域名系統(tǒng)（DNS）的起源與發(fā)展、原理及解析流程
BIND是什么

WHO

WHEN

WHAT

WHY

WHERE

HOW

BUT

實(shí)訓(xùn)目的

1.掌握LINUX系統(tǒng)下主DNS服務(wù)器的配置
2.掌握LINUX系統(tǒng)下主從DNS服務(wù)器同步的配置方法
3.掌握LINUX系統(tǒng)下DNS正向解釋區(qū)域文件的配置方法
4.掌握LINUX系統(tǒng)下DNS反向解釋區(qū)域文件的配置方法
5.掌握DNS的常用檢測(cè)命令的使用方法

項(xiàng)目設(shè)計(jì)

前置

無

端口

:53

說明&命令

bind是DNS服務(wù)器軟件 ，服務(wù)名稱是named
正向代理和反向代理詳解（純小白必看 最好懂的白話文教程）
正向代理：小學(xué)生假裝大學(xué)生到小賣部買煙
反向代理：小學(xué)生從大學(xué)生手里買煙，大學(xué)生從小賣部進(jìn)貨

一、DNS正向解釋

1、準(zhǔn)備三臺(tái)虛擬機(jī)，分別作為主DNS，從DNS，以及客戶端

2、主從DNS（域名dns1）服務(wù)器上安裝DNS軟件包

[root@centos-a1 ~]# yum install bind -y [root@centos-a2 ~]# yum install bind -y

3、配置主DNS的主配文件，增加mmnl.edu的區(qū)域字段

bind9named.conf詳解
named.conf 詳解
bind服務(wù)4—主配置文件詳解
dnssec 詳解需要慢慢分析

// // named.conf // // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS // server as a caching only nameserver (as a localhost DNS resolver only). // // See /usr/share/doc/bind*/sample/ for example named configuration files. // // See the BIND Administrator's Reference Manual (ARM) for details about the // configuration located in /usr/share/doc/bind-{version}/Bv9ARM.html // 由 Red Hat 綁定包提供，用于配置 ISC BIND named(8) DNS // 服務(wù)器作為僅緩存的名稱服務(wù)器（僅作為 localhost DNS 解析器）。 // // 參見 /usr/share/doc/bind*/sample/ 例如命名的配置文件。 // // 有關(guān)位于 /usr/share/doc/bind-{version}/Bv9ARM.html 中的配置的詳細(xì)信息，請(qǐng)參閱 BIND 管理員參考手冊(cè) (ARM) options {設(shè)定全局配置選項(xiàng)和默認(rèn)值listen-on port 53 { 127.0.0.1; };指定在[$IP]地址上面的[$PORT]端口提供服務(wù),默認(rèn)為53listen-on-v6 port 53 { ::1; };在ipv6地址上監(jiān)聽directory "/var/named";服務(wù)器的工作目錄dump-file "/var/named/data/cache_dump.db";當(dāng)執(zhí)行rndc dumpdb時(shí)服務(wù)器dump文件的路徑statistics-file "/var/named/data/named_stats.txt";執(zhí)行rndc stats將服務(wù)器的統(tǒng)計(jì)信息寫入文件,默認(rèn)為named.statsmemstatistics-file "/var/named/data/named_mem_stats.txt";默認(rèn)為named.memestats,當(dāng)退出的服務(wù)的時(shí)候?qū)⒎?wù)器的統(tǒng)計(jì)信息寫到文件中.recursing-file "/var/named/data/named.recursing";secroots-file "/var/named/data/named.secroots";allow-query { localhost; };指定哪個(gè)服務(wù)器可以進(jìn)行普通DNS查詢,如果在zone中指定,將覆蓋全局參數(shù),默認(rèn)允許來自全部主機(jī)的查詢./* - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.