服务器搭建

1.安装bind服务
# yum install -y bind bind-chroot bind-utils

CentOS下搭建DNS服务器

DNS的固守正向分析、反向深入分析。。。

Full Qualified Domain Name安全过关主机名
=主机名。域名例如,www.tarena.com.cn

举办顺序:/usr/sbin/named服务脚本:/etc/init.d/named私下认可端口:TCP/UDP 53

设想根意况:/var/named/chroot/主配置文件:/etc/named.conf区域数据文件:/var/named/

DNS日志/var/log/messages

一、构建主DNS

[[email protected]
~]# yum -y install bindbind-chroot caching-nameserver

[[email protected]
服务器搭建。~]# service named restart

[[email protected]
~]# chkconfig named on

[[email protected]
~]# cd/var/named/chroot/etc/

[[email protected]
etc]# cp -p named.caching-nameserver.confnamed.conf

[[email protected]
etc]# vim named.conf

options {定义全局选项

listen-on port 53 { 192.168.3.100; };监听地址和端口

listen-on-v6 port 53 { ::1; };

directory “/var/named”;地址文件的私下认可地点(区域数据文件卡塔 尔(英语:State of Qatar)

allow-transfer { 192.168.3.11; };授权从DNS服务器

…………

allow-query{ any; };允许持有客商机查询

allow-query-cache { any; };

};

view localhost_resolver {

match-clients { any; };

match-destinations { any; };

[[email protected]
etc]# vimnamed.rfc1912.zones

zone”tarena.com” IN {正向解释区域tarena.com是域名

type master;类型为主解释区域

file “tarena.com.zone”;主解释区域地址数据文件

};

zone”3.168.192.in-addr.arpa” IN {设置反向剖析区域

type master;

file “tarena.com.arpa”;

};

[[email protected]
etc]# named-checkconf/var/named/chroot/etc/named.conf无错误,无输出

[[email protected]
etc]# cd/var/named/chroot/var/named/区域数据地址

[[email protected]
named]# cp -p named.localtarena.com.zone

[[email protected]
named]# vimtarena.com.zone

$TTL 86400立竿见影生存周期

@ INSOA dns01.tarena.com.root.tarena.com. (

二零一六062501 ; Serial更新序号

28800; Refresh

14400 ; Retry

3600000 ; Expire

86400) ; Minimum

INNS dns01.tarena.com.域名服务器NS

IN NSdns02.tarena.com.

INA 192.168.3.100

dns01 INA 192.168.3.100

dns02 INA 192.168.3.11

www INA 192.168.3.100轮询DNS配置,DNS的负载均衡

www INA 192.168.3.11轮询DNS配置,DNS的负荷均衡

bbs INA 1.1.1.2

ftp IN CNAMEwww别名记录

* INA 192.168.3.100 *泛域名深入剖判

$GENERATE 20-50 station$IN A 192.168.3.$分红对应的DNS和主机名

[[email protected]
named]# cp -ptarena.com.zone tarena.com.arpa

[[email protected]
named]# vimtarena.com.arpa

$TTL 86400

@ INSOA dns01.tarena.com.root.tarena.com. (

2014062501 ; Serial

28800 ; Refresh

14400 ; Retry

3600000 ; Expire

86400) ; Minimum

INNS dns01.tarena.com.

INNS dns02.tarena.com.

100 INPTXC60 dns01.tarena.com.指针记录RTP

100 INPTR dns02.tarena.com.

2 INPTR mail.tarena.com.

5 INPTR www.tarena.com.

[[email protected]
named]# named-checkzonetarena.com
tarena.com.zone区域地址文件语法是或不是科学

zone tarena.com/IN: loaded serial2014062501

OK

[[email protected]
named]# named-checkzonetarena.com tarena.com.arpa

zone tarena.com/IN: loaded serial2014062501

OK

本机实行测验

[[email protected]
etc]# dig
[email protected]

[[email protected]
etc]# host www.tarena.com192.168.3.100

二、构建从DNS

[[email protected]
~]# yum -y remove bindbind-chroot caching-nameserver

[[email protected]
~]# service named restart

[[email protected]
~]# chkconfig named on

[[email protected]
~]# cd/var/named/chroot/etc/

[[email protected]
etc]# cp -p named.caching-nameserver.confnamed.conf

[[email protected]
etc]# vim named.conf

15 listen-on port 53 { 192.168.3.11; };

27 allow-query { any; };

28 allow-query-cache { any; };

37 match-clients { any; };

38 match-destinations { any; };

[[email protected]
etc]# vimnamed.rfc1912.zones

50 zone”tarena.com” IN {

51type slave;区域项目改为slave

52file “slaves/tarena.com.zone”;改为保存到slaves/子目录下

53masters { 192.168.3.100; };

