DNS主辅服务器的建立及acl和view的运用51CTO博客 - 超凡娱乐

DNS主辅服务器的建立及acl和view的运用51CTO博客

2019年04月17日11时37分45秒 | 作者: 灵寒 | 标签: 运用,效劳,恳求 | 浏览: 2840

方针:

1.成功树立主从DNS效劳器,完成正向反向解析

2.主DNS效劳器只答应从DNS效劳器的区域传送的恳求,而从DNS效劳器不能进行区域传送

3.域名解析恳求的转发

4.acl和view的运用


Master DNS Server:192.168.0.22

Slave DNS Server:192.168.0.23

解析的域为 flyence.com


一.  树立主DNS效劳器

1. 装置bind

yum install bind –y


2. 发动named效劳

Service named start


3.修正主装备文件/etc/named.conf,将下列3行注释

//  listen-on port 53 { 127.0.0.1; };
//  listen-on-v6 port 53 { ::1; };
//  allow-query   { localhost; };


4. 修正/etc/named.rfc1912.zones,树立正向解析区域

zone "flyence.com" IN {
   type master;
    file "flyence.com";
};


5.树立/var/named/flyence.com文件

$TTL 600
@ IN  SOA dns.flyence.com.  admin.flyence.com. (
    2014032301 ; serial
    2H     ; refresh (2 hours)
    10M    ; retry (10 minutes)
    7D     ; expire (1 week)
    2H     ; minimum (2 hours)
)
  IN  NS  dns
  IN  NS  dns2   ;辅佐DNS效劳器的IP地址
  IN  MX 10 mail
dns IN  A 192.168.0.22
dns2  IN  A 192.168.0.23
mail  IN  A 192.168.0.100
www   IN  A 192.168.0.101
www   IN  A 192.168.0.102
music IN  CNAME www


6.修正/var/named/flyence.com文件特点

chmod 640 /var/named/flyence.com
chown :named /var/named/flyence.com


7. 修正/etc/named.rfc1912.zones,树立反向解析区域

zone "0.168.192.in-addr.arpa" IN {
    type master;
    file "192.168.0";
};


8. 创立/var/named/192.168.0

$TTL 600
@ IN  SOA dns.flyence.com.  admin.flyence.com. (
    2014032301
    2H
    10M
    7D
    2H
)
  IN  NS  dns.flyence.com.
  IN  NS  dns2.flyence.com.
22  IN  PTR dns.flyence.com.
23  IN  PTR dns2.flyence.com.
100 IN  PTR mail.flyence.com.
101 IN  PTR www.flyence.com.
102 IN  PTR www.flyence.com.


9. 修正/var/named/192.168.0文件特点

chmod 640 /var/named/192.168.0
chown :named /var/named/192.168.0


10. 从头载入装备文件并测验

rndc reload


11. 测验



二. 树立辅佐DNS效劳器

1. 装置bind

yum install bind –y


2. 发动named效劳

Service named start


3.修正主装备文件/etc/named.conf,将下列3行注释

//   listen-on port 53 { 127.0.0.1; };
//   listen-on-v6 port 53 { ::1; };
//   allow-query   { localhost; };


4. 修正/etc/named.rfc1912.zones,树立正向及反向解析区域

zone "flyence.com" IN {
   type slave;
   file "slave/flyence.com";
   masters {  192.168.0.22;  };
};
zone "0.168.192.in-addr.arpa" IN {
    type slave;
    file "slave/192.168.0";
  masters {  192.168.0.22;  };
};


5.从头读取主DNS效劳器装备文件

rndc reload


6.测验



三. 装备allow-transfer

1. 主DNS只答应从DNS效劳器的区域传送恳求

在/etc/named.rfc1912.zones

zone "flyence.com" IN {
    type master;
    file "flyence.com";
    allow-transfer { 192.168.0.23; };
};
zone "0.168.192.in-addr.arpa" IN {
    type master;
    file "192.168.0";
    allow-transfer { 192.168.0.23; };
};