- If you are building a RECURSIVE (caching) DNS server, you need to enable recursion. - If your recursive DNS server has a public IP address, you MUST enable access control to limit queries to your legitimate users. Failing to do so willcause your server to become part of large scale DNS amplification attacks. Implementing BCP38 within your network would greatlyreduce such attack surface */* - 如果您正在構(gòu)建 AUTHORITATIVE DNS 服務(wù)器，請(qǐng)不要啟用遞歸。 - 如果您正在構(gòu)建 RECURSIVE（緩存）DNS 服務(wù)器，則需要啟用遞歸。- 如果您的遞歸 DNS 服務(wù)器有一個(gè)公共 IP 地址，您必須啟用訪問控制以限制對(duì)您的合法用戶的查詢。否則將導(dǎo)致您的服務(wù)器成為大規(guī)模 DNS 放大攻擊的一部分。在您的網(wǎng)絡(luò)中實(shí)施 BCP38 將大大減少此類攻擊面 *recursion yes;遞歸查詢dnssec-enable yes;是否支持DNSSEC開關(guān),默認(rèn)為yes，DNSSEC 是防止任何 DNS 攻擊媒介dnssec-validation yes;是否進(jìn)行DNSSEC確認(rèn)開關(guān),默認(rèn)為no,是解析服務(wù)器對(duì)響應(yīng)的記錄進(jìn)行驗(yàn)證的功能，必須是信任鏈可信的域名才行,默認(rèn)auto ，開啟這個(gè)功能遞歸服務(wù)器就會(huì)去驗(yàn)證是否可信任/* Path to ISC DLV key *//* ISC DLV 密鑰的路徑 */bindkeys-file "/etc/named.root.key";managed-keys-directory "/var/named/dynamic";pid-file "/run/named/named.pid";服務(wù)器記錄進(jìn)程ID的文件路徑.session-keyfile "/run/named/session.key"; };logging {定義bing服務(wù)的日志, channel -> categroy.channel default_debug {file "data/named.run";severity dynamic;}; };zone "." IN {定義一個(gè)區(qū)域type hint; 區(qū)域Type: master: 主域服務(wù) slave: 從域服務(wù) stub: 只復(fù)制主域的NS記錄,屬于BIND特有功能. hint: 設(shè)定初始化設(shè)置根域服務(wù)器所用的參數(shù). forward: 域轉(zhuǎn)發(fā)設(shè)置 delegation-only: 設(shè)定返回為NXDOMAIN?file "named.ca"; };include "/etc/named.rfc1912.zones";表示當(dāng)前的dns服務(wù)器當(dāng)中，申明區(qū)域文件是誰(shuí)。 include "/etc/named.root.key";密鑰。當(dāng)dns服務(wù)器無法解析的時(shí)候，就會(huì)把請(qǐng)求發(fā)送到根dns上，但是根dns不允許被任何人訪問，于是需要一種認(rèn)證機(jī)制，這里的認(rèn)證就是密鑰

將全局里的監(jiān)聽I(yíng)P和允許誰(shuí)查詢改為any，將DNSSEC兩個(gè)選項(xiàng)關(guān)閉

listen-on port 53 { any; }; allow-query {any;}; dnssec-enable no; dnssec-validation no;

再增加mmnl.edu區(qū)域字段

zone "mmnl.edu" IN {type master;主域服務(wù)file "mmnl.edu.zone"; };

4、主DNS上創(chuàng)建區(qū)域文件（帶權(quán)限），并增加授權(quán)區(qū)域dns1，NS紀(jì)錄dns1，以及對(duì)應(yīng)的A記錄、web的A記錄和別名www

