dns的另外一種實現(xiàn)方式：dnsmasq較為簡單請自行理解

1 2 3 4 5

一.主從架構(gòu) 二.子域授權(quán) 三.轉(zhuǎn)發(fā)區(qū)域 四.bind中的安全相關(guān)配置 五.bind?view視圖

一.主從架構(gòu)
從s擁有和主s一樣的解析庫
?? ?注意：從服務(wù)器是區(qū)域級別的概念，從s是一個或多個區(qū)域的從s
?? ?
?? ?一個區(qū)域可以為正向和反向分別配置不同的從s
?? ?AB可以互為主從：
?? ??? ?一個是正向的主，反向的從
?? ??? ?一個是反向的從，正向的主
?? ??? ?AB負責一個區(qū)域
?? ?負載均衡:怎樣實現(xiàn)都能提供解析
?? ??? ?方法：一半配置ns為A，另一半配置為B
?? ??? ?方法二：在父域中定義該域的兩個NS //這樣有人請求的時候，就會有兩個NS輪流響應
?? ?
配置實現(xiàn)：
?? ?Slave:
?? ??? ?1.定義區(qū)域
?? ??? ??? ?zone “zone——name“ IN {
?? ??? ??? ??? ?type slave;
?? ??? ??? ??? ?file "slaves/zone_name.zone";?? ?//只有slaves目錄中named組具有寫權(quán)限
?? ??? ??? ??? ?masters { MASTERIP; };
?? ??? ??? ?};
?? ??? ??? ?named-checkconf
?? ??? ?2.重載配置
?? ??? ??? ?rndc reload
?? ??? ??? ?systemctl reload rndc
?? ?Master：
?? ??? ?1.確保區(qū)域數(shù)據(jù)文件中為每個服務(wù)配置NS記錄?? ?
?? ??? ??? ?
實現(xiàn) 1.：
?? ?192.168.4.109：slave 正向
?? ?192.168.4.100：master 正向
?? ?
?? ?Slave: //配置成為正向的從s

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

????????yum?install?bind?-y ????????vim?/etc/named.conf???? ????????????listen-on?port?53?{?192.168.4.109;?}; ????????????關(guān)閉dnssec功能 ????????vim?/etc/named.rfc1912.zones ????????????zone?"mt.com"?IN?{ ????????????????????type?slave; ????????????????????file?"slaves/mt.com.zone"; ????????????????????masters?{?192.168.4.100;?}; ????????????}; ????????named-checkconf ????service?named?start ????master: ????????vim?mt.com.zone?//添加兩條記錄，已經(jīng)啟動的話，需要修改序列號 ????????????????????IN??????NS??????ns2 ????????????ns2?????IN??????A???????192.168.4.109 ????????named-checkzone?"mt.com"?mt.com.zone

?? ?slave:
?? ??? ?rndc reload //重載配置
?? ??? ?systemctl status named.service //查看狀態(tài)信息
?? ??? ?dig -t A www.mt.com @192.168.4.109
?? ??? ?cat /var/named/slaves/mt.com.zone //在CnetOS7上是二進制格式，在6上是文本格式可以直接查看
?? ?測試：在主s上添加一條記錄，并修改serial
?? ??? ?systemctl status named
?? ??? ??? ?sending notifies (serial 2017030102)
?? ??? ??? ?
?? ??? ??? ?
//第一次傳送成功，后期增量傳送未實現(xiàn)?? ?
?? ??? ?原因:192.168.6.109的主機的ip地址是dhcp獲取的，受dhcp的影響，導致默認dns不是主DNS
?? ?zone mt.com/IN: refused notify from non-master: 192.168.4.113#37131
?? ?
?? ?效果：master上修改序列號+rndc reload，systemctl named status //查看結(jié)果
?? ??? ?
?? ??? ?實驗2：
?? ??? ??? ?192.168.4.109：slave? 反向
?? ??? ??? ?192.168.4.100：master 反向
?? ??? ?slave:
?? ??? ??? ?vim /etc/named.rfc1912.zones?
?? ??? ??? ??? ?zone "4.168.192.in-addr.arpa" IN {
?? ??? ??? ??? ??? ??? ?type slave;
?? ??? ??? ??? ??? ??? ?file "slaves/192.168.4.zone";
?? ??? ??? ??? ??? ??? ?masters { 192.168.4.100; };
?? ??? ??? ??? ?};
?? ??? ??? ? named-checkconf
?? ??? ?master:
?? ??? ??? ?vim 192.168.4.zone
?? ??? ??? ??? ??? ??? ?IN????? NS????? ns2.mt.com.
?? ??? ??? ??? ?109???? IN????? PTR???? ns2.mt.com.
?? ??? ??? ?named-checkzone 4.168.192.in-addr.arpa 192.168.4.zone
?? ??? ??? ?rndc reload
?? ??? ?slave:
?? ??? ??? ?rndc reload
?? ??? ?master：添加一個記錄，修改serial
?? ??? ??? ?systemctl status named