54 };

55 zone “3.168.192.in-addr.arpa” IN{

56type slave;

57file “slaves/tarena.com.arpa”;

58masters { 192.168.3.100; };

59 };

[[email protected]
etc]# named-checkconfnamed.conf

[[email protected]
etc]# service named restart

[[email protected]
etc]# ls /var/named/chroot/var/named/slaves/

tarena.com.arpa tarena.com.zone

开展测量试验

[[email protected]
slaves]# host www.tarena.com192.168.3.100

[[email protected]
slaves]# hostdns02.tarena.com 192.168.3.100

[[email protected]
slaves]# dig www.tarena.com192.168.3.100

客户端DNS设置

vim /etc/resolv.conf

nameserver 192.168.3.100

nameserver 192.168.3.11

DNS的法力正向深入分析、反向剖判。。。 Full Qualified Domain
Name安全过关主机名 =主机名。域名比方,www.tarena.com.cn
执路程序…

[root@www named]#vim /etc/name.conf

DNS(Domain Name System,域名类别卡塔 尔(英语:State of Qatar),因特网络作为域名和IP地址相互映射的壹个布满式数据库,能够使客商更有益于的拜望网络,而不用去记住能够被机器直接读取的IP数串。通过主机名,最后获得该主机名对应的IP地址的经过叫做域名深入分析(或主机名拆解深入分析卡塔尔国。

2.chroot 条件为了系统的安全性思量,平时的话最近各器重 distributions
都曾经自行的将您的 bind 相关程序给她 chroot 了
# cat /etc/sysconfig/namedROOTDIRAV4=/var/named/chroot那风姿洒脱行将named根目录
改动为 /var/named/chroot
新本子的 CentOS 6.x
已经将 chroot 所急需运用到的目录,透过 mount –bind 的效果与利益举行目录链接了
,所以在 CentOS 6.x 个中,你根本并不是切换至 /var/named/chroot/
了!使用标准的目录操作就能够

//

端口:udp/53(客户查询时行使的端口,以至宗旨服务器同步), 客户查询只需53/udp。 tcp/53(用于大旨服务器之间的一块儿),假设那几个多少个端口有三个无法访谈时基本服务器不能够合作。

3.DNS服务器首要陈设文件: /etc/named.conf
isten-on port 53 { any; };监听在这里部主机系统方面包车型大巴哪些网络接口。
所以这里要将大括号内的数额改写成 any。记得,因为能够监听两个接口,因而any 后边得要增添分号才算驾鹤归西喔!
别的,这几个项目只要忘记写也并未有关联,因为默许是对全体主机系统的持有接口进行监听的。

// named.conf

DNS查询类型:

递归查询 服务器负责到底的叫递归查询
迭代查询 服务器推荐你去找其他服务器叫迭代查询

directory “/var/named”;意思是说,借使此档案底下有标准到正、反解的 zone
file 档名时,该档名预设应该放置在哪个目录底下的情致。预设放置到
/var/named/ 底下。由于 chroot 的涉嫌,最终这个数据库档案会被主动链接到
/var/named/chroot/var/named/ 那一个目录。

//

拆解深入分析类型:

FQDN --> IP 正向解析
IP --> FQDN 反向解析 (arpa)
注意:正反向解析是两个不同的名称空间,是两棵不同的解析树

dump-file, statistics-file, memstatistics-file与 named
那个服务有关的过多总结新闻,假如想要输出成为档案的话,预设的档名就好像上所述。

// Provided by Red Hat
bind package to configure the ISC BIND named(8) DNS

此番实验应用bind软件在CentOS 7.3系统来搭建dns服务

allow-query { any; };那么些是指向性客商端的设定,到底什么人能够对本身的 DNS
服务提议询问央求的意趣。原来的档案内容预设是针对 localhost 开放而已,
我们那边改成对全数的客户开放 (当然啦,防火墙也得放行才行)。可是,预设
DNS 正是对具备客户放行,所以这些设定值也足以不用写。

// server as a caching only nameserver (as a localhost DNS resolver
only).

