13 使用Bind提供域名解析服务

13 使用Bind提供域名解析服务

  • [13.1 DNS域名解析服务]

主服务器:在特定区域内具有唯一性,负责维护该区域内的域名与IP地址之间的对应关系。

从服务器:从主服务器中获得域名与IP地址的对应关系并进行维护,以防主服务器宕机等情况。

缓存服务器:通过向其他域名解析服务器查询获得域名与IP地址的对应关系,并将经常查询的域名信息保存到服务器本地,以此来提高重复查询时的效率。

  • 13.2 安装Bind服务程序

    BIND(Berkeley Internet Name Domain,伯克利因特网名称域)服务是全球范围内使用最广泛、最安全可靠且高效的域名解析服务程序。DNS域名解析服务作为互联网基础设施服务,其责任之重可想而知,因此建议大家在生产环境中安装部署bind服务程序时加上chroot(俗称牢笼机制)扩展包,以便有效地限制bind服务程序仅能对自身的配置文件进行操作,以确保整个服务器的安全。

    [[email protected] ~]# yum install bind-chroot
    

    主配置文件(/etc/named.conf):只有58行,而且在去除注释信息和空行之后,实际有效的参数仅有30行左右,这些参数用来定义bind服务程序的运行。

    区域配置文件(/etc/named.rfc1912.zones):用来保存域名和IP地址对应关系的所在位置。类似于图书的目录,对应着每个域和相应IP地址所在的具体位置,当需要查看或修改时,可根据这个位置找到相关文件。

    数据配置文件目录(/var/named):该目录用来保存域名和IP地址真实对应关系的数据配置文件。

    Linux系统中,bind服务程序的名称为named。首先需要在/etc目录中找到该服务程序的主配置文件,然后把第11行和第17行的地址均修改为any,分别表示服务器上的所有IP地址均可提供DNS域名解析服务,以及允许所有人对本服务器发送DNS查询请求。这两个地方一定要修改准确。

    [[email protected] ~]# vim /etc/named.conf

    1 //

    2 // named.conf

    3 //

    4 // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS

    5 // server as a caching only nameserver (as a localhost DNS resolver only).

    6 //

    7 // See /usr/share/doc/bind/sample/ for example named configuration files.

    8 //

    9

    10 options {

    11 listen-on port 53 { any; };

    12 listen-on-v6 port 53 { ::1; };

    13 directory "/var/named";

    14 dump-file "/var/named/data/cache_dump.db";

    15 statistics-file "/var/named/data/named_stats.txt";

    16 memstatistics-file "/var/named/data/named_mem_stats.txt";

    17 allow-query { any; };

    18

    19 /

    20 - If you are building an AUTHORITATIVE DNS server, do NOT enable re cursion.

    1,1 Top

    21 - If you are building a RECURSIVE (caching) DNS server, you need to enable

    22 recursion.

    23 - If your recursive DNS server has a public IP address, you MUST en able access

    24 control to limit queries to your legitimate users. Failing to do so will

    25 cause your server to become part of large scale DNS amplification

    26 attacks. Implementing BCP38 within your network would greatly

    27 reduce such attack surface

    28 /

    29 recursion yes;

    30

    31 dnssec-enable yes;

    32 dnssec-validation yes;

    33 dnssec-lookaside auto;

    34

    35 / Path to ISC DLV key */

    36 bindkeys-file "/etc/named.iscdlv.key";

    37

    38 managed-keys-directory "/var/named/dynamic";

    39

    40 pid-file "/run/named/named.pid";

    41 session-keyfile "/run/named/session.key";

    42 };

    43

    44 logging {

    45 channel default_debug {

    46 file "data/named.run";

    47 severity dynamic;

    48 };

    49 };

    50

    51 zone "." IN {

    52 type hint;

    53 file "named.ca";

    54 };

    55

    56 include "/etc/named.rfc1912.zones";

    57 include "/etc/named.root.key";