?? ?On master：
?? ??? ?1.確保區(qū)域數(shù)據(jù)文件為每個從服務(wù)器配置NS記錄，并且在正向區(qū)域文件需要每個從服務(wù)器的NS記錄的主機名配置一個A記錄，且此后面的地址為真正的IP地址
?? ?手動區(qū)域傳送?? ?
?? ??? ?dig -t axfr 4.168.192.in-addr.arpa
失敗總結(jié)：?? ??? ?
?? ?1.注意：時間要同步
?? ??? ?ntpdate命令：像同一臺服務(wù)器同步時間
?? ?2.在從s上
?? ??? ?cat /etc/named.rfc1912.zones
?? ??? ??? ?zone "mt.com" IN {
?? ??? ??? ??? ?type slave;
?? ??? ??? ??? ?file "slaves/mt.com.zone";
?? ??? ??? ??? ?masters { 192.168.4.100; };
?? ??? ??? ??? ?allow-notify { 192.168.4.0/24; };? //允許這個網(wǎng)段內(nèi)的主機發(fā)送來的通知
?? ??? ??? ?};?? ??? ?
?? ??? ?
?? ??? ?開始的時候修改為：allow-notify { 192.168.4.100; }; //只修改為單個ip,是不可以的
?? ??? ?因為：master有多個ip:192.168.4.100,192.168.4.113,192.168.4.112等
?? ??? ??? ?而默認使用的發(fā)送接口，很有可能不是192.168.4.100
?? ??? ?
二.子域授權(quán)
?? ?正向解析的區(qū)域授權(quán)子域的方法

1 2 3 4

????????ops.mt.com.????????IN????NS????ns1.ops.mt.com. ????????ops.mt.com.????????IN????NS????ns2.ops.mt.com. ????????ns1.ops.mt.com.????IN????A???192.168.4.11 ????????ns2.ops.mt.com.????IN????A???192.168.4.12

?? ?//DNS一般會建立主從，主要是為了應付突發(fā)情況
?? ?
?? ?實現(xiàn)：
?? ??? ?192.168.4.110 :為父域
?? ??? ?192.168.4.100:為子域
?? ?1.192.168.4.100
?? ??? ?vim mt.com.zone
?? ??? ??? ?ops???? IN????? NS????? ns1.ops
?? ??? ??? ?ns1.ops IN????? A?????? 192.168.4.110
?? ??? ?rndc reload
?? ?2.192.168.4.110
vim named.conf?
?? ?listen-on port 53 { 192.168.4.110; };
?? ?allow-query???? { 192.168.4.0/24; }; //允許本地查詢
?? ?dnssec 關(guān)閉
sytemctl restart named?? ?
netstat -tunlp |grep named
vim named.rfc1912.zones
?? ?zone "ops.mt.com" IN {
?? ??? ??? ?type master;
?? ??? ??? ?file "ops.mt.com.zone";
?? ?};
named-checkconf?
==================================================

1 2 3 4 5 6 7 8 9 10 11 12

vim?ops.mt.com.zone ????$TTL?2500 ????$ORIGIN?ops.mt.com. ????@???????IN??????SOA?????ns1.ops.mt.com.?admin.ops.mt.com.?(????? ????????????????????????????2018010101 ????????????????????????????1H ????????????????????????????10M ????????????????????????????1D ????????????????????????????2H?) ????????????IN??????NS??????ns1 ????ns1??????IN??????A???????192.168.4.110 ????www?????IN??????A???????192.168.4.109