DNS服務(wù)詳解(解析+搭建)
DNS服務(wù)和BIND

[root@centos-a1 ~]# cd /var/named [root@centos-a1 named]# ll total 16 drwxrwx--- 2 named named 6 Feb 24 01:17 data drwxrwx--- 2 named named 6 Feb 24 01:17 dynamic -rw-r----- 1 root named 2253 Apr 5 2018 named.ca -rw-r----- 1 root named 152 Dec 15 2009 named.empty -rw-r----- 1 root named 152 Jun 21 2007 named.localhost -rw-r----- 1 root named 168 Dec 15 2009 named.loopback drwxrwx--- 2 named named 6 Feb 24 01:17 slaves [root@centos-a1 named]# cp named.localhost mmnl.edu.zone -p `必須加p拷貝，文件的屬組必須是named， 如果不加p，屬組會(huì)改變，那么域名解析將不可能成功` 會(huì)出現(xiàn)以下情況 [root@centos7-a3 ~]# ping www.mmnl.edu ping: www.mmnl.edu: Name or service not known [root@centos7-a3 ~]# curl www.mmnl.edu curl: (6) Could not resolve host: www.mmnl.edu; Unknown error [root@centos7-a3 ~]# nslookup www.mmnl.edu Server: 192.168.111.21 Address: 192.168.111.21#53** server can't find www.mmnl.edu: SERVFAIL $TTL 1D域名有效解析生存周期（一般指緩存時(shí)間） @ IN SOA @ rname.invalid. ( @：代表域名本身 SOA：SOA標(biāo)記（起始授權(quán)機(jī)構(gòu)的資源記錄，描述了域名的管理員、電子郵件地址和一些時(shí)間參數(shù)）0 ; serial配置文件修改版本（如：20190826）1D ; refresh更新頻率（從向主的查詢周期）1H ; retry更新失敗的重試時(shí)間周期1W ; expire無法更新時(shí)的失效周期3H ) ; minimum緩存服務(wù)器無法更新的失效時(shí)間NS @設(shè)置DNS服務(wù)器的域名A 127.0.0.1IPV4的域名IP解析記錄AAAA ::1IPV6的域名IP解析記錄 SOA(起始授權(quán)記錄)1、記錄提供有關(guān)dns區(qū)域工作方式的信息(描述域名的管理員、電子郵件地址、時(shí)間參數(shù))2、具體來說就是當(dāng)前主機(jī)具體負(fù)責(zé)哪個(gè)區(qū)域的解析 3、指定某個(gè)DNS服務(wù)提供解析NS 1、將自己的域名映射到DNS服務(wù)器上 2、將域名最終映射到哪一臺(tái)主機(jī)（由哪一臺(tái)主機(jī)去解析當(dāng)前所定義的域主機(jī)） 3、標(biāo)記DNS服務(wù)器注意：SOA是標(biāo)明了要解析的域、一個(gè)主服務(wù)器，、NS是標(biāo)明了本機(jī)的域名，多個(gè)服務(wù)器A (ipv4地址記錄)1、將主機(jī)名映射到ipv4地址2、這是正向域名解析地址，即將域名解析成IPCNAME (規(guī)范名稱)：記錄域別名PTR(指針記錄)1、將IPV4 IPV6地址映射到主機(jī)名用于反向DNS反向解析2、反向解析是將IP地址解析為域名AAAA (IPV6 地址記錄) ：資源記錄（四A記錄）將主機(jī)名映射到ipv6地址 MX （郵件交換記錄）： 標(biāo)記郵件服務(wù)器serial number: 序列號(hào) 定義當(dāng)前使用的數(shù)據(jù)序列號(hào) sn遵循“年+月+日+編號(hào)” 主和從的更新依據(jù) refresh： 定義檢查間隔時(shí)間 （上次和這次變化的時(shí)間） retry： 重試時(shí)間 < 檢查時(shí)間> expire: 過期時(shí)間 緩存放多久過期 negative answer ttl: 否定答案的緩存時(shí)長(zhǎng)（沒有指定生存期的數(shù)據(jù)可以保存在數(shù)據(jù)中的時(shí)間及TTL值）存放不能解析的域名，下次訪問直接返回不能解析時(shí)間單位：M(分鐘)、H(小時(shí))、D(天)、W(周)，默認(rèn)單位是秒

配置過程詳見
DNS中NS和SOA區(qū)別

$TTL 1D @ IN SOA mmnl.edu. rname.invalid. (0 ; serial1D ; refresh1H ; retry1W ; expire3H ) ; minimum @ IN NS dns1.mmnl.edu. dns1 IN A 192.168.111.21 web IN A 192.168.111.10 www IN CNAME web