    58

    bind服务程序的区域配置文件(/etc/named.rfc1912.zones)用来保存域名和IP地址对应关系的所在位置。在这个文件中,定义了域名与IP地址解析规则保存的文件位置以及服务类型等内容,而没有包含具体的域名、IP地址对应关系等信息。服务类型有三种,分别为hint(根区域)、master(主区域)、slave(辅助区域),其中常用的master和slave指的就是主服务器和从服务器。将域名解析为IP地址的正向解析参数和将IP地址解析为域名的反向解析参数分别如图13-3和图13-4所示。

    图13-3 正向解析参数

    图13-4 反向解析参数

    下面的实验中会分别修改bind服务程序的主配置文件、区域配置文件与数据配置文件。如果在实验中遇到了bind服务程序启动失败的情况,而您认为这是由于参数写错而导致的,则可以执行named-checkconf命令和named-checkzone命令,分别检查主配置文件与数据配置文件中语法或参数的错误。

    • [13.2.1 正向解析实验]

    第1步:编辑区域配置文件。该文件中默认已经有了一些无关紧要的解析参数,旨在让用户有一个参考。我们可以将下面的参数添加到区域配置文件的最下面,当然,也可以将该文件中的原有信息全部清空,而只保留自己的域名解析信息:

    [[email protected] ~]# vim /etc/named.rfc1912.zones
    zone "linuxprobe.com" IN {
    type master;
    file "linuxprobe.com.zone";
    allow-update {none;};
    };
    

    第2步:编辑数据配置文件。我们可以从/var/named目录中复制一份正向解析的模板文件(named.localhost),然后把域名和IP地址的对应数据填写数据配置文件中并保存。在复制时记得加上-a参数,这可以保留原始文件的所有者、所属组、权限属性等信息,以便让bind服务程序顺利读取文件内容:

    [[email protected] ~]# cd /var/named/
    [[email protected] named]# ls -al named.localhost
    -rw-r-----. 1 root named 152 Jun 21 2007 named.localhost
    [[email protected] named]# cp -a named.localhost linuxprobe.com.zone
    

    编辑数据配置文件。在保存并退出后文件后记得重启named服务程序,让新的解析数据生效。考虑到正向解析文件中的参数较多,而且相对都比较重要.

    [[email protected] named]# vim linuxprobe.com.zone
    [[email protected] named]# systemctl restart named
    

    第3步:检验解析结果。为了检验解析结果,一定要先把Linux系统网卡中的DNS地址参数修改成本机IP地址,这样就可以使用由本机提供的DNS查询服务了。nslookup命令用于检测能否从DNS服务器中查询到域名与IP地址的解析记录,进而更准确地检验DNS服务器是否已经能够为用户提供服务。

    [[email protected] ~]# systemctl restart network
    [[email protected] ~]# nslookup
    > www.linuxprobe.com
    Server: 127.0.0.1
    Address: 127.0.0.1#53
    Name: www.linuxprobe.com
    Address: 192.168.10.10
    > bbs.linuxprobe.com
    Server: 127.0.0.1
    Address: 127.0.0.1#53
    Name: bbs.linuxprobe.com
    Address: 192.168.10.20
    
    • 13.2.2 反向解析实验

    第1步:编辑区域配置文件。在编辑该文件时,除了不要写错格式之外,还需要记住此处定义的数据配置文件名称,因为一会儿还需要在/var/named目录中建立与其对应的同名文件。反向解析是把IP地址解析成域名格式,因此在定义zone(区域)时应该要把IP地址反写,比如原来是192.168.10.0,反写后应该就是10.168.192,而且只需写出IP地址的网络位即可。把下列参数添加至正向解析参数的后面。

    [[email protected] ~]# vim /etc/named.rfc1912.zones
    zone "linuxprobe.com" IN {
    type master;
    file "linuxprobe.com.zone";
    allow-update {none;};
    };
    zone "10.168.192.in-addr.arpa" IN {
    type master;
    file "192.168.10.arpa";
    };
    

    第2步:编辑数据配置文件。首先从/var/named目录中复制一份反向解析的模板文件(named.loopback),然后把下面的参数填写到文件中。其中,IP地址仅需要写主机位,如图13-5所示。

    图13-5 反向解析文件中IP地址参数规范

    [[email protected] named]# cp -a named.loopback 192.168.10.arpa
    [[email protected] named]# vim 192.168.10.arpa
    [[email protected] named]# systemctl restart named
    

