一、DNS简介

1、DNS:Domain Name System(域名系统),是互联网上IP和域名相互解析的分布式层级结构的数据库。DNS的出现能够使用户更好的更加方便的访问互联网,不用记IP地址来访问互联网,可以通过人类更容易记住域名来访问互联网。

2、DNS是一种C/S架构的服务器,客户机用于一个名字对应的地址,而服务器是为客户机提供查询的,查询由两种机制:迭代查询和递归查询

   迭代查询:一般是DNS服务器与DNS服务器之间的查询方式

   递归查询:一般是客户机与服务器之间的查询方式

3、DNS是通过解析记录来过建成的DNS数据库,数据库中解析记录又分为正向解析和反向解析。其中正向解析是从域名到IP的过程,而反向解析是从IP到域名的过程。那么解析记录主要有哪些呢?

       常见的记录:

             A:就是地址(address)的缩写,后面记录的是ipv4的地址

             AAAA:对应的是Iipv6的地址

             NS:后面对应的是DNS服务器

             SOA:就是开始验证(start of autority)的缩写

             PTR:后面对应的是反向解析到的主机名

             CNAME:主机别名,一个主机可以有多个主机名。

             MAX:邮件服务器的地址

      下面我们通过几个简单的配置来认识DNS服务

二、正向解析的配置

 

   以zhanglang。com域为例用ns1.zhanglang.com服务器:

   实验前准备:安装bind软件包

      yum install bind

   (1) 定义区域

     在主配置文件中(/etc/named.conf)或主配置文件辅助配置文件(/etc/named.rfc1912.conf)中实现;

     修改主配置文件 vim /etc/named.conf


                      DNS的基础配置_DNS的基本配置     

   

    修改/etc/named.rfc1912.conf,添加zone(在/var/named/*.zone的文件)

                     DNS的基础配置_DNS的基本配置_02   

  

   (2) 建立区域数据文件(主要记录为A或AAAA记录)

     在/var/named目录下建立区域数据文件;

     文件为:/var/named/zhanglang.com.zone

                     DNS的基础配置_DNS的基本配置_03

  

   (3)权限及属组修改:


     # chown  :named  /var/named/zhanglang.com.zone

     # chmod  o=  r/named/zhanglang.com.zone

   (4)检查语法错误:

                      DNS的基础配置_DNS的基本配置_04

   (5)让服务器重载配置文件和区域数据文件

      # rndc  reload

   (6)测试

                     DNS的基础配置_DNS的基本配置_05

     正向解析配置成功


二、配置解析一个反向区域

  (1) 定义区域

    在主配置文件中或主配置文件辅助配置文件中实现;

    修改主配置文件 vim /etc/named.conf

                    DNS的基础配置_DNS的基本配置_06

   修改/etc/named.rfc1912.conf,添加zone(在/var/named/*.zone的文件)

                    DNS的基础配置_DNS的基本配置_07

  (2) 定义区域解析库文件(主要记录为PTR)vim /var/named/192.168.zone

                    DNS的基础配置_DNS的基本配置_08

 (3)权限及属组修改:

    # chgrp  named  /var/named/192.168.zone

    # chmod  o=  /var/named/192.168.zone

 (4)检查语法错误和重载:

    # named-checkzone  168.192.in-addr.arpa /var/named/192.168.zone

    # named-checkconf 

    # rndc reload  

 (5)测试

                           DNS的基础配置_DNS的基本配置_09    


三、主从服务器:

       在示例一我们以ns1.zhanglang.com做了正向解析主服务器,那么我们再以ns2.zhanglang.com作从服务器,我们直接修改ns2.zhanglang.com配置就行了。如下:

       (1)修改配置文件

              修改主配置文件 vim /etc/named.conf

                              DNS的基础配置_DNS的基本配置_10 

       (2)定义区域 vim  /etc/named.rfc1912.conf

                              DNS的基础配置_DNS的基本配置_11

       (3)检查语法错误和重载:

      # named-checkconf 

               # rndc reload

                               DNS的基础配置_DNS的基本配置_12


       (4)测试

            在从服务器上解析

                               DNS的基础配置_DNS的基本配置_13

           解析成功


四、子域

        正向解析区域授权子域的方法:

  父域配置

   (1) 在/var/named目录下建立区域数据文件;vim /var/named/zhanglang.com.zone

                                DNS的基础配置_DNS的基本配置_14

   (2)检查语法错误和重载:

                 # named-checkzone  zhanglang.com /var/named/zhanglang.com.zone

     # named-checkconf 

                 # rndc reload

        子域配置

            (1)在子域配置

      主配置文件(开启监听端口)vim /etc/named.conf

                                   DNS的基础配置_DNS的基本配置_15

                创建域vim /etc/named.rfc1912.zones


                                DNS的基础配置_DNS的基本配置_16  


         (3)创建域解析库  vim /var/named/ops.zhanglang.com.zone

                     DNS的基础配置_DNS的基本配置_17

   (4)修改权限和组

                     DNS的基础配置_DNS的基本配置_18


   (5)检查语法错误和重载:

      # named-checkzone  ops.zhanglang.com /var/named/ops.zhanglang.com.zone

       # named-checkconf 

       # rndc reload

   (6)检测

      子域检查

                        DNS的基础配置_DNS的基本配置_19

     父域检测

                        DNS的基础配置_DNS的基本配置_20

     成功配置子域授权


五、定义转发(在子域定义转发):

注意:被转发的服务器必须允许为当前服务做递归

 在上例中的子域服务器配置转发 

  (1) 配置文件 /etc/named.rfc1912.zones  

                    DNS的基础配置_DNS的基本配置_21

 (2)语法检查和重载

                    DNS的基础配置_DNS的基本配置_22

 (3) 检测

    检测父域“zhanglang.com”

                     DNS的基础配置_DNS的基本配置_23

     解析成功


六、基本安全控制

   acl:访问控制列表;把一个或多个地址归并一个命名的集合,随后通过此名称即可对此集全内的所有主机实现统一调用;

     bind有四个内置的acl

       none:没有一个主机;

       any:任意主机;

       local:本机;

       localnet:本机的IP所属的网络;


        常见访问控制指令

     allow-query  {};  允许查询的主机;白名单;

     allow-transfer {};  允许向哪些主机做区域传送;默认为向所有主机;应该配置仅允许从服务器;

     allow-recursion {}; 允许哪此主机向当前DNS服务器发起递归查询请求;

     allow-update {}; DDNS,允许动态更新区域数据库文件中内容;

        1、allow-query 在主服务器上(ns1.zhanglang.com)


            (1)  主配置文件vim /etc/named.conf 创建访问控制列表(控制为只能192.168.109.101主机能解析)

                       DNS的基础配置_DNS的基本配置_24

    (2) 创建域vim /etc/named.rfc1912.zones

                      DNS的基础配置_DNS的基本配置_25

    (3)与法检测和重载

                      DNS的基础配置_DNS的基本配置_26

   (4)检测(测试时所用的命令和服务器地址一致

     192.168.109.101检测

                      DNS的基础配置_DNS的基本配置_27

      解析成功

    192.168.109.100检测

                      DNS的基础配置_DNS的基本配置_28

      解析失败,控制设置成功


            2、allow-transfer 在主服务器上(ns1.zhanglang.com)

                 (1) 主配置文件vim /etc/named.conf 创建访问控制列表(控制为只能192.168.109.100主机只能区域传输)

                        DNS的基础配置_DNS的基本配置_29

     (2) 创建域vim /etc/named.rfc1912.zones

                        DNS的基础配置_DNS的基本配置_30

                 (3)与法检测和重载

                        DNS的基础配置_DNS的基本配置_31

     (4)测试

       192.168.109.101检测

                         DNS的基础配置_DNS的基本配置_32

        传输失败

       192.168.109.100测试

                         DNS的基础配置_DNS的基本配置_33

       传送成功,控制设置成功

     3、allow-recursion 在主服务器上(ns1.zhanglang.com)

       (1) 主配置文件vim /etc/named.conf 创建访问控制列表(控制为只能192.168.109.101/24网段递归

                          DNS的基础配置_DNS的基本配置_34

      (2)与法检测和重载

                          DNS的基础配置_DNS的基本配置_35

      (4)测试

       192.168.109.101检测

                          DNS的基础配置_DNS的基本配置_36

        成功

      4、 allow-update {}; DDNS,允许动态更新区域数据库文件中内容;

         一般我们是不允许动态更新区域数据库文件中内容;因为允许动态更新区域数据库文件中内容会造成安全风险;所以我们禁止动态更新

         编辑配置文件:vim /etc/named.rfc1912.zones

            在每个zone中加上 allow-update { none; };即可


                           DNS的基础配置_DNS的基本配置_37   

          然后重载服务就可以了

                          DNS的基础配置_DNS的基本配置_38