BIND:DNS主从服务器架构和安全控制详解

前提:

本篇文章以虚拟机中创建的CentOS 7系统主机配置为例进行叙述


主DNS服务器地址


172.16.49.2    CentOS 7


从DNS服务器地址


172.16.49.3    CentOS


使用二级域名


xuding.win

一、主-从DNS服务器配置

主DNS服务器:维护所负责解析的域数据库的服务器;读写操作均可进行;

从DNS服务器:从主DNS服务器那里或其它的从DNS服务器那里“复制”一份解析库;但只能进行读操作;

注意:从服务器是区域级别的概念,相对于某个区域配置的;

例如一台主服务器提供十个正向解析区域,而从其可能仅包含其中一个多个或全部区域

1.主从数据解析库同步操作的实施方式

(1)从服务器拉取数据

serial:序列号。数据库的版本号;主服务器数据库内容发生变化时,其版本号递增;

refresh:刷新时间间隔。从服务器每多久到主服务器检查序列号更新状况;

retry:重试时间间隔。 从服务器从主服务器请求同步解析库失败时,再次发起尝试请求的时间间隔;

expire:过期时长。从服务器始终联系不到主服务器时,多久之后放弃从主服务器同步数据;停止提供服务;

否定答案的缓存时长:协定产生

(2)主服务器”通知“从服务器随时更新数据:区域传送

全量传送:axfr,传送整个数据库;

增量传送:ixfr,仅传送变量的数据;

2.配置每个DNS的主配置文件/etc/named.conf的options段

==========================================================================

options{

listen-on port 53 { 127.0.0.1;172.16.49.*; };    /*"*"表示具体的本机地址*/

directory        "/var/named";

dump-file        "/var/named/data/cache_dump.db";

statistics-file"/var/named/data/named_stats.txt";

memstatistics-file"/var/named/data/named_mem_stats.txt";

//allow-query     { localhost; };

recursionyes;

dnssec-enableno;

dnssec-validationno;

dnssec-lookasideno;

===========================================================================

3.配置一个从区域:On Master(主服务器配置:172.16.49.2)

(1)增加从服务器数据信息记录

1)确保区域数据文件中为每个从服务配置NS记录,

2)在正向区域文件需要每个从服务器的NS记录的主机名配置一个A记录

且A后面的地址为真正的从服务器的IP地址;

实例:

增加两条记录

IN        NS        ns2

ns2        IN        A        172.16.49.3

(2)检查配置文件并重新加载配置文件

[[email protected]~]# named-checkzone xuding.win /var/named/xuding.win.zone

[[email protected]~]# rndc reload

4.配置一个从区域:OnSlave(从服务器:172.16.49.3)

(1)定义从区域:放置/salve/*下

zone"ZONE_NAME"  IN {

type  slave;

file  "slaves/ZONE_NAME.zone";

masters  { MASTER_IP; };

};

======================在/etc/named.rfc1912.zones中追加===========================

zone"xuding.win" IN {

typeslave;

file  "slaves/xuding.win.zone";

masters{ 172.16.49.2; };

};

==================================================================================

注意:该目录的权限和属主属组,所以专用于从服务器需要动态同步主服务器上的数据文件信息使用

(2)配置文件语法检查&&重载配置

#  named-checkconf

#   rndc  reload;或者systemctl  reload  named.service

此时会传输同步主服务器上的资源区域信息,

(3)指定本机为DNS服务器解析做测试

[[email protected] etc]# dig -t A  www.xuding.win  @172.16.49.3

注意:分布式系统一定要做时间要同步

四、BIND安全设置

1.acl:访问控制列表

把一个或多个地址归并一个命名的集合,随后通过此名称即可对此集全内的所有主机实现统一调用;

2.定义格式

在/etc/named.conf中先定义才能使用,且放在options之前

acl  acl_name {

ip;

net/prelen;

};

示例:

acl  mynet {

172.16.0.0/16;

127.0.0.0/8;

};

3.bind有四个内置的acl

none:没有一个主机;

any:任意主机;

local:本机;

localnet:本机所在的IP所属的网络;

4.访问控制指令:zone中配置

allow-query  {}; 允许查询的主机;白名单;

allow-transfer{};  允许向哪些主机做区域传送;默认为向所有主机;应该配置仅允许从服务器;

allow-recursion{}; 允许哪此主机向当前DNS服务器发起递归查询请求;

allow-update{}; DDNS,允许动态更新区域数据库文件中内容;

主-从DNS服务器配置思路总结:

1.安装配置主配置程序/etc/named.conf,使其能够监听本地的网卡

注释访问控制选项allow-query,此处默认只能本地通信

2.建立主从服务器之间的联系:

(1)主服务器:

1)/etc/named.rfs1912.zones中按标准格式设定本机为主

2)在/var/named/*.zone定义的文件增加两条记录,NS和A

(2)从服务器:

1)/etc/named.rfs1912.zones中按标准语法格式设定本机为从服务器,此处设置思路是IP间通信连接

本机类型为slave、file文件在哪里(默认要在/var/named/slave/*.zone)、master IP

2)/var/named/slave/*.zone为实际听不存放位置,动态可读写

3.运行过程需要注意的细节问题

(1)注意var/named/*.zone文件的属主、属组、权限

(2)named-checkconf、named-checkzone检查语法

(3)rndc reload;或者systemctl  reload named.service做重新加载配置

配置该文件关系总结:/etc/named.conf --->/etc/named.rfs1912.zones  --->/var/named/*.zone

--->  /var/named/slave/*.zone

时间: 2024-10-08 21:00:03

BIND:DNS主从服务器架构和安全控制详解的相关文章

DNS主从服务器架构的步骤

#yum install bind -y,安装完成之后,#vim /etc/named.conf.named.conf的样子如下: 然后就对应写里面三个红名的文件. namd.ca很简单,这是设定根的服务器,#dig -t NS . > /usr/named/named.ca即可. localhost.zone的写法如下(这里添加的注释在实际操作的时候是不能有的,文件不认识#): named.local的写法如下(这里添加的注释在实际操作的时候是不能有的,文件不认识#): 完事之后,把这三个文件

搭建DNS主从服务器实现反向解析,子域,转发,智能DNS及排错和互联网DNS架构实验

1基本知识点 DNS服务 DNS:Domain Name System 应用层协议C/S,53/udp, 53/tcpBIND:Bekerley Internat Name DomainISC (www.isc.org)本地名称解析配置文件:hosts DNS域名 根域一级域名:Top Level Domain: tldcom, edu, mil, gov, net, org, int,arpa三类:组织域.国家域(.cn, .ca, .hk, .tw).反向域二级域名三级域名最多127级域名I

使用Bind9搭建DNS主从服务器

一.前提    互联网中的主机是基于ip地址来联系通信的,而ip地址不太容易记住,所以为了方便访问网络中的主机,人们为主机分配一个名称.通过将每台主机的名称与 它的ip地址建立一个一对一的映射,在访问网络中的主机时,可以直接使用主机的名称.而提供这种映射与查询的系统就叫名称解析系统,现在常用的为DNS(Domin Name System)系统. 二.使用Bind9搭建DNS主从服务器 在实际的工作中,可能需要我们自己配置的就是本地DNS服务器. 一套完整的DNS需要提供正向解析与反向解析的功能.

缓存DNS服务器和主DNS服务器的快速搭建详解

缓存DNS服务器和主DNS服务器的快速搭建详解 一.设定配置内容假设我们已经在网上注册了wangej.com域名,得到的IP网络是172.16.12.0/24ns服务器是:172.16.12.1www服务器:172.16.12.1,另外一个地址:172.16.12.3mail服务器:172.16.12.2ftp主机在www服务器上,即ftp为www的别名 二.准备工作:这里我们使用bind97来搭建我们的DNS服务器,首先需要安装好bind97.i386.bind97-libs.i386.bin

linux redhat6.5 中 构建DNS主从服务器

DNS主从服务器简介:主DNS服务器: 维护所负责解析的域内解析库的服务器:解析库由管理维护从DNS服务器: 从主DNS服务器或其它的从DNS服务器那里"复制"(区域传递)一份解析库 首先在两台linux中 构建DNS服务器 DNS的构建之前的文章中有详细教程:http://blog.51cto.com/13630803/2114574下面开始配置 主从同步.1:将虚拟机1 作为主DNS 编辑它的区域文件named.rfc1912.zones配置 正反解析allow-transfer

Java开源生鲜电商平台-Java后端生成Token架构与设计详解(源码可下载)

Java开源生鲜电商平台-Java后端生成Token架构与设计详解(源码可下载) 目的:Java开源生鲜电商平台-Java后端生成Token目的是为了用于校验客户端,防止重复提交. 技术选型:用开源的JWT架构. 1.概述:在web项目中,服务端和前端经常需要交互数据,有的时候由于网络相应慢,客户端在提交某些敏感数据(比如按照正常的业务逻辑,此份数据只能保存一份)时,如果前端多次点击提交按钮会导致提交多份数据,这种情况我们是要防止发生的. 2.解决方法: ①前端处理:在提交之后通过js立即将按钮

hadoop大数据平台架构之DKhadoop详解

hadoop大数据平台架构之DKhadoop详解大数据的时代已经来了,信息的爆炸式增长使得越来越多的行业面临这大量数据需要存储和分析的挑战.Hadoop作为一个开源的分布式并行处理平台,以其高拓展.高效率.高可靠等优点越来越受到欢迎.这同时也带动了hadoop商业版的发行.这里就通过大快DKhadoop为大家详细介绍一下hadoop大数据平台架构内容.目前国内的商业发行版hadoop除了大快DKhadoop以外还有像华为云等.虽然发行方不同,但在平台架构上相似,这里就以我比较熟悉的dkhadoo

服务器TIME_WAIT和CLOSE_WAIT详解和解决办法

转载的服务器TIME_WAIT和CLOSE_WAIT详解和解决办法

Android官方架构组件:Lifecycle详解&迪士尼彩乐园网站架设原理分析

我们先将重要的这些类挑选出来: LifecycleObserver接口( Lifecycle观察者):实现该接口的类,通过注解的方式,可以通过被LifecycleOwner类的addObserver(LifecycleObserver o)方法注册,被注册后,LifecycleObserver便可以观察到LifecycleOwner的生命周期事件. LifecycleOwner接口(Lifecycle持有者):实现该接口的类持有生命周期(Lifecycle对象),该接口的生命周期(Lifecyc