DNS高級應用之ACL和View

一、環境準備：

    1、準備三臺主機，要求如下

     (1) DNS服務器雙網卡：eth0：192.168.10.203  eth1: 172.16.2.10

      （2）測試機1雙網卡： eth0: 172.16.2.11；  公司外部地址

      （3）測試機2單網卡： eth0：192.168.10.103；公司內部地址

    2、確保DNS服務器已經安裝完整，并且可以正常使用        

    3、實驗要求：  

      (1)DNS服務器只響應來自測試機2的查詢請求，拒絕來自測試機1的查詢請求

      (2)利用view，分別響應來自兩臺測試機查詢www.mylinux.com主機請求，但分別回復不同IP地址給測試機

二、ACL配置：acl要在配置文件的最上方定義

   1、定義acl，編輯/etc/named.conf,修改內容如下

   2、應用acl，編輯/etc/named.rfc1912.zones,將acl應用到mylinux.com域中；

   3、檢查/etc/named.conf和/etc/named.rfc1912.zones語法

   4、重新載入主配置文件，查看日志是否載入成功

 5、測試acl是否生效：

    (1)測試機1進行測試：

    (2)測試機2進行測試：

   6、測試完成,DNS服務器只響應來自測試機1的查詢請求，不響應來自測試機2的查詢請求

三、View搭建

  1、編輯/etc/named.conf, 刪除根區域信息

  2、定義兩個acl，內容如下：

  3、編輯/etc/named.rfc1912.zones;修改內容如下：

        view work {   \\定義視圖名稱為work，用于公司內部網絡

         match-clients { my_work; };  \\定義view視圖匹配哪些地址

         allow-recursion { my_work; }; \\定義可以遞歸查詢的主機

        zone "." IN {

                type hint;

                file "named.ca";

        };  \\將根域定義到work視圖中

        zone "localhost.localdomain" IN {

                type master;

                file "named.localhost";

                allow-update { none; };

        };

        zone "localhost" IN {

                type master;

                file "named.localhost";

                allow-update { none; };

        };

        zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {

                type master;

                file "named.loopback";

                allow-update { none; };

        };  

        zone "1.0.0.127.in-addr.arpa" IN {

                type master;

                file "named.loopback";

                allow-update { none; };

        };     

        zone "0.in-addr.arpa" IN {

                type master;

                file "named.empty";

                allow-update { none; };

        };

        zone "mylinux.com" IN {

             type master;

             file "mylinux.com.zone"; \\定義my_work中的區域數據庫文件

        };

        };

        view my_internet { \\定義來源自互聯網的視圖my_internet

            match-clients { my_internet; };\\定義那些地址應用到my_internet中

            allow-recursion { none; };  \\不允許來自互聯網用戶的遞歸請求

            zone "mylinux.com" IN {

                type master;

                file "mylinux.com.zone.internet";\\定義視圖my_internet中的區域數據庫文件

           };

        };

   4、編輯區域數據庫文件：

     (1)mylinux.com.zone內容如下：

    (2)mylinux.com.zone.internet內容如下

    5、測試主配置文件和區域數據庫文件語法：

    6、重新載入配置文件    

    7、測試

     (1)測試機1測試

      (2)測試機2測試結果：

   8、測試完成，當測試機1請求查詢www.mylinux.com主機時，DNS服務器響應的是172.16.10.100和172.168.10.101地址；當測試機2請求查詢www.mylinux.com主機時，DNS服務器響應的是192.168.10.100和192.168.10.101地址