    第3步:检验解析结果。在前面的正向解析实验中,已经把系统网卡中的DNS地址参数修改成了本机IP地址,因此可以直接使用nslookup命令来检验解析结果,仅需输入IP地址即可查询到对应的域名信息。

    [[email protected] ~]# nslookup
    > 192.168.10.10
    Server: 127.0.0.1
    Address: 127.0.0.1#53
    10.10.168.192.in-addr.arpa name = ns.linuxprobe.com.
    10.10.168.192.in-addr.arpa name = www.linuxprobe.com.
    10.10.168.192.in-addr.arpa name = mail.linuxprobe.com.
    > 192.168.10.20
    Server: 127.0.0.1
    Address: 127.0.0.1#53
    20.10.168.192.in-addr.arpa name = bbs.linuxprobe.com.
    
  • [13.3 部署从服务器]

第1步:在主服务器的区域配置文件中允许该从服务器的更新请求,即修改allow-update {允许更新区域信息的主机地址;};参数,然后重启主服务器的DNS服务程序。

[[email protected] ~]# vim /etc/named.rfc1912.zones
zone "linuxprobe.com" IN {
type master;
file "linuxprobe.com.zone";
allow-update { 192.168.10.20; };
};
zone "10.168.192.in-addr.arpa" IN {
type master;
file "192.168.10.arpa";
allow-update { 192.168.10.20; };
};
[[email protected] ~]# systemctl restart named

第2步:在从服务器中填写主服务器的IP地址与要抓取的区域信息,然后重启服务。注意此时的服务类型应该是slave(从),而不再是master(主)。masters参数后面应该为主服务器的IP地址,而且file参数后面定义的是同步数据配置文件后要保存到的位置,稍后可以在该目录内看到同步的文件。

[[email protected] ~]# vim /etc/named.rfc1912.zones
zone "linuxprobe.com" IN {
type slave;
masters { 192.168.10.10; };
file "slaves/linuxprobe.com.zone";
};
zone "10.168.192.in-addr.arpa" IN {
type slave;
masters { 192.168.10.10; };
file "slaves/192.168.10.arpa";
};
[[email protected] ~]# systemctl restart named

第3步:检验解析结果。当从服务器的DNS服务程序在重启后,一般就已经自动从主服务器上同步了数据配置文件,而且该文件默认会放置在区域配置文件中所定义的目录位置中。随后修改从服务器的网络参数,把DNS地址参数修改成192.168.10.20,这样即可使用从服务器自身提供的DNS域名解析服务。最后就可以使用nslookup命令顺利看到解析结果了。

[[email protected] ~]# cd /var/named/slaves
[[email protected] slaves]# ls
192.168.10.arpa linuxprobe.com.zone
[[email protected] slaves]# nslookup
> www.linuxprobe.com
Server: 192.168.10.20
Address: 192.168.10.20#53
Name: www.linuxprobe.com
Address: 192.168.10.10
> 192.168.10.10
Server: 192.168.10.20
Address: 192.168.10.20#53
10.10.168.192.in-addr.arpa name = www.linuxprobe.com.
10.10.168.192.in-addr.arpa name = ns.linuxprobe.com.
10.10.168.192.in-addr.arpa name = mail.linuxprobe.com.
  • [13.4 安全的加密传输]
[[email protected] ~]# ls -al /var/named/slaves/
total 12
drwxrwx---. 2 named named 54 Jun 7 16:02 .
drwxr-x---. 6 root named 4096 Jun 7 15:58 ..
-rw-r--r--. 1 named named 432 Jun 7 16:02 192.168.10.arpa
-rw-r--r--. 1 named named 439 Jun 7 16:02 linuxprobe.com.zone
[[email protected] ~]# rm -rf /var/named/slaves/*

第1步:在主服务器中生成密钥。dnssec-keygen命令用于生成安全的DNS服务密钥,其格式为“dnssec-keygen [参数]”,常用的参数以及作用如表13-3所示。

表13-3 dnssec-keygen命令的常用参数

参数 作用
-a 指定加密算法,包括RSAMD5(RSA)、RSASHA1、DSA、NSEC3RSASHA1、NSEC3DSA等
-b 密钥长度(HMAC-MD5的密钥长度在1~512位之间)
-n 密钥的类型(HOST表示与主机相关)

