dns的另外一種實(shí)現(xiàn)方式：dnsmasq較為簡單請自行理解

1 2 3 4 5

一.主從架構(gòu) 二.子域授權(quán) 三.轉(zhuǎn)發(fā)區(qū)域 四.bind中的安全相關(guān)配置 五.bind?view視圖

一.主從架構(gòu)
從s擁有和主s一樣的解析庫
?? ?注意：從服務(wù)器是區(qū)域級(jí)別的概念，從s是一個(gè)或多個(gè)區(qū)域的從s
?? ?
?? ?一個(gè)區(qū)域可以為正向和反向分別配置不同的從s
?? ?AB可以互為主從：
?? ??? ?一個(gè)是正向的主，反向的從
?? ??? ?一個(gè)是反向的從，正向的主
?? ??? ?AB負(fù)責(zé)一個(gè)區(qū)域
?? ?負(fù)載均衡:怎樣實(shí)現(xiàn)都能提供解析
?? ??? ?方法：一半配置ns為A，另一半配置為B
?? ??? ?方法二：在父域中定義該域的兩個(gè)NS //這樣有人請求的時(shí)候，就會(huì)有兩個(gè)NS輪流響應(yīng)
?? ?
配置實(shí)現(xiàn)：
?? ?Slave:
?? ??? ?1.定義區(qū)域
?? ??? ??? ?zone “zone——name“ IN {
?? ??? ??? ??? ?type slave;
?? ??? ??? ??? ?file "slaves/zone_name.zone";?? ?//只有slaves目錄中named組具有寫權(quán)限
?? ??? ??? ??? ?masters { MASTERIP; };
?? ??? ??? ?};
?? ??? ??? ?named-checkconf
?? ??? ?2.重載配置
?? ??? ??? ?rndc reload
?? ??? ??? ?systemctl reload rndc
?? ?Master：
?? ??? ?1.確保區(qū)域數(shù)據(jù)文件中為每個(gè)服務(wù)配置NS記錄?? ?
?? ??? ??? ?
實(shí)現(xiàn) 1.：
?? ?192.168.4.109：slave 正向
?? ?192.168.4.100：master 正向
?? ?
?? ?Slave: //配置成為正向的從s

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

????????yum?install?bind?-y ????????vim?/etc/named.conf???? ????????????listen-on?port?53?{?192.168.4.109;?}; ????????????關(guān)閉dnssec功能 ????????vim?/etc/named.rfc1912.zones ????????????zone?"mt.com"?IN?{ ????????????????????type?slave; ????????????????????file?"slaves/mt.com.zone"; ????????????????????masters?{?192.168.4.100;?}; ????????????}; ????????named-checkconf ????service?named?start ????master: ????????vim?mt.com.zone?//添加兩條記錄，已經(jīng)啟動(dòng)的話，需要修改序列號(hào) ????????????????????IN??????NS??????ns2 ????????????ns2?????IN??????A???????192.168.4.109 ????????named-checkzone?"mt.com"?mt.com.zone