设置配置bind软件

bind:服务器端,服务名named
bind-ibs:相关库
bind-utils:客户端
bind-chroot:一个安全软件,安装后会把bind的文件会以文件挂载的方式放在/var/named/chroot下
服务脚本和名称:/etc/rc.d/init.d/named、/usr/lib/systemd/system/named.service
主配置文件:/etc/named.conf, /etc/named.rfc1912.zones、/etc/rndc.key
解析库文件:/var/named/ZONE_NAME.ZONE
根服务器的IP地址记录文件/var/named/named.ca

[root@centos7.3 etc]#yum -y install bind*   #安装bind软件包
[root@centos7.3 etc]#systemctl start named  #启动dns服务,named是bind软件的服务名

纠正配置文件

options {                                   #主配置
        listen-on port 53 { 127.0.0.1; };   #监听端口和监听的本机IP地址
        listen-on-v6 port 53 { ::1; };      #IPv6监听的端口和IP地址
        directory       "/var/named";       #数据文件存放目录
        dump-file       "/var/named/data/cache_dump.db"; #缓存数据保存的文件路径
        statistics-file "/var/named/data/named_stats.txt";统计数据
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { localhost; };            #允许那些IP向服务器请求DNS解析

        /* 
         - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
         - If you are building a RECURSIVE (caching) DNS server, you need to enable 
           recursion. 
         - If your recursive DNS server has a public IP address, you MUST enable access 
           control to limit queries to your legitimate users. Failing to do so will
           cause your server to become part of large scale DNS amplification 
           attacks. Implementing BCP38 within your network would greatly
           reduce such attack surface 
        */
        recursion yes;                  #是否开启服务器的递归查询,yes为开启

        dnssec-enable no;               #是否开启DNSSec安全认证(鉴定数据来源和数据完整性)
        dnssec-validation no;           #是否开启验证,默认为yes

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";

        pid-file "/run/named/named.pid";
        session-keyfile "/run/named/session.key";
};

logging {                                #日志配置
        channel default_debug {
                file "data/named.run";   #日志文件
                severity dynamic;        #记录级别
        };
};

zone "." IN {                            #跟域配置
        type hint;                       
        file "named.ca";                 #这个文件中保存里13个根域服务器的IP地址
};

include "/etc/named.rfc1912.zones";      #域配置文件
include "/etc/named.root.key";           

第意气风发更改那生机勃勃某些

options {                                   
        listen-on port 53 { loaclhost; };   #localhost监听本机所有端口,也可以修改为本机的一个IP地址
        listen-on-v6 port 53 { ::1; };      #IPv6不修改
        directory       "/var/named";       
        dump-file       "/var/named/data/cache_dump.db"; 
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };       #any表示所有IP

重启服务

[root@CentOS7.3 ~]#systemctl restart named        #重启named服务
[root@CentOS7.3 ~]#ss -nutl                       #查看监听端口
Netid State      Recv-Q Send-Q    Local Address:Port                   Peer Address:Port
udp   UNCONN     0      0       192.168.166.130:53                                *:*  
udp   UNCONN     0      0             127.0.0.1:53                                *:*   
udp   UNCONN     0      0                   ::1:53                               :::*  
tcp   LISTEN     0      10      192.168.166.130:53                                *:*  
tcp   LISTEN     0      10            127.0.0.1:53                                *:*   
tcp   LISTEN     0      128                   *:22                                *:*  
tcp   LISTEN     0      128           127.0.0.1:953                               *:*   
tcp   LISTEN     0      10                  ::1:53                               :::*   
tcp   LISTEN     0      128                  :::22                               :::*   
tcp   LISTEN     0      128                 ::1:631                              :::*   
tcp   LISTEN     0      128                 ::1:953                              :::*   

named服务的tcp/53、udp/53端口都已开采

当今的DNS服务器已经足以提供服务器了,但只是查询做了倒车,并不曾配置本地区域新闻,不能够解析本地域名。

forward only ;那一个设定能够令你的 DNS 服务器仅进行 forward,纵然有 . 那几个zone file 的设定,也不会动用 . 的素材, 只会将查询权交给上层 DNS
服务器而已,是 cache only DNS 最普及的设定了!

//

布置当地点音讯

forwarders { 8.8.8.8; } ;既然有 forward only,那么终究要对哪部上层 DNS
服务器进行转递呢?那正是 forwarders (不要遗忘那么些 s)
设定值的重要了!由于忧虑上层 DNS
服务器也只怕会挂点,因而得以设定多部上层 DNS 服务器喔!每三个 forwarder
服务器的 IP 都亟待有『 ; 』来做为结尾!

// See /usr/share/doc/bind*/sample/ for example named configuration
files.