使用下述命令生成一个主机名称为master-slave的128位HMAC-MD5算法的密钥文件。在执行该命令后默认会在当前目录中生成公钥和私钥文件,我们需要把私钥文件中Key参数后面的值记录下来,一会儿要将其写入传输配置文件中。

[[email protected] ~]# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST master-slave
Kmaster-slave.+157+46845
[[email protected] ~]# ls -al Kmaster-slave.+157+46845.*
-rw-------. 1 root root 56 Jun 7 16:06 Kmaster-slave.+157+46845.key
-rw-------. 1 root root 165 Jun 7 16:06 Kmaster-slave.+157+46845.private
[[email protected] ~]# cat Kmaster-slave.+157+46845.private
Private-key-format: v1.3
Algorithm: 157 (HMAC_MD5)
Key: 1XEEL3tG5DNLOw+1WHfE3Q==
Bits: AAA=
Created: 20170607080621
Publish: 20170607080621
Activate: 20170607080621

第2步:在主服务器中创建密钥验证文件。进入bind服务程序用于保存配置文件的目录,把刚刚生成的密钥名称、加密算法和私钥加密字符串按照下面格式写入到tansfer.key传输配置文件中。为了安全起见,我们需要将文件的所属组修改成named,并将文件权限设置得要小一点,然后把该文件做一个硬链接到/etc目录中。

[[email protected] ~]# cd /var/named/chroot/etc/
[[email protected] etc]# vim transfer.key
key "master-slave" {
algorithm hmac-md5;
secret "1XEEL3tG5DNLOw+1WHfE3Q==";
};
[[email protected] etc]# chown root:named transfer.key
[[email protected] etc]# chmod 640 transfer.key
[[email protected] etc]# ln transfer.key /etc/transfer.key

第3步:开启并加载Bind服务的密钥验证功能。首先需要在主服务器的主配置文件中加载密钥验证文件,然后进行设置,使得只允许带有master-slave密钥认证的DNS服务器同步数据配置文件:

[[email protected] ~]# vim /etc/named.conf
 1 //
 2 // named.conf
 3 //
 4 // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
 5 // server as a caching only nameserver (as a localhost DNS resolver only).
 6 //
 7 // See /usr/share/doc/bind*/sample/ for example named configuration files.
 8 //
 9 include "/etc/transfer.key";
 10 options {
 11 listen-on port 53 { any; };
 12 listen-on-v6 port 53 { ::1; };
 13 directory "/var/named";
 14 dump-file "/var/named/data/cache_dump.db";
 15 statistics-file "/var/named/data/named_stats.txt";
 16 memstatistics-file "/var/named/data/named_mem_stats.txt";
 17 allow-query { any; };
 18 allow-transfer { key master-slave; };
………………省略部分输出信息………………
[[email protected] ~]# systemctl restart named

至此,DNS主服务器的TSIG密钥加密传输功能就已经配置完成。此时清空DNS从服务器同步目录中所有的数据配置文件,然后再次重启bind服务程序,这时就已经不能像刚才那样自动获取到数据配置文件了。

[[email protected] ~]# rm -rf /var/named/slaves/*
[[email protected] ~]# systemctl restart named
[[email protected] ~]# ls  /var/named/slaves/

第4步:配置从服务器,使其支持密钥验证。配置DNS从服务器和主服务器的方法大致相同,都需要在bind服务程序的配置文件目录中创建密钥认证文件,并设置相应的权限,然后把该文件做一个硬链接到/etc目录中。

[[email protected] ~]# cd /var/named/chroot/etc
[[email protected] etc]# vim transfer.key
key "master-slave" {
algorithm hmac-md5;
secret "1XEEL3tG5DNLOw+1WHfE3Q==";
};
[[email protected] etc]# chown root:named transfer.key
[[email protected] etc]# chmod 640 transfer.key
[[email protected] etc]# ln transfer.key /etc/transfer.key