?? ??? ?
chmod o= ops.com.zone?
chgrp named ops.com.zone?
rndc reload

?? ?3.測試
dig -t A www.ops.mt.com @192.168.4.109
dig -t NS ops.mt.com

三.轉(zhuǎn)發(fā)區(qū)域?//不查找根的折中方案，直接告訴你，mt.com區(qū)域的NS是誰
?? ?定義轉(zhuǎn)發(fā)
?? ??? ?注意：被轉(zhuǎn)發(fā)的服務(wù)器必須允許為當前服務(wù)做遞歸
?? ??? ?1.區(qū)域轉(zhuǎn)發(fā)；僅轉(zhuǎn)發(fā)對某特定區(qū)域的解析請求
?? ??? ??? ?zone "ZONE_NAME" IN {
?? ??? ??? ??? ?type forward;
?? ??? ??? ??? ?forward {first|only};
?? ??? ??? ??? ?forwarders {SERVER_IP};
?? ??? ??? ?};
?? ??? ??? ?
?? ??? ??? ?first:首先轉(zhuǎn)發(fā)；轉(zhuǎn)發(fā)器不在時，自行去迭代查詢
?? ??? ??? ?only:只轉(zhuǎn)發(fā)
?? ??? ?
?? ??? ?2.全局轉(zhuǎn)發(fā) //本地沒有定義的區(qū)域zone的查詢請求，統(tǒng)統(tǒng)轉(zhuǎn)給某轉(zhuǎn)發(fā)器
?? ??? ??? ?named.conf
?? ??? ??? ??? ?options {
?? ??? ??? ??? ??? ?foward only;
?? ??? ??? ??? ??? ?forwarders { 192.168.4.100; };?
?? ??? ??? ??? ??? ?...
?? ??? ??? ??? ?}
?? ??? ??? ?只要不是自己負責的區(qū)域，就轉(zhuǎn)發(fā)
?? ??? ??? ??? ?先查找zone，如果沒有定義，就直接轉(zhuǎn)發(fā)
?? ??? ??? ??? ?
?? ?
四.bind中的安全相關(guān)配置
?? ?acl:訪問控制列表；把一個或多個地址歸并為一個命名的集合，隨后通過此名稱即可對此集合內(nèi)的所有主機實現(xiàn)統(tǒng)一調(diào)用；
?? ?
?? ?acl acl_name {
?? ??? ?ip;
?? ??? ?net/prelen;
?? ?};
?? ?
?? ?示例:
?? ??? ?acl mynet {
?? ??? ??? ?192.168.4.0/24;
?? ??? ??? ?127.0.0.0/8;
?? ??? ?};
?? ??? ?
?? ??? ?bind的四個內(nèi)置acl
?? ??? ??? ?none：沒有一個主機
?? ??? ??? ?any：任意主機
?? ??? ??? ?local：本機
?? ??? ??? ?localnet:本機所在的IP所屬的網(wǎng)絡(luò)；
?? ?訪問控制指令：
?? ??? ?allow-query {}； 允許查詢的主機，白名單
?? ??? ?allow-transfer {};允許向哪些主機做區(qū)域傳送；默認向所有主機，master應該指定為從s，從s應該指定為none//因為從s不需要傳送給別人
?? ??? ??? ??? ??? ?;允許我向誰傳送
?? ??? ?//以上連個可以加載zone{單個區(qū)域}或者options{全局}中都可以
?? ??? ?allow-recursion {};允許哪些主機向當前DNS服務(wù)器發(fā)起遞歸請求的
?? ??? ?recursion yes ; 允許所有主機遞歸
?? ??? ??? ??? ?注意:只有允許遞歸的才允許轉(zhuǎn)發(fā)，否則你轉(zhuǎn)發(fā)過去，人家不給你轉(zhuǎn)發(fā)，沒吊用
?? ??? ?allow-update{ none; } ;DDNS,允許動態(tài)更新區(qū)域數(shù)據(jù)庫文件中的內(nèi)容
?? ??? ??? ??? ?建議關(guān)閉,會更改記錄
?? ??? ?notify yes //允許所有人給我發(fā)送通知
?? ??? ?allow-notify { 192.168.4.0/24; }; //記得通知我
?? ??? ?
?? ??? ?
示例1：禁止區(qū)域傳送
?? ?1.master：192.168.4.100

1 2 3 4 5 6 7 8 9 10 11

????????vim?/etc/named.conf ????????????acl?mynet?{ ????????????????????192.168.4.100; ????????????????????192.168.4.111; ????????????}??????? ????????vim?named.rfc1912.zone ????????????zone?"mt.com"?IN?{ ????????????????????type?master; ????????????????????allow-transfer?{?mynet;?}; ????????????????????file?"mt.com.zone"; ????????????};

?? ??? ?named-checkconf
?? ??? ?rndc reload
?? ?2.slave:192.168.4.109
?? ??? ?dig -t axfr mt.com @192.168.4.100
?? ??? ?
五.bind view 視圖
?? ?Router:eth0:外網(wǎng)--eth1:內(nèi)網(wǎng)
?? ?對內(nèi)部一個服務(wù)器的解析，內(nèi)網(wǎng)的解析為內(nèi)網(wǎng)地址，外網(wǎng)的需要解析為外網(wǎng)的ip
?? ?//brain-split ：同一個主機名對內(nèi)網(wǎng)和外網(wǎng)解析成不同的ip地址
?? ?

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

????view?VIEW_NAME?{ ????????zone? ????????zone ????????zone ????} ????? ????view?internal?IN?{ ????????match-clients?{?192.168.1.0/24;?}; ????????zone?"mt.com"?IN?{ ????????????type?master;? ????????????file?"mt.com/internal"; ????????}; ????}; ????view?external?IN?{ ????????match-clients?{?any;?}; ????????zone?"mt.com"?IN?{ ????????????type?master; ????????????file?"mt.com/external"; ????????}; ????};

? ? ? ??

本文轉(zhuǎn)自MT_IT51CTO博客，原文鏈接：http://blog.51cto.com/hmtk520/1983910，如需轉(zhuǎn)載請自行聯(lián)系原作者

總結(jié)

以上是生活随笔為你收集整理的dns详解（二）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。