DNS 子域授權和高級應用

DNS 基礎主從部分 http://www.www58058.com/12395

實驗環境：

    系統環境：Centos 6.7

    關閉SELINUX：setenforce 0 #立即生效   （實際是寬容模式）

    配置防火墻：iptables -F（清除防火墻規則）或者是關閉iptables

    DNS父域服務器的IP：192.168.1.7

    子域DNS服務器：192.168.1.5

    安裝好bind:yum -y install bind 

一 子域授權

    1.配置父域DNS主配置文件：/etc/named.conf  

    service named start 

    2.配置區域文件：/etc/named.rfc1912.zones

      在最后添加下面幾行   

        zone "test.com" IN {

          type master;

          file "test.com.zone";

        };

    3.配置區域解析庫文件：/var/named/test.com.zone  

        $TTL 86400

        $ORIGIN test.com.

        @       IN      SOA     ns1.test.com.   admin.test.com. (

                                2016030901

                                1H

                                5M

                                7D

                                1D )

                IN      NS      ns1

                IN      NS      ns2

        ns1     IN      A       192.168.1.7 

        ns2     IN      A       192.168.1.198

        www     IN      A       192.168.1.7

        *       IN      A       192.168.1.7  

    4.修改區域解析庫文件的權限并測試文件的語法有沒有錯誤

    cd /var/named/

    chmod 640 test.come.zone

    chown :named test.come.zone

    named-checkzone "test.com" /var/named/test.com.zone 

    5.啟動服務，測試解析是否正常

    service named start

    dig -t A www.test.com @192.168.1.7

    6.子域授權，在區域解析庫中添加子域的NS記錄和A記錄

    /var/named/test.com.zone

    最后添加2行    

    ops     IN      NS       ns1.ops

    ns1.ops IN      A       192.168.1.5

    添加完后重載

    rndc  reload

    rndc status

    7.配置子域的主配置文件:/etc/named.conf

      跟父域配置是一樣的

    8.配置子域區域文件：/etc/named.rfc1912.zones

        在最后添加下面幾行

        zone "ops.test.com" IN {

          type master;

          file "ops.test.com.zone";

        };

    9.配置子域區域解析庫文件：/var/named/ops.test.com.zone

        $TTL 86400

        $ORIGIN ops.test.com.

        @        IN      SOA     ns1.ops.test.com.   admin.ops.test.com. (

                                2016030901

                                1H

                                5M

                                7D

                                1D )

                IN      NS      ns1

                IN      NS      ns2

        ns1     IN      A       192.168.1.5

        ns2     IN      A       192.168.1.198

        www     IN      A       192.168.1.199

        *       IN      A       192.168.1.199

    10.啟動服務，并測試

    service named start (如果已經啟動過服務，直接rndc reload重載就可以了）

    dig -t A www.ops.test.com @192.168.1.5

    11.在父域DNS上測試

     dig -t A www.ops.test.com @192.168.1.7

    12. 在子域上定義轉發區域

        在區域文件上配置：vi /etc/named.rfc1912.zones      

        zone "test.com" IN {

                type forward;

                forward only;

                forwarders { 192.168.1.7; };

        };

    13.重載服務，在子域上測試

    rndc reload

二 bind中基礎的安全相關的配置

    acl: 把一個或多個地址歸并為一個集合，并通過一個統一的名稱調用；

    語法格式：

     acl acl_name {

     ip;

     ip;

     net/prelen;

     };

    bind有四個內置的acl:

     none: 沒有一個主機；

     any: 任意主機；

     local: 本機；

     localnet: 本機的IP同掩碼運算后得到的網絡地址；

    注意：只能先定義，后使用；因此，其一般定義在配置文件中options的前面；

    訪問控制的指令：

     allow-query {}： 允許查詢的主機；白名單；

     allow-transfer {}：允許區域傳送的主機；白名單；

     allow-recursion {}: 允許遞歸的主機；

     allow-update {}: 允許更新區域數據庫中的內容；

    1.定義acl，編輯/etc/named.conf,修改內容

     在options上添加全局配置    

    acl slaves {

            192.168.1.7;

            127.0.0.1;

    };

    2.編輯/etc/named.rfc1912.zones,將acl應用到test.com域，并測試

    在test.com域中添加 allow-query { 127.0.0.1;};

    rndc reload

    3.編輯/etc/named.rfc1912.zones，講acl應用到test.com域，并測試

    在test.com域中添加 allow-transfer { 127.0.0.1;};

    rndc reload

    dig -t AXFR test.com @192.168.1.7

三 bind view

  1.配置主配置文件：/etc/named.conf

    2.配置區域文件：/etc/named.rfc1912.zones 

    3.創建test.com.tencent解析庫文件

     直接復制test.com.zone，文件名字是test.com.tencent，并且做修改

     cp -a test.com.zone test.com.tencent

    4.重載服務，并且在192.168.1.0的網絡做測試 

     service named reload 

    dig -t A www.test.com @192.168.1.7

    5.在其他的網絡做測試，驗證智能DNS是否成功.