第5步:开启并加载从服务器的密钥验证功能。这一步的操作步骤也同样是在主配置文件中加载密钥认证文件,然后按照指定格式写上主服务器的IP地址和密钥名称。注意,密钥名称等参数位置不要太靠前,大约在第43行比较合适,否则bind服务程序会因为没有加载完预设参数而报错:

[[email protected] etc]# vim /etc/named.conf
 1 //
 2 // named.conf
 3 //
 4 // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
 5 // server as a caching only nameserver (as a localhost DNS resolver only).
 6 //
 7 // See /usr/share/doc/bind*/sample/ for example named configuration files.
 8 //
 9 include "/etc/transfer.key";
 10 options {
 11 listen-on port 53 { 127.0.0.1; };
 12 listen-on-v6 port 53 { ::1; };
 13 directory "/var/named";
 14 dump-file "/var/named/data/cache_dump.db";
 15 statistics-file "/var/named/data/named_stats.txt";
 16 memstatistics-file "/var/named/data/named_mem_stats.txt";
 17 allow-query { localhost; };
 18
 19 /*
 20 - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
 21 - If you are building a RECURSIVE (caching) DNS server, you need to enable
 22 recursion.
 23 - If your recursive DNS server has a public IP address, you MUST enable access
 24 control to limit queries to your legitimate users. Failing to do so will
 25 cause your server to become part of large scale DNS amplification
 26 attacks. Implementing BCP38 within your network would greatly
 27 reduce such attack surface
 28 */
 29 recursion yes;
 30
 31 dnssec-enable yes;
 32 dnssec-validation yes;
 33 dnssec-lookaside auto;
 34
 35 /* Path to ISC DLV key */
 36 bindkeys-file "/etc/named.iscdlv.key";
 37
 38 managed-keys-directory "/var/named/dynamic";
 39
 40 pid-file "/run/named/named.pid";
 41 session-keyfile "/run/named/session.key";
 42 };
 43 server 192.168.10.10
 44 {
 45 keys { master-slave; };
 46 };
 47 logging {
 48 channel default_debug {
 49 file "data/named.run";
 50 severity dynamic;
 51 };
 52 };
 53
 54 zone "." IN {
 55 type hint;
 56 file "named.ca";
 57 };
 58
 59 include "/etc/named.rfc1912.zones";
 60 include "/etc/named.root.key";
 61

第6步:DNS从服务器同步域名区域数据。现在,两台服务器的bind服务程序都已经配置妥当,并匹配到了相同的密钥认证文件。接下来在从服务器上重启bind服务程序,可以发现又能顺利地同步到数据配置文件了。

[[email protected] ~]# systemctl restart named
[[email protected] ~]# ls /var/named/slaves/
 192.168.10.arpa  linuxprobe.com.zone
  • [13.5 部署缓存服务器]

第1步:配置系统的双网卡参数。前面讲到,缓存服务器一般用于企业内网,旨在降低内网用户查询DNS的时间消耗。因此,为了更加贴近真实的网络环境,实现外网查询功能,我们需要在缓存服务器中再添加一块网卡,并按照表13-4所示的信息来配置出两台Linux虚拟机系统。而且,还需要在虚拟机软件中将新添加的网卡设置为“桥接模式”,然后设置成与物理设备相同的网络参数(此处需要大家按照物理设备真实的网络参数来配置,图13-6所示为以DHCP方式获取IP地址与网关等信息,重启网络服务后的效果如图13-7所示)。

表13-4 用于配置Linux虚拟机系统所需的参数信息

主机名称 操作系统 IP地址
缓存服务器 RHEL 7 网卡(外网):根据物理设备的网络参数进行配置(通过DHCP或手动方式指定IP地址与网关等信息)
网卡(内网):192.168.10.10
客户端 RHEL 7 192.168.10.20

图13-6 以DHCP方式获取网络参数

图13-7 查看网卡的工作状态

第2步:在bind服务程序的主配置文件中添加缓存转发参数。在大约第17行处添加一行参数“forwarders { 上级DNS服务器地址; };”,上级DNS服务器地址指的是获取数据配置文件的服务器。考虑到查询速度、稳定性、安全性等因素,这里使用的是北京市公共DNS服务器的地址210.73.64.1。如果大家也使用该地址,请先测试是否可以ping通,以免导致DNS域名解析失败。

[[email protected] ~]# vim /etc/named.conf

1 //

2 // named.conf

3 //

4 // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS

5 // server as a caching only nameserver (as a localhost DNS resolver only).