5、啟動(dòng)DNS服務(wù)并設(shè)置自動(dòng)運(yùn)行，檢測(cè)DNS服務(wù)監(jiān)聽端口

[root@centos-a1 named]# systemctl start named [root@centos-a1 named]# systemctl enable named Created symlink from /etc/systemd/system/multi-user.target.wants/named.service to /usr/lib/systemd/system/named.service. [root@centos-a1 named]# netstat -an | grep :53 tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN tcp 0 0 192.168.122.1:53 0.0.0.0:* LISTEN tcp 0 0 192.168.111.21:42389 192.203.230.10:53 TIME_WAIT tcp 0 0 192.168.111.21:59742 192.203.230.10:53 TIME_WAIT tcp6 0 0 ::1:53 :::* LISTEN udp 0 0 127.0.0.1:53 0.0.0.0:* udp 0 0 192.168.122.1:53 0.0.0.0:* udp 0 0 0.0.0.0:5353 0.0.0.0:* udp6 0 0 ::1:53 :::*

如果啟動(dòng)失敗，嘗試檢查配置文件

[root@centos-a1 named]# named-checkconf /etc/named.conf [root@centos-a1 named]# named-checkzone mmnl.edu /var/named/mmnl.edu.zone zone mmnl.edu/IN: loaded serial 0 OK

6、配置客戶端的DNS地址指向主DNS服務(wù)器（配置前測(cè)試域名）

[root@centos7-a3 ~]# nslookup localhost Server: 192.168.111.21 Address: 192.168.111.21#53

7、使用ping命令測(cè)試內(nèi)網(wǎng)以及外網(wǎng)域名解釋，查看確認(rèn)

[root@centos7-a3 ~]# ping www.mmnl.edu PING www.mmnl.edu (192.168.111.10) 56(84) bytes of data. From centos7-a3 (192.168.111.23) icmp_seq=1 Destination Host Unreachable From centos7-a3 (192.168.111.23) icmp_seq=2 Destination Host Unreachable From centos7-a3 (192.168.111.23) icmp_seq=3 Destination Host Unreachable From centos7-a3 (192.168.111.23) icmp_seq=4 Destination Host Unreachable ^C --- www.mmnl.edu ping statistics --- 5 packets transmitted, 0 received, +4 errors, 100% packet loss, time 4002ms

8、使用nslookup命令測(cè)試內(nèi)網(wǎng)以及外網(wǎng)域名解釋，查看確認(rèn)

nslookup命令詳解

[root@centos7-a3 ~]# nslookup www.mmnl.edu Server: 192.168.111.21 Address: 192.168.111.21#53Name: www.mmnl.edu Address: 192.168.111.10 [root@centos7-a3 ~]# nslookup www.baidu.com Server: 192.168.111.21 Address: 192.168.111.21#53Non-authoritative answer: www.baidu.com canonical name = www.a.shifen.com. Name: www.a.shifen.com Address: 14.215.177.38 Name: www.a.shifen.com Address: 14.215.177.39

9、使用dig命令測(cè)試內(nèi)網(wǎng)以及外網(wǎng)域名解釋，查看確認(rèn)

dig命令
dig命令詳解
工控網(wǎng)絡(luò)基礎(chǔ)入門篇之如何用 Dig命令檢查域名的解析
F5 GTM DNS 知識(shí)點(diǎn)和實(shí)驗(yàn) 3 -加速dns解析
wireshark篩選dhcp包_使用wireshark抓包工具，對(duì)DHCP、HTTP、DNS的數(shù)據(jù)包進(jìn)行分析