2.测验,从本机恳求彻底区域传送


3. 辅佐DNS效劳器不答应任何人的区域传送恳求

zone "flyence.com." IN {
    type slave;
    file "slaves/flyence.com";
    masters{ 192.168.0.22; };
    allow-transfer{ none; };
};
zone "0.168.192.in-addr.arpa" IN {
    type slave;
    file "slaves/192.168.0";
    masters{ 192.168.0.22; };
    allow-transfer{ none; };
};


4.测验,从本机恳求彻底区域传送


四. 域名解析恳求的转发


当时在辅佐DNS效劳器向主DNS效劳器恳求解析“baidu.com.”的时分,是不能得到成果的


首先要确保转发恳求的效劳器有必要为恳求者供给递归查询,默许是敞开的。

检查/etc/named.conf中的options选项中应该有一项是

recursion yes;

没有的话就加上。


1. 在主DNS效劳器的/etc/named.conf中的options中加上两行

forwarders { 192.168.0.1; };
forward only;

留意在这里forwarders中的IP因人而异,是你要将恳求转发至的效劳器


2. 树立解析域zone=,能够树立在/etc/named.conf或在/etc/named.rfc1912.zones里。这次试验将它树立在/etc/named.conf中。

zone "baidu.com." IN {
   type forward;
   forwarders{ 192.168.0.1; };
   forward only;
};


3. 重读装备文件,并在辅佐DNS效劳器上测验。

rndc reload


五. 运用acl拜访操控

在第三步中,对allow-transfer进行了设定,在这里能够运用acl来进行组设定


1. 在/etc/named.conf的最上方增加acl

acl allowaxfr {
  192.168.0.22;
  192.168.0.23;
};


2. 在/etc/named.rfc1912.zones中修正allow-transfer

zone "flyence.com" IN {
    type master;
    file "flyence.com";
    allow-transfer { allowaxfr; };
};

在反向解析中也这样修正。


3. 重读装备文件并测验

这次答应本机和辅佐DNS进行彻底传送


六. 运用view完成智能DNS解析

当运用view时,一切区域都有必要在view中,包含根。则在/etc/named.conf中的根域有必要搬到到/etc/named.rfc1912.zones中。


详细的用法

view VIEW_NAME {
  match-clients{ .. };
  zone ".." IN {
    ...
  };
}


192.168.0.23/32恳求mail.flyence.com的IP时,显现192.168.0.100

其他一切主机恳求mail.flyence.com的IP时,显现192.168.0.200


1. 将/etc/named.conf中的根域移动到/etc/named.rfc1912.zones中,并运用view

view "view1" {
  match-clients{ 192.168.0.23/32; };
  zone "." IN {
    type hint;
    file "named.ca";
  };
  zone "localhost.localdomain" IN {
    type master;
    file "named.localhost";
    allow-update { none; };
  };
  zone "localhost" IN {
    type master;
    file "named.localhost";
    allow-update { none; };
  };
  zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.a  rpa" IN {
    type master;
    file "named.loopback";
    allow-update { none; };
  };
  zone "1.0.0.127.in-addr.arpa" IN {
    type master;
    file "named.loopback";
    allow-update { none; };
  };
  zone "0.in-addr.arpa" IN {
    type master;
    file "named.empty";
    allow-update { none; };
  };
  zone "flyence.com" IN {
    type master;
    file "flyence.com";
  };
  zone "0.168.192.in-addr.arpa" IN {
    type master;
    file "192.168.0";
  };
};
view "view2" {
  match-clients{ any; };
  zone "flyence.com" IN {
    type master;
    file "flyence2.com";
  };
};


2. 仿制/var/named/flyence.com为/var/named/flyence2.com,并将mx的A记载改为192.168.0.200

cp /var/named/flyence.com /var/named/flyence2.com


3. 修正/var/named/flyence2.com的权限和属组

chmod 640 /var/named/flyence2.com
chown :named /var/named/flyence2.com


4. 重读装备文件并进行测验

rndc reload

在192.168.0.23上

在192.168.2.134上测验




版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表超凡娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章