6 //

7 // See /usr/share/doc/bind*/sample/ for example named configuration files.

8 //

9 options {

10 listen-on port 53 { any; };

11 listen-on-v6 port 53 { ::1; };

12 directory "/var/named";

13 dump-file "/var/named/data/cache_dump.db";

14 statistics-file "/var/named/data/named_stats.txt";

15 memstatistics-file "/var/named/data/named_mem_stats.txt";

16 allow-query { any; };

17 forwarders { 210.73.64.1; };

………………省略部分输出信息………………

[[email protected] ~]# systemctl restart named

第3步:重启DNS服务,验证成果。把客户端主机的DNS服务器地址参数修改为DNS缓存服务器的IP地址192.168.10.10,如图13-8所示。这样即可让客户端使用本地DNS缓存服务器提供的域名查询解析服务。

图13-8 设置客户端主机的DNS服务器地址参数

在将客户端主机的网络参数设置妥当后重启网络服务,即可使用nslookup命令来验证实验结果(如果解析失败,请读者留意是否是上级DNS服务器选择的问题)。其中,Server参数为域名解析记录提供的服务器地址,因此可见是由本地DNS缓存服务器提供的解析内容。

[[email protected] ~]# nslookup
> www.linuxprobe.com
Server: 192.168.10.10
Address: 192.168.10.10#53

Non-authoritative answer:
Name: www.linuxprobe.com
Address: 113.207.76.73
Name: www.linuxprobe.com
Address: 116.211.121.154
> 8.8.8.8
Server: 192.168.10.10
Address: 192.168.10.10#53

Non-authoritative answer:
8.8.8.8.in-addr.arpa name = google-public-dns-a.google.com.
Authoritative answers can be found from:
in-addr.arpa nameserver = f.in-addr-servers.arpa.
in-addr.arpa nameserver = b.in-addr-servers.arpa.
in-addr.arpa nameserver = a.in-addr-servers.arpa.
in-addr.arpa nameserver = e.in-addr-servers.arpa.
in-addr.arpa nameserver = d.in-addr-servers.arpa.
in-addr.arpa nameserver = c.in-addr-servers.arpa.
a.in-addr-servers.arpa internet address = 199.212.0.73
a.in-addr-servers.arpa has AAAA address 2001:500:13::73
b.in-addr-servers.arpa internet address = 199.253.183.183
b.in-addr-servers.arpa has AAAA address 2001:500:87::87
c.in-addr-servers.arpa internet address = 196.216.169.10
c.in-addr-servers.arpa has AAAA address 2001:43f8:110::10
d.in-addr-servers.arpa internet address = 200.10.60.53
d.in-addr-servers.arpa has AAAA address 2001:13c7:7010::53
e.in-addr-servers.arpa internet address = 203.119.86.101
e.in-addr-servers.arpa has AAAA address 2001:dd8:6::101
f.in-addr-servers.arpa internet address = 193.0.9.1
f.in-addr-servers.arpa has AAAA address 2001:67c:e0::1
  • [13.6 分离解析技术]

多台服务器并分别部署在全球各地,然后再使用DNS服务的分离解析功能,即可让位于不同地理范围内的读者通过访问相同的网址,而从不同的服务器获取到相同的数据。例如,我们可以按照表13-5所示,分别为处于北京的DNS服务器和处于美国的DNS服务器分配不同的IP地址,然后让国内读者在访问时自动匹配到北京的服务器,而让海外读者自动匹配到美国的服务器

第1步:修改bind服务程序的主配置文件,把第11行的监听端口与第17行的允许查询主机修改为any。由于配置的DNS分离解析功能与DNS根服务器配置参数有冲突,所以需要把第51~54行的根域信息删除。

[[email protected] ~]# vim /etc/named.conf
………………省略部分输出信息………………
 44 logging {
 45 channel default_debug {
 46 file "data/named.run";
 47 severity dynamic;
 48 };
 49 };
 50
 51 zone "." IN {
 52 type hint;
 53 file "named.ca";
 54 };
 55
 56 include "/etc/named.rfc1912.zones";
 57 include "/etc/named.root.key";
 58
………………省略部分输出信息………………