[root@centos7-a3 ~]# dig www.mmnl.edu +short 192.168.111.10 [root@centos7-a3 ~]# dig www.baidu.com +short www.a.shifen.com. 14.215.177.39 14.215.177.38 [root@centos7-a3 ~]# dig www.baidu.com; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.9 <<>> www.baidu.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36871 ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 5, ADDITIONAL: 6 QR：查詢/.響應(yīng) Query/Response，指明數(shù)據(jù)包是查詢還是響應(yīng) AA：權(quán)威應(yīng)答 Authoritative Answer，表示由域內(nèi)權(quán)威域名服務(wù)器發(fā)出的 TC：截?cái)?Truncation，指明響應(yīng)太長(zhǎng)，無法裝入數(shù)據(jù)包而被截?cái)?RD：期望遞歸 Recursion Desired，表示客戶端在目標(biāo)服務(wù)器不含請(qǐng)求信息時(shí)要求遞歸查詢 RA：可用遞歸 Recursion Available，表示域名服務(wù)器支持遞歸查詢 Z：保留 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.baidu.com. IN A;; ANSWER SECTION: www.baidu.com. 291 IN CNAME www.a.shifen.com. www.a.shifen.com. 300 IN A 14.215.177.39 www.a.shifen.com. 300 IN A 14.215.177.38;; AUTHORITY SECTION: a.shifen.com. 293 IN NS ns3.a.shifen.com. a.shifen.com. 293 IN NS ns1.a.shifen.com. a.shifen.com. 293 IN NS ns2.a.shifen.com. a.shifen.com. 293 IN NS ns4.a.shifen.com. a.shifen.com. 293 IN NS ns5.a.shifen.com.;; ADDITIONAL SECTION: ns1.a.shifen.com. 293 IN A 110.242.68.42 ns5.a.shifen.com. 293 IN A 180.76.76.95 ns3.a.shifen.com. 293 IN A 112.80.255.253 ns2.a.shifen.com. 293 IN A 220.181.33.32 ns4.a.shifen.com. 293 IN A 14.215.177.229;; Query time: 47 msec ;; SERVER: 192.168.111.21#53(192.168.111.21) ;; WHEN: Mon Jun 20 12:09:17 CST 2022 ;; MSG SIZE rcvd: 271[root@centos7-a3 ~]# dig www.mmnl.edu; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.9 <<>> www.mmnl.edu ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31734 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.mmnl.edu. IN A;; ANSWER SECTION: www.mmnl.edu. 86400 IN A 192.168.111.10;; AUTHORITY SECTION: mmnl.edu. 86400 IN NS dns1.mmnl.edu.;; ADDITIONAL SECTION: dns1.mmnl.edu. 86400 IN A 192.168.111.21;; Query time: 1 msec ;; SERVER: 192.168.111.21#53(192.168.111.21) ;; WHEN: Mon Jun 20 12:10:50 CST 2022 ;; MSG SIZE rcvd: 92

10、測(cè)試百度域及主機(jī)的A、NS、MX記錄，查看確認(rèn)

[root@centos-a3 named]# dig -t A www.baidu.com +short www.a.shifen.com. 14.215.177.39 14.215.177.38 [root@centos-a3 named]# dig -t NS www.baidu.com +short www.a.shifen.com. [root@centos-a3 named]# dig -t MX www.baidu.com +short www.a.shifen.com. [root@centos7-a3 ~]# dig -t A www.mmnl.edu +short 192.168.111.10 [root@centos7-a3 ~]# dig -t NS www.mmnl.edu +short [root@centos7-a3 ~]# dig -t MX www.mmnl.edu +short

11、配置主DNS服務(wù)器關(guān)閉遞歸查詢，測(cè)試內(nèi)網(wǎng)以及外網(wǎng)域名解釋，對(duì)比結(jié)果，確認(rèn)權(quán)威應(yīng)答

什么是遞歸查詢，迭代查詢？
DNS的遞歸查詢和迭代查詢

[root@centos-a1 named]# vim /etc/named.conf recursion no;關(guān)閉遞歸查詢后，bind采用迭代查詢 [root@centos-a1 named]# systemctl restart named [root@centos7-a3 ~]# dig www.mmnl.edu @192.168.111.21; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.9 <<>> www.mmnl.edu @192.168.111.21 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25067 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2 ;; WARNING: recursion requested but not available `報(bào)錯(cuò)：遞歸請(qǐng)求但不可用，即有rd，但沒ra` ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.mmnl.edu. IN A;; ANSWER SECTION: www.mmnl.edu. 86400 IN A 192.168.111.10;; AUTHORITY SECTION: mmnl.edu. 86400 IN NS dns1.mmnl.edu.;; ADDITIONAL SECTION: dns1.mmnl.edu. 86400 IN A 192.168.111.21;; Query time: 0 msec ;; SERVER: 192.168.111.21#53(192.168.111.21) ;; WHEN: Mon Jun 20 12:43:29 CST 2022 ;; MSG SIZE rcvd: 92[root@centos7-a3 ~]# dig www.baidu.com @192.168.111.21; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.9 <<>> www.baidu.com @192.168.111.21 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: `REFUSED`, id: 45394 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; WARNING: recursion requested but not available `同樣報(bào)錯(cuò)，但是refused，因?yàn)殛P(guān)閉了遞歸查詢，所以客戶端無法向服務(wù)器查詢` ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.baidu.com. IN A;; Query time: 0 msec ;; SERVER: 192.168.111.21#53(192.168.111.21) ;; WHEN: Mon Jun 20 12:43:31 CST 2022 ;; MSG SIZE rcvd: 42