?? ?slave:
?? ??? ?rndc reload //重載配置
?? ??? ?systemctl status named.service //查看狀態(tài)信息
?? ??? ?dig -t A www.mt.com @192.168.4.109
?? ??? ?cat /var/named/slaves/mt.com.zone //在CnetOS7上是二進(jìn)制格式，在6上是文本格式可以直接查看
?? ?測試：在主s上添加一條記錄，并修改serial
?? ??? ?systemctl status named
?? ??? ??? ?sending notifies (serial 2017030102)
?? ??? ??? ?
?? ??? ??? ?
//第一次傳送成功，后期增量傳送未實(shí)現(xiàn)?? ?
?? ??? ?原因:192.168.6.109的主機(jī)的ip地址是dhcp獲取的，受dhcp的影響，導(dǎo)致默認(rèn)dns不是主DNS
?? ?zone mt.com/IN: refused notify from non-master: 192.168.4.113#37131
?? ?
?? ?效果：master上修改序列號(hào)+rndc reload，systemctl named status //查看結(jié)果
?? ??? ?
?? ??? ?實(shí)驗(yàn)2：
?? ??? ??? ?192.168.4.109：slave? 反向
?? ??? ??? ?192.168.4.100：master 反向
?? ??? ?slave:
?? ??? ??? ?vim /etc/named.rfc1912.zones?
?? ??? ??? ??? ?zone "4.168.192.in-addr.arpa" IN {
?? ??? ??? ??? ??? ??? ?type slave;
?? ??? ??? ??? ??? ??? ?file "slaves/192.168.4.zone";
?? ??? ??? ??? ??? ??? ?masters { 192.168.4.100; };
?? ??? ??? ??? ?};
?? ??? ??? ? named-checkconf
?? ??? ?master:
?? ??? ??? ?vim 192.168.4.zone
?? ??? ??? ??? ??? ??? ?IN????? NS????? ns2.mt.com.
?? ??? ??? ??? ?109???? IN????? PTR???? ns2.mt.com.
?? ??? ??? ?named-checkzone 4.168.192.in-addr.arpa 192.168.4.zone
?? ??? ??? ?rndc reload
?? ??? ?slave:
?? ??? ??? ?rndc reload
?? ??? ?master：添加一個(gè)記錄，修改serial
?? ??? ??? ?systemctl status named

?? ?On master：
?? ??? ?1.確保區(qū)域數(shù)據(jù)文件為每個(gè)從服務(wù)器配置NS記錄，并且在正向區(qū)域文件需要每個(gè)從服務(wù)器的NS記錄的主機(jī)名配置一個(gè)A記錄，且此后面的地址為真正的IP地址
?? ?手動(dòng)區(qū)域傳送?? ?
?? ??? ?dig -t axfr 4.168.192.in-addr.arpa
失敗總結(jié)：?? ??? ?
?? ?1.注意：時(shí)間要同步
?? ??? ?ntpdate命令：像同一臺(tái)服務(wù)器同步時(shí)間
?? ?2.在從s上
?? ??? ?cat /etc/named.rfc1912.zones
?? ??? ??? ?zone "mt.com" IN {
?? ??? ??? ??? ?type slave;
?? ??? ??? ??? ?file "slaves/mt.com.zone";
?? ??? ??? ??? ?masters { 192.168.4.100; };
?? ??? ??? ??? ?allow-notify { 192.168.4.0/24; };? //允許這個(gè)網(wǎng)段內(nèi)的主機(jī)發(fā)送來的通知
?? ??? ??? ?};?? ??? ?
?? ??? ?
?? ??? ?開始的時(shí)候修改為：allow-notify { 192.168.4.100; }; //只修改為單個(gè)ip,是不可以的
?? ??? ?因?yàn)?#xff1a;master有多個(gè)ip:192.168.4.100,192.168.4.113,192.168.4.112等
?? ??? ??? ?而默認(rèn)使用的發(fā)送接口，很有可能不是192.168.4.100
?? ??? ?
二.子域授權(quán)
?? ?正向解析的區(qū)域授權(quán)子域的方法

1 2 3 4

????????ops.mt.com.????????IN????NS????ns1.ops.mt.com. ????????ops.mt.com.????????IN????NS????ns2.ops.mt.com. ????????ns1.ops.mt.com.????IN????A???192.168.4.11 ????????ns2.ops.mt.com.????IN????A???192.168.4.12