IN 是internet记录 type 是项目 根的类型是hint file 区域文件

//

TTL是生存期,单位是秒 $TTL是全局定义的
SOA记录,@取代在/etc/named.conf中钦赐的域名。SOA段中的数字,分别为:体系号、刷新、重试、过期、生存期种类号:
种类号用于DNS数据库文件的版本调整。每当数据被改善,那个队列号就应该被扩充。
刷新:从服务器向主服务器查询最新数据的间隔周期。每三遍检查时从服务器的数目是或不是须要改造,则依据种类号来分辨。
重试:一旦从服务器尝试连接主服务器战败,下二回查询主服务器的延迟时间。
过期:倘若从服务器不能连通主服务器,则在经过那时间后,公布其数额过期。
生存期:服务器回答 ‘无此域名’ 的间距时间。

options {

数字的私下认可单位为秒。不然:W= 周、D= 日、H= 时辰、M= 分钟。

        listen-on port 53 { any; };   //改为any

区域布局(zone 卡塔尔zone 语句成效是定义DNS 区域,在这里语句中可定义DNS
区域选用zone区域设置,第一步,设置根区域当DNS服务器管理递归查询时,假设本地区域文件不可能拓宽询问的深入分析,就能够转到根DNS服务器查询,所以在主配置文件named.conf文件中还要定义根区域。

//      listen-on-v6 port 53 { ::1; };   //注销那行

# 平淡无奇的正解文件 PRADO本田UR-V 相关音信
[domain]    IN  [[RR type]  [RR data]]
主机名.  IN  A          IPv4 的 IP 地址
主机名.  IN  AAAA        IPv6 的 IP 地址
天地名.  IN  NS          管理这些世界名的服务器主机名字.
天地名.  IN  SOA        处理这些世界名的四个举足轻重参数(如上证实)
世界名.  IN  MX        顺序数字  接纳邮件的服务器主机名字
长机别称.  IN  CNAME      实际代表这一个主机外号的主机名字.
4.起步 关闭命令
/etc/init.d/named start #启动DNS服务器/etc/init.d/named restart
#重启DNS服务器/etc/init.d/named stop #关闭DNS服务器
chkconfig named on #设为开机运营
5.配备实例 如果我们要增加域
test.web,当然这一个具体中是不曾的,所以自身能够用来虽意测量检验
# vim /etc/named.conf
//
// named.conf
//
// Provided by Red Hat
bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver
only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration
files.
//

        directory       “/var/named”;

options {
        listen-on port 53 { any; };//改为any
      // listen-on-v6 port 53 { ::1; };//注销那行
        directory      “/var/named”;
        dump-file      “/var/named/data/cache_dump.db”;
        statistics-file “/var/named/data/named_stats.txt”;
        memstatistics-file “/var/named/data/named_mem_stats.txt”;
        allow-query    { any; }; //改为 any
        recursion yes;

        dump-file       “/var/named/data/cache_dump.db”;

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        statistics-file “/var/named/data/named_stats.txt”;

        /* Path to ISC DLV key */
        bindkeys-file “/etc/named.iscdlv.key”;

        memstatistics-file “/var/named/data/named_mem_stats.txt”;

        managed-keys-directory “/var/named/dynamic”;
};

        allow-query     { any; }; //改为 any

logging {
        channel default_debug {
                file “data/named.run”;
                severity dynamic;
        };
};

        recursion yes;

zone “.” IN {
        type hint;
        file “named.ca”;
};

        dnssec-enable yes;

include “/etc/named.rfc1912.zones”;
include “/etc/named.root.key”;

        dnssec-validation yes;

创建zone文件
# vim /etc/named.rfc一九一二.zones  //加多正面与反面向区域

        dnssec-lookaside auto;

// named.rfc1912.zones:
//
// Provided by Red Hat caching-nameserver package
//
// ISC BIND named zone configuration for zones recommended by
// RFC 1912 section 4.1 : localhost TLDs and address zones
// and

// (c)2007 R W Franks
//
// See /usr/share/doc/bind*/sample/ for example named configuration
files.
//

        /* Path to ISC DLV key */

zone “localhost.localdomain” IN {
        type master;
        file “named.localhost”;
        allow-update { none; };
};

        bindkeys-file “/etc/named.iscdlv.key”;

zone “localhost” IN {
        type master;
        file “named.localhost”;
        allow-update { none; };
};
讲明以下几行
//zone
“1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa”
IN {
//        type master;
//        file “named.loopback”;
//        allow-update { none; };
//};

};

//zone “1.0.0.127.in-addr.arpa” IN {
//        type master;
//        file “named.loopback”;
//        allow-update { none; };
//};

logging {

zone “0.in-addr.arpa” IN {
        type master;
        file “named.empty”;
        allow-update { none; };
};

        channel default_debug {

//增多正面与反面向

                file “data/named.run”;

zone “test.web” IN {        // 这个 zone 的名称
        type master;        // 是如何项目
        file “test.web.zone”;        // zone文件名
};

                severity dynamic;

zone “1.168.192.in-addr.arpa” IN {
        type master;
        file “1.168.192.zone”;
};

        };

网站地图xml地图