二、DNS反向解釋

反向DNS和PTR記錄

1、編輯主DNS的編輯配置，增加域名反向解釋區(qū)域字段

[root@centos-a1 ~]# vim /etc/named.conf zone "111.168.192.in-addr.arpa" IN {type master;file "192.168.111.zone"; };

2、主DNS上創(chuàng)建反解區(qū)域文件（帶權(quán)限），并增加授權(quán)區(qū)域dns1，NS記錄dns1，以及對(duì)應(yīng)的PTR記錄，重啟主DNS服務(wù)

[root@centos-a1 ~]# cd /var/named/ [root@centos-a1 named]# ll total 24 drwxrwx--- 2 named named 23 Jun 20 11:31 data drwxrwx--- 2 named named 60 Jun 20 13:04 dynamic -rw-r----- 1 root named 219 Jun 20 11:44 mmnl.edu.zone -rw-r----- 1 root root 152 Jun 20 10:38 mmnl.edu.zone.test -rw-r----- 1 root named 2253 Apr 5 2018 named.ca -rw-r----- 1 root named 152 Dec 15 2009 named.empty -rw-r----- 1 root named 152 Jun 21 2007 named.localhost -rw-r----- 1 root named 168 Dec 15 2009 named.loopback drwxrwx--- 2 named named 6 Feb 24 01:17 slaves [root@centos-a1 named]# cp named.loopback 192.168.111.zone -p [root@centos-a1 named]# vim 192.168.111.zone A 127.0.0.1AAAA ::1 $TTL 1D @ IN SOA mmnl.edu. rname.invalid. (0 ; serial1D ; refresh1H ; retry1W ; expire3H ) ; minimumIN NS dns1.mmnl.edu. dns1 IN A 192.168.111.21 21 IN PTR dns1.mmnl.edu. 10 IN PTR www.mmnl.edu.

3、使用nslookup命令測(cè)試域名反解，查看確認(rèn)

[root@centos7-a3 ~]# nslookup 192.168.111.21 21.111.168.192.in-addr.arpa name = dns1.mmnl.edu.

4、使用dig命令測(cè)試域名反解，查看確認(rèn)

[root@centos7-a3 ~]# dig -x 192.168.111.21 ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.9 <<>> -x 192.168.111.21 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2157 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;21.111.168.192.in-addr.arpa. IN PTR;; ANSWER SECTION: 21.111.168.192.in-addr.arpa. 86400 IN PTR dns1.mmnl.edu.;; AUTHORITY SECTION: 111.168.192.in-addr.arpa. 86400 IN NS dns1.mmnl.edu.;; ADDITIONAL SECTION: dns1.mmnl.edu. 86400 IN A 192.168.111.21;; Query time: 0 msec ;; SERVER: 192.168.111.21#53(192.168.111.21) ;; WHEN: Mon Jun 20 17:50:45 CST 2022 ;; MSG SIZE rcvd: 113

三、DNS主從配置

輔助域名服務(wù)器的概念和作用
輔域名服務(wù)器(SLAVE)-dns詳細(xì)解析
輔助DNS服務(wù)器提供區(qū)域冗余，能夠在這個(gè)區(qū)域的主服務(wù)器停止響應(yīng)的情況下為客戶端解析這個(gè)區(qū)域的DNS名稱
輔域名服務(wù)器(SLAVE)
英文叫做slave server(bind9以后）或secondary server(bind4)
輔助域名服務(wù)器使用一個(gè)叫域傳輸?shù)膹?fù)制過程，調(diào)入其他域名服務(wù)器的內(nèi)容。但通常情況下，數(shù)據(jù)是直接從主服務(wù)器上傳輸過來。使用輔助域名服務(wù)器的主要目的是實(shí)現(xiàn)容錯(cuò)和工作負(fù)載的分擔(dān)。
特點(diǎn)：
1、一個(gè)域內(nèi)可以由多個(gè)輔助域名服務(wù)器。
2、配置輔助域名服務(wù)器不需要編寫hosts文件，它從主域名服務(wù)器上得到。