?? ?//DNS一般會(huì)建立主從，主要是為了應(yīng)付突發(fā)情況
?? ?
?? ?實(shí)現(xiàn)：
?? ??? ?192.168.4.110 :為父域
?? ??? ?192.168.4.100:為子域
?? ?1.192.168.4.100
?? ??? ?vim mt.com.zone
?? ??? ??? ?ops???? IN????? NS????? ns1.ops
?? ??? ??? ?ns1.ops IN????? A?????? 192.168.4.110
?? ??? ?rndc reload
?? ?2.192.168.4.110
vim named.conf?
?? ?listen-on port 53 { 192.168.4.110; };
?? ?allow-query???? { 192.168.4.0/24; }; //允許本地查詢
?? ?dnssec 關(guān)閉
sytemctl restart named?? ?
netstat -tunlp |grep named
vim named.rfc1912.zones
?? ?zone "ops.mt.com" IN {
?? ??? ??? ?type master;
?? ??? ??? ?file "ops.mt.com.zone";
?? ?};
named-checkconf?
==================================================

1 2 3 4 5 6 7 8 9 10 11 12

vim?ops.mt.com.zone ????$TTL?2500 ????$ORIGIN?ops.mt.com. ????@???????IN??????SOA?????ns1.ops.mt.com.?admin.ops.mt.com.?(????? ????????????????????????????2018010101 ????????????????????????????1H ????????????????????????????10M ????????????????????????????1D ????????????????????????????2H?) ????????????IN??????NS??????ns1 ????ns1??????IN??????A???????192.168.4.110 ????www?????IN??????A???????192.168.4.109

?? ??? ?
chmod o= ops.com.zone?
chgrp named ops.com.zone?
rndc reload

?? ?3.測試
dig -t A www.ops.mt.com @192.168.4.109
dig -t NS ops.mt.com

三.轉(zhuǎn)發(fā)區(qū)域?//不查找根的折中方案，直接告訴你，mt.com區(qū)域的NS是誰
?? ?定義轉(zhuǎn)發(fā)
?? ??? ?注意：被轉(zhuǎn)發(fā)的服務(wù)器必須允許為當(dāng)前服務(wù)做遞歸
?? ??? ?1.區(qū)域轉(zhuǎn)發(fā)；僅轉(zhuǎn)發(fā)對某特定區(qū)域的解析請求
?? ??? ??? ?zone "ZONE_NAME" IN {
?? ??? ??? ??? ?type forward;
?? ??? ??? ??? ?forward {first|only};
?? ??? ??? ??? ?forwarders {SERVER_IP};
?? ??? ??? ?};
?? ??? ??? ?
?? ??? ??? ?first:首先轉(zhuǎn)發(fā)；轉(zhuǎn)發(fā)器不在時(shí)，自行去迭代查詢
?? ??? ??? ?only:只轉(zhuǎn)發(fā)
?? ??? ?
?? ??? ?2.全局轉(zhuǎn)發(fā) //本地沒有定義的區(qū)域zone的查詢請求，統(tǒng)統(tǒng)轉(zhuǎn)給某轉(zhuǎn)發(fā)器
?? ??? ??? ?named.conf
?? ??? ??? ??? ?options {
?? ??? ??? ??? ??? ?foward only;
?? ??? ??? ??? ??? ?forwarders { 192.168.4.100; };?
?? ??? ??? ??? ??? ?...
?? ??? ??? ??? ?}
?? ??? ??? ?只要不是自己負(fù)責(zé)的區(qū)域，就轉(zhuǎn)發(fā)
?? ??? ??? ??? ?先查找zone，如果沒有定義，就直接轉(zhuǎn)發(fā)
?? ??? ??? ??? ?
?? ?
四.bind中的安全相關(guān)配置
?? ?acl:訪問控制列表；把一個(gè)或多個(gè)地址歸并為一個(gè)命名的集合，隨后通過此名稱即可對此集合內(nèi)的所有主機(jī)實(shí)現(xiàn)統(tǒng)一調(diào)用；
?? ?
?? ?acl acl_name {
?? ??? ?ip;
?? ??? ?net/prelen;
?? ?};
?? ?
?? ?示例:
?? ??? ?acl mynet {
?? ??? ??? ?192.168.4.0/24;
?? ??? ??? ?127.0.0.0/8;
?? ??? ?};
?? ??? ?
?? ??? ?bind的四個(gè)內(nèi)置acl
?? ??? ??? ?none：沒有一個(gè)主機(jī)
?? ??? ??? ?any：任意主機(jī)
?? ??? ??? ?local：本機(jī)
?? ??? ??? ?localnet:本機(jī)所在的IP所屬的網(wǎng)絡(luò)；
?? ?訪問控制指令：
?? ??? ?allow-query {}； 允許查詢的主機(jī)，白名單
?? ??? ?allow-transfer {};允許向哪些主機(jī)做區(qū)域傳送；默認(rèn)向所有主機(jī)，master應(yīng)該指定為從s，從s應(yīng)該指定為none//因?yàn)閺膕不需要傳送給別人
?? ??? ??? ??? ??? ?;允許我向誰傳送
?? ??? ?//以上連個(gè)可以加載zone{單個(gè)區(qū)域}或者options{全局}中都可以
?? ??? ?allow-recursion {};允許哪些主機(jī)向當(dāng)前DNS服務(wù)器發(fā)起遞歸請求的
?? ??? ?recursion yes ; 允許所有主機(jī)遞歸
?? ??? ??? ??? ?注意:只有允許遞歸的才允許轉(zhuǎn)發(fā)，否則你轉(zhuǎn)發(fā)過去，人家不給你轉(zhuǎn)發(fā)，沒吊用
?? ??? ?allow-update{ none; } ;DDNS,允許動(dòng)態(tài)更新區(qū)域數(shù)據(jù)庫文件中的內(nèi)容
?? ??? ??? ??? ?建議關(guān)閉,會(huì)更改記錄
?? ??? ?notify yes //允許所有人給我發(fā)送通知
?? ??? ?allow-notify { 192.168.4.0/24; }; //記得通知我
?? ??? ?
?? ??? ?
示例1：禁止區(qū)域傳送
?? ?1.master：192.168.4.100

