、NS: Name Service,域名服务记录,一个区域解析库可以有多个NS记录,其中一个为主的,任何 一个NS记录后面的服务器名字,都应该在后续有一个A(地址记录); 3、A: Address, 地址记录,FQDN --> IPv4(正向解析库); 4、AAAA: 地址记录, FQDN --> IPv6(正向解析库); 5、CNAME:Canonical Name,别名记录; 6、PTR: Pointer,IP --> FQDN(反向解析库),IP有特定格式,把IP地址反过来写,1.2.3.4, 要写作4.3.2.1;而有特定后缀:in-addr.arpa.,所以完整写法为:4.3.2.1.in-addr.arpa. 7、MX: Mail eXchanger,邮件交换器,任何一个MX记录后面的服务器名字,都应该在后续有一个A记录 优先级:0-99,数字越小优先级越高; BIND: 程序环境: yum –y install bind #安装bind 主程序:/usr/sbin/named 配置文件:/etc/named.conf (练习时需关闭dnssec功能)、/etc/named.rfc1912.conf 区域解析库文件:/var/named/* 注意:(1) 一台DNS服务器可同时为多个区域提供解析; (2) 必须要有根区域解析库文件: named.ca; (3)两个区域解析库文件:localhost和127.0.0.1的正反向解析库; 正向:named.localhost 反向:named.loopback
1、 正向解析区域、
通过域名解析到IP地址
1.1在配置文件中定义,编辑/etc/named.conf修改如下(listen行如注释掉,表示监测本机全部ip地址):
1.2编辑/etc/name.rfc1912.conf修改如下(第二个zone):
1.3在/var/named/下创建上图的中的区域记录文件,编写内容如下:
1.4文件编辑完成后修改文件属组及修改权限:
chgrp named /var/named/smartwy.com.zone #修改文件属组,
chmod o= /var/named/smartwy.com.zone #设置其他人没有任何权限
检查语法是否有错
1.5使用rndc reload重新加载配置文件与区域解析库,最后测试是否配置成功(重新加载named服务也可)
2、 反向解析区域、
通过IP地址解析到域名1.1修改/etc/name.rfc1912.conf文件,
编写/var/named/smartwy.ptr.com.zone文件就可以了,如下:
1.2文件编辑完成后修改文件属组及修改权限:
chgrp named /var/named/smartwy.ptr.com.zone #修改文件属组,
chmod o= /var/named/smartwy.ptr.com.zone #设置其他人没有任何权限
检查语法是否有错
1.3使用rndc reload重新加载配置文件与区域解析库,最后测试是否配置成功(重新加载named服务也可)
3、 主/从解析、
1.1在从服务器上/etc/named.rfc1912.conf 编辑如下:使用rndc reload重新加载配置文件(重启named服务也可)
1.2在主服务器上/var/named/smartwy.com.zone
检查语法
使用rndc reload重新加载配置文件(重启named服务也可)
1.3使用dig命令测试
4、 子域解析、
1.1在在主域的区域解析库添加子域信息1.2在子域配置文件/etc/named.rfc1912.conf里添加配置参数(确保/etc/named.conf,Listen行已监听子域IP)
1.3在子域的区域解析库编写内容,如下:
注意:主域与子域配置完成后都需检查语法与rndc reload重新加载
1.4 使用dig命令在centos7系统上测试,
5、 转发解析、
转发分为两种模式:1、区域转发:仅转发对某特定区域的解析请求;
2、全局转发:针对凡本地没有通过zone定义的区域查询请求,全部转给某转发器
下面使用区域转发,在配置文件内编写如下:
配置完成后rndc reload重载,使用dig命令测试
上面是区域转发,全局转发可修改主配置文件/etc/named.conf,在options { } 内编写,内容与区域转发相同,如需自行测试!
6、 基本安全控制、
使用访问控制列表-acl;把一个或多个地址归并一个命名的集合,随后通过此名称即可对此集全内的所有主机实现统一调用,格式如下:注意:acl NAME{}要在options{}前定义,先定义,后使用,可使用“!”表示对后面的IP取反(!172.16.0.0/16;表示此IP范围外的IP集合)。
BIND有四种内置acl选项
none:没有一个主机;
any:任意主机;
local:本机;
localnet:本机所在的IP所属的网络;
访问控制指令
a541
:
1,allow-query { none | any | local | localnet }; 允许查询的主机;白名单;
2,allow-transfer { none | any | local | localnet }; 允许向哪些主机做区域传送;默认为向所有主机;应该配置仅允许从服务器;
3,allow-recursion { none | any | local | localnet }; 允许哪此主机向当前DNS服务器发起递归查询请求;
4,allow-update { none | any | local | localnet }; DDNS,允许进程动态更新区域数据库文件中内容(建议none);
相关文章推荐
- DNS服务正向、反向解析区域,主/从区域数据库复制,子域授权及基本安全控制
- DNS各种基本配置(正向解析区域、反向解析区域;主/从;子域;基本安全控制)
- 正向解析区域、反向解析区域;主/从;子域;基本安全控制
- DNS--bind 实现主从复制、子域授权、反向区域及区域转发
- 基于BIND实现DNS的解析、主从、子域、请求转发、访问控制
- DNS BIND配置 配置基本缓存服务器 DNS正向解析 DNS反向解析
- 使用bind自建DNS服务,实现双DNS服务器主从复制、子域授权、转发、智能解析等效果
- DNS(BIND) 正向解析 反向解析 基本服务的搭建
- 使用bind实现DNS主服务器的配置以及正向解析、反向解析、主从复制
- [服务搭建] bind正反向配置 主从配置 子域配置 基本安全设置
- DNS解析与Bind的使用(7)——子域授权、转发及访问控制列表配置
- Linux之DNS正向反向解析以及主从复制、子域授权、转发和view功能
- bind实现DNS子域授权及转发2/3
- DNS—正、反向解析;委派;主从;子域;转发;智能dns等的实现
- linux系统建立DNS主从域名服务器实现正向反向查询
- 基于Bind实现的DNS正反向解析及主从DNS的配置
- DNS配置详解(一)bind实现正向解析和反向解析
- 基于bind工具实现DNS子域授权、子域父域相互解析
- 基于bind实现子域授权(DNS连载三)
- CenOS6服务管理之DNS-子域授权和区域转发及DNS视图功能实现