1、主DNS上增加從DNS（dns2）的正解及反解記錄，并重啟服務(wù)

[root@centos-a1 named]# vim mmnl.edu.zone $TTL 1D @ IN SOA mmnl.edu. rname.invalid. (0 ; serial1D ; refresh1H ; retry1W ; expire3H ) ; minimumIN NS dns1.mmnl.edu.IN NS dns2.mmnl.edu. dns1 IN A 192.168.111.21 dns2 IN A 192.168.111.22 www IN A 192.168.111.10 web IN CNAME www [root@centos-a1 named]# vim 192.168.111.zone $TTL 1D @ IN SOA mmnl.edu. rname.invalid. (0 ; serial1D ; refresh1H ; retry1W ; expire3H ) ; minimumIN NS dns1.mmnl.edu.IN NS dns2.mmnl.edu. 21 IN PTR dns1.mmnl.edu. 22 IN PTR dns2.mmnl.edu. 10 IN PTR www.mmnl.edu. 10 IN PTR web.mmnl.edu. [root@centos-a1 named]# systemctl restart named `dig檢驗(yàn)` [root@centos-a1 named]# dig dns2.mmnl.edu @192.168.111.21 +short 192.168.111.22 [root@centos-a1 named]# dig -x 192.168.111.22 @192.168.111.21 +short dns2.mmnl.edu. `無誤`

2、從DNS上配置正解和反解區(qū)域字段（指向主），并啟動(dòng)服務(wù)

zone "mmnl.edu" IN {type slave;file "slaves/mmnl.edu.zone";masters { 192.168.111.21; };}; zone "111.168.192.in-addr.arpa" IN {type slave;file "slaves/192.168.111.zone";masters { 192.168.111.21; }; }; [root@centos-a2 slaves]# netstat -ltnp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1/systemd tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN 6995/X tcp 0 0 192.168.111.22:53 0.0.0.0:* LISTEN 62236/named tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 62236/named tcp 0 0 192.168.122.1:53 0.0.0.0:* LISTEN 6809/dnsmasq tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 6509/sshd tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 6508/cupsd tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 62236/named tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 6780/master tcp6 0 0 :::111 :::* LISTEN 1/systemd tcp6 0 0 :::6000 :::* LISTEN 6995/X tcp6 0 0 ::1:53 :::* LISTEN 62236/named tcp6 0 0 :::22 :::* LISTEN 6509/sshd tcp6 0 0 ::1:631 :::* LISTEN 6508/cupsd tcp6 0 0 ::1:953 :::* LISTEN 62236/named tcp6 0 0 ::1:25 :::* LISTEN 6780/master [root@centos-a2 slaves]# ll total 8 -rw-r--r-- 1 named named 410 Jun 20 20:03 192.168.111.zone -rw-r--r-- 1 named named 337 Jun 20 20:03 mmnl.edu.zone

查看區(qū)域文件會(huì)出現(xiàn)亂碼
詳見
Centos7 bind服務(wù)器主從同步，從服務(wù)器區(qū)域文件亂碼

3、設(shè)置客戶端的DNS地址指向從DNS服務(wù)器（或@服務(wù)器），測(cè)試域名解釋結(jié)果，查看確認(rèn)

[root@centos7-a3 ~]# nslookup localhost Server: 192.168.111.22 Address: 192.168.111.22#53Name: localhost Address: 127.0.0.1 Name: localhost Address: ::1 [root@centos7-a3 ~]# dig www.mmnl.edu @192.168.111.22 ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.9 <<>> www.mmnl.edu @192.168.111.22 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26671 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.mmnl.edu. IN A;; ANSWER SECTION: www.mmnl.edu. 86400 IN A 192.168.111.10;; AUTHORITY SECTION: mmnl.edu. 86400 IN NS dns1.mmnl.edu. mmnl.edu. 86400 IN NS dns2.mmnl.edu.;; ADDITIONAL SECTION: dns1.mmnl.edu. 86400 IN A 192.168.111.21 dns2.mmnl.edu. 86400 IN A 192.168.111.22;; Query time: 2 msec ;; SERVER: 192.168.111.22#53(192.168.111.22) ;; WHEN: Mon Jun 20 20:15:31 CST 2022 ;; MSG SIZE rcvd: 127