1 2 3 4 5 6 7 8 9 10 11

????????vim?/etc/named.conf ????????????acl?mynet?{ ????????????????????192.168.4.100; ????????????????????192.168.4.111; ????????????}??????? ????????vim?named.rfc1912.zone ????????????zone?"mt.com"?IN?{ ????????????????????type?master; ????????????????????allow-transfer?{?mynet;?}; ????????????????????file?"mt.com.zone"; ????????????};

?? ??? ?named-checkconf
?? ??? ?rndc reload
?? ?2.slave:192.168.4.109
?? ??? ?dig -t axfr mt.com @192.168.4.100
?? ??? ?
五.bind view 視圖
?? ?Router:eth0:外網(wǎng)--eth1:內(nèi)網(wǎng)
?? ?對內(nèi)部一個(gè)服務(wù)器的解析，內(nèi)網(wǎng)的解析為內(nèi)網(wǎng)地址，外網(wǎng)的需要解析為外網(wǎng)的ip
?? ?//brain-split ：同一個(gè)主機(jī)名對內(nèi)網(wǎng)和外網(wǎng)解析成不同的ip地址
?? ?

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

????view?VIEW_NAME?{ ????????zone? ????????zone ????????zone ????} ????? ????view?internal?IN?{ ????????match-clients?{?192.168.1.0/24;?}; ????????zone?"mt.com"?IN?{ ????????????type?master;? ????????????file?"mt.com/internal"; ????????}; ????}; ????view?external?IN?{ ????????match-clients?{?any;?}; ????????zone?"mt.com"?IN?{ ????????????type?master; ????????????file?"mt.com/external"; ????????}; ????};

? ? ? ??

本文轉(zhuǎn)自MT_IT51CTO博客，原文鏈接：http://blog.51cto.com/hmtk520/1983910，如需轉(zhuǎn)載請自行聯(lián)系原作者

總結(jié)

以上是生活随笔為你收集整理的dns详解（二）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。