第2步:编辑区域配置文件。把区域配置文件中原有的数据清空,然后按照以下格式写入参数。首先使用acl参数分别定义两个变量名称(china与american),当下面需要匹配IP地址时只需写入变量名称即可,这样不仅容易阅读识别,而且也利于修改维护。这里的难点是理解view参数的作用。它的作用是通过判断用户的IP地址是中国的还是美国的,然后去分别加载不同的数据配置文件(linuxprobe.com.china或linuxprobe.com.american)。这样,当把相应的IP地址分别写入到数据配置文件后,即可实现DNS的分离解析功能。这样一来,当中国的用户访问域名时,便会按照linuxprobe.com.china数据配置文件内的IP地址找到对应的服务器。

[[email protected] ~]# vim /etc/named.rfc1912.zones
1 acl "china" { 122.71.115.0/24; };
2 acl "american" { 106.185.25.0/24;};
3 view "china"{
4 match-clients { "china"; };
5 zone "linuxprobe.com" {
6 type master;
7 file "linuxprobe.com.china";
8 };
9 };
10 view "american" {
11 match-clients { "american"; };
12 zone "linuxprobe.com" {
13 type master;
14 file "linuxprobe.com.american";
15 };
16 };

第3步:建立数据配置文件。分别通过模板文件创建出两份不同名称的区域数据文件,其名称应与上面区域配置文件中的参数相对应。

[[email protected] ~]# cd /var/named
[[email protected] named]# cp -a named.localhost linuxprobe.com.china
[[email protected] named]# cp -a named.localhost linuxprobe.com.american
[[email protected] named]# vim linuxprobe.com.china
$TTL 1D #生存周期为1天
@ IN SOA linuxprobe.com. root.linuxprobe.com. (
#授权信息开始: #DNS区域的地址 #域名管理员的邮箱(不要用@符号)
0;serial #更新序列号
1D;refresh #更新时间
1H;retry #重试延时
1W;expire #失效时间
3H;)minimum #无效解析记录的缓存时间
NS ns.linuxprobe.com. #域名服务器记录
ns IN A 122.71.115.10 #地址记录(ns.linuxprobe.com.)
www IN A 122.71.115.15 #地址记录(www.linuxprobe.com.)
[[email protected] named]# vim linuxprobe.com.american
$TTL 1D #生存周期为1天
@ IN SOA linuxprobe.com. root.linuxprobe.com. (
#授权信息开始: #DNS区域的地址 #域名管理员的邮箱(不要用@符号)
0;serial #更新序列号
1D;refresh #更新时间
1H;retry #重试延时
1W;expire #失效时间
3H;)minimum #无效解析记录的缓存时间
NS ns.linuxprobe.com. #域名服务器记录
ns IN A 106.185.25.10 #地址记录(ns.linuxprobe.com.)
www IN A 106.185.25.15 #地址记录(www.linuxprobe.com.)

第4步:重新启动named服务程序,验证结果。将客户端主机(Windows系统或Linux系统均可)的IP地址分别设置为122.71.115.1与106.185.25.1,将DNS地址分别设置为服务器主机的两个IP地址。这样,当尝试使用nslookup命令解析域名时就能清晰地看到解析结果,分别如图13-10与图13-11所示。

图13-10 模拟中国用户的域名解析操作

图13-11 模拟美国用户的域名解析

原文地址:https://www.cnblogs.com/gerenboke/p/12682724.html

时间: 2024-11-07 09:39:51

13 使用Bind提供域名解析服务的相关文章

使用BIND提供域名解析服务

使用BIND提供域名解析服务 - 简介 - 1. 部署主服务器 - 2. 部署主从服务器 - 2.1. 部署带安全加密传输的主从服务器 - 3. 部署缓存服务器 - 4. 分离解析技术 1 2 3 4 5 6 一.部署主服务器 基本过程 - 1. 编辑主配置文件 /etc/named.conf - 2. 编辑子配置文件(区域配置文件) /etc/named.rfc1912.zones - 3. 编辑正向解析配置文件 /var/named/linux.com.zone(自建) - 4. 编辑反向解