4、在主DNS上，增加ftp的A記錄，并重啟服務(wù)。客戶端測(cè)試ftp域名在從DNS服務(wù)器上的解釋，確認(rèn)結(jié)果（區(qū)域文件的序列號(hào)）

DNS 序列號(hào)概念
文件的序列號(hào)，當(dāng)修改文件后需要增加該值的大小，使得主DNS通知輔DNS服務(wù)器zone數(shù)據(jù)文件需要重新更新了。一般用修改當(dāng)天的時(shí)間和當(dāng)天第幾次修改就可以了

`正向` 2022062001 ; serial ftp IN A 192.168.111.11 [root@centos7-a3 ~]# dig ftp.mmnl.edu @192.168.111.22 +short 192.168.111.11

5、主DNS上每個(gè)區(qū)域設(shè)置為不允許更新數(shù)據(jù)（allow-update）

BIND配置文件詳解（轉(zhuǎn)）

zone "mmnl.edu" IN {type master;file "mmnl.edu.zone";allow-update { none; }; }; zone "111.168.192.in-addr.arpa" IN {type master;file "192.168.111.zone";allow-update { none; }; };

6、主DNS上正解區(qū)域設(shè)置指定傳送對(duì)象為從DNS服務(wù)器，反解區(qū)域指定傳送對(duì)象為其他設(shè)備（allow-transfer）

allow-transfer
設(shè)定哪臺(tái)主機(jī)允許和本地服務(wù)器進(jìn)行域傳輸。allow-transfer也可以設(shè)置在zone語(yǔ)句中，這樣全局options中的allow-transfer選項(xiàng)在這里就不起作用了。如果沒有設(shè)定，默認(rèn)值是允許和所有主機(jī)進(jìn)行域傳輸。

zone "mmnl.edu" IN {type master;file "mmnl.edu.zone";allow-update { none; };allow-transfer { 192.168.111.22; }; }; zone "111.168.192.in-addr.arpa" IN {type master;file "192.168.111.zone";allow-update { none; };allow-transfer { 192.168.111.222; }; };

7、在主DNS服務(wù)器上，增加ftp的PTR記錄，修改序號(hào)并重啟服務(wù)

`反向` 2022062001 ; serial 11 IN PTR ftp.mmnl.edu. `如果不修改序列號(hào)，則文件不會(huì)更新，會(huì)出現(xiàn)查詢?yōu)榭盏那闆r` [root@centos7-a3 ~]# dig -x 192.168.111.11 +short [root@centos7-a3 ~] 返回值為空 `所以必須修改序列號(hào)，使得從域更新文件` [root@centos7-a3 ~]# dig -x 192.168.111.11 +short ftp.mmnl.edu.

8、客戶端測(cè)試ftp域名反解在從DNS服務(wù)器上的解釋結(jié)果

[root@centos7-a3 ~]# dig -x 192.168.111.12 +short ftp.mmnl.edu. 查詢結(jié)果為之前的反解文件，說明從域未更新反向區(qū)域文件

9、主DNS上配置反解區(qū)域指定傳送到從DNS，再次測(cè)試ftp域名反解在從DNS服務(wù)器上解釋結(jié)果，查看確認(rèn)

zone "111.168.192.in-addr.arpa" IN {type master;file "192.168.111.zone";allow-update { none; };allow-transfer { 192.168.111.22; }; }; [root@centos7-a3 ~]# dig -x 192.168.111.11 @192.168.111.22 +short ftp.mmnl.edu.

自測(cè)

centos7 dns配置_CentOS7服務(wù)器配置課程自測(cè)題目（完整版）

安全&優(yōu)化

見下章

總結(jié)

以上是生活随笔為你收集整理的Linux实训项目——第十一章：基础DNS服务器与主从同步的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。