第13章 使用Bind提供域名解析服务

章节简述: 本章节将让您理解DNS服务程序的原理,学习正向解析与反向解析实验,掌握DNS主服务器.从服务器.缓存服务器的部署方法. 够熟练配置区域信息文件与区域数据文件,以及通过使用分离解析技术让不同来源的用户得到更合适的解析结果. DNS服务作为互联网的基础设施,我们还可以配置BIND服务程序支持TSIG安全加密传输机制,从而保障解析数据不被嗅探监听. 本章目录结构 13.1 了解域名解析服务 13.2 安装Bind服务程序 13.3 DNS服务的解析实验 13.3.1 正向解析实验 13.3

使用Bind提供域名解析服务(正向解析)

小知识: 一般来讲域名比IP地址更加的有含义.也更容易记住,所以通常用户更习惯输入域名来访问网络中的资源,但是计算机主机在互联网中只能通过IP识别对方主机,那么就需要DNS域名解析服务了. DNS域名解析服务,是用于解析域名与IP地址对应关系的服务,功能上可以实现正向解析与反向解析: 正向解析:根据主机名(域名)查找对应的IP地址. 反向解析:根据IP地址查找对应的主机名(域名). 本节我们主要讲正向解析. 好!开始我们的实验~ 首先我们要下载关于DNS的服务 输入命令:yum install

RHCE 第16节课 使用BIND提供域名解析服务

今天学习的是DNS服务和linux下提供DNS的软件服务BIND,感觉DNS不好理解,配置也比较难,需要多练习 原文地址:https://blog.51cto.com/12331786/2458506

bind安装域名解析服务,以及分离服务

安装DNS rpm -ivh bind*.rpm 进入/etc/named/chroot/etc 设置named.conf [[email protected] named]# vim /etc/named.conf // // named.conf // // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS // server as a caching only nameserver (as a l

为docker容器提供域名解析服务

https://www.jianshu.com/p/10a47b59853e 仅列出我用过的几种方式 yum方式部署 docker方式部署 环境介绍 ip role 172.16.91.222 dns server 172.16.91.166 client 172.16.91.167 client yum方式部署DNS服务 [物理部署] 具体安装过程如下: 使用下面的命令 yum install -y dnsmasq 打开/etc/hosts文件 ,添加要解析的域名,如 echo "172.16

第十四节课:第13章,部署DNS域名解析服务(bind服务)

(借鉴请改动)  第十二章收尾  12.2.nfs网络文件系统 RHEL7默认安装了nfs,配置文件在  /etc/export  写入格式:共享目录    允许的客户端(参数)  ro                       //只读  rw                      //读写   root_squash         //当NFS客户端以root管理员访问时,映射为NFS服务器的匿名用户 no_root_squash     //当NFS客户端以root管理员访问时,映

DNS域名解析服务(详细)

一.DNS的体系结构: DNS:域名解析系统. DNS由根域.顶级域和子域构成.根域主要负责管理顶级域,顶级域主要负责管理其下面子域. .代表DNS的根域. .com..edu等代表顶级域. sohu.com.chinaitlab.com是顶级域.com的子域. 区域:DNS服务器管辖的范围,每个区域都有对应数据库文件,DNS服务器可读取区域中数据库的内容,提供给客户端域名解析服务. DNS服务器是以区域为单位来管理域名空间的.一台DNS服务器可以管理一个或多个区域,而一个区域也可以有多台DNS

使用BIND提供DNS域名解析服务

DNS(Domain Name System,域名系统)是一项用于管理和解析域名与IP地址对应关系的技术.正向解析 : 将域名解析为IP地址 (最常用的一种工作方式)反向解析 : 将IP地址解析为域名 主服务器:在特定区域内具有唯一性,负责维护该区域内的域名与IP地址之间的对应关系:主服务器是用于管理域名和IP地址对应关系的真正服务器:从服务器:从主服务器中获得域名与IP地址的对应关系并进行维护,以防主服务器宕机等情况:同步主服务器的数据,减轻主服务器的负载压力,加快用户的请求速度:缓存服务器: