DNS服務與bind配置

DNS服務

DNS: Domain Name Service,協議

BIND:Bekerley Internat Name Domain, ISC (www.isc.org)

本地名稱解析配置文件:hosts

linux：/etc/hosts

windows：/system32/drivers/etc/hosts

DNS域名

根域

一級域名:Top Level Domain: tld

com, edu, mil, gov, net, org, int,

三類:組織域、國家域(.cn, .ca, .hk, .tw)、反向域

二級域名

三級域名

注：最多127級域名

互聯網域名

域名注冊:

代理商:萬網, 新網;godaddy

注冊完成以后,想自己用專用服務來解析

管理后臺:把NS記錄指向的服務器名稱,和A記錄指向的服務器地址

ICANN(The Internet Corporation for Assigned Namesand Numbers)

互聯網名稱與數字地址分配機構,負責在全球范圍內對互聯網通用頂級域名(gTLD)以及國家和地區頂級域名(ccTLD)系統的管理、以及根服務器系統的管理。

名稱服務器:域內負責解析本域內的名稱的主機;

根服務器:13組服務器

Domain: Fully Qualified Domain Name 完全限定域名

53/udp：名稱解析

53/tcp：區域傳送

解析類型:

FQDN –> IP 正向解析

IP –> FQDN 反向解析

注意:正反向解析是兩個不同的名稱空間,是兩棵不同的解析樹

DNS查詢類型:

遞歸查詢

迭代查詢

DNS服務器類型：

主DNS服務器:管理和維護所負責解析的域內解析庫的服務器

序列號:解析庫版本號,主服務器解析庫變化時,其序列遞增

刷新時間間隔:從服務器從主服務器請求同步解析的時間間隔

重試時間間隔:從服務器請求同步失敗時,再次嘗試時間間隔

過期時長:從服務器聯系不到主服務器時,多久后停止服務

“通知”機制:主服務器解析庫發生變化時,會主動通知從服務器

從DNS服務器:從主服務器或從服務器“復制”(區域傳輸)解析庫副本

應該為一臺獨立的名稱服務器

主服務器的區域解析庫文件中必須有一條NS記錄指向從服務器

從服務器只需要定義區域,而無須提供解析庫文件;解析庫文件應該放置于/var/named/slaves/目錄中

主服務器得允許從服務器作區域傳送

主從服務器時間應該同步,可通過ntp進行;

bind程序的版本應該保持一致;否則,應該從高,主低

緩存名稱服務器:不負責解析域解析

區域傳輸:

全量傳送：axfr，傳送整個數據庫

增量傳送：ixfr，僅傳送變化的數據

DNS解析: 一次完整的查詢請求經過的流程:Client –>hosts文件 –>DNS Service Local Cache–> DNS Server (recursion) –> Server Cache –>iteration(迭代) –> 根–> 頂級域名DNS–>二級域名DNS…

解析答案：

權威答案：有直接負責的DNS服務器返回的答案

非權威答案：從直接負責的DNS服務器緩存的答案

肯定答案：存在查詢的鍵，存在與其查詢鍵對應的值

否定答案：不存在查詢的鍵，不存在與其查詢鍵對應的值

無論肯定答案還是否定答案都會有緩存

區域解析庫:由眾多RR組成:

資源記錄(Resource Record, RR)類型:A, AAAA, PTR, SOA, NS, CNAME, MX

SOA:Start Of Authority,起始授權記錄;一個區域解析庫有且僅能有一個SOA記錄,必須位于解析庫的第一條記錄

A:internet Address,作用,FQDN –> IP

AAAA: FQDN –> IPv6

PTR: PoinTeR,IP –> FQDN

NS: Name Server,專用于標明當前區域的DNS服務器

CNAME:Canonical Name,別名記錄

MX: Mail eXchanger,郵件交換器

資源記錄定義的格式:

語法:name [TTL] IN rr_type value

注意:

(1) TTL可從全局繼承

(2) @可用于引用當前區域的名字

(3)相鄰的兩條記錄器name相同時，后者的name可省略

(4) 同一個名字可以通過多條記錄定義多個不同的值;此時DNS服務器會以輪詢方式響應

(5) 同一個值也可能有多個不同的定義名字;通過多個不同的名字指向同一個值進行定義;此僅表示通過多個不同的名字可以找到同一個主機

當前區域的名字：mgedu.com.

FQDN：www.magedu.com.

1、SOA記錄

value: 有多部分組成

(1) 當前區域的主DNS服務器的FQDN或簡寫主機名,當前區域的名字或@

(2) 當前區域管理員的郵箱地址;但地址中不能使用@符號,一般用.替換

(3) 主從服務區域傳輸相關定義以及否定的答案的統一的TTL

例如:

@ 86400 IN SOA ns nsadmin.magedu.com. (

2015042201 ;序列號

2H ;刷新時間

10M ;重試時間

1W ;過期時間

1D ;否定答案的TTL值

)

注：時間單位 M 分鐘；H 小時；D 天；W 周

2、NS記錄

value: 當前區域的某DNS服務器的名字或簡寫主機名；一個區域可以有多個NS記錄;

例如:

@ 86400 IN NS ns1

86400 IN NS ns2

注:

(1) 相鄰的兩個資源記錄的name相同時,后續的可省略

(2) 對NS記錄而言,任何一個ns記錄后面的服務器名字,都應該在后續有一個A記錄

3、MX記錄

value: 當前區域的郵件服務器的主機名

一個區域內,MX記錄可有多個;但每個記錄的value之前應該有一個數字(0-99),表示此服務器的優先級;數字越小優先級越高

例如:

@ IN MX 10 mx1

IN MX 20 mx2

注:對MX記錄而言,任何一個MX記錄后面的服務器名字,都應該在后續有一個A記錄

4、A記錄

value: 主機名對應主機的IP地址;

例如:

www IN A 1.1.1.1

IN A 2.2.2.2

mx1 IN A 3.3.3.3

mx2 IN A 4.4.4.4

注:避免用戶寫錯名稱時給錯誤答案,可通過泛域名解析進行解析至某特定地址

*. IN A 5.5.5.5

@ IN A 6.6.6.6

5、AAAA記錄

value: IPv6

6、PTR記錄

name: IP,有特定格式：把IP地址反過來寫（1.2.3.4,要寫作4.3.2.1）加特定后綴:in-addr.arpa.,所以完整寫法為:4.3.2.1.in-addra.arpa.可簡寫IP

value: FQDN

例如:

4 IN PTR www

5 IN PTR www

注:網絡地址及后綴可省略;主機地址依然需要反著寫

7、CNAME別名記錄：

value: 真正名字的FQDN;

例如:

www IN CNAME websrv

BIND的安裝配置:

程序名：bind

服務名：named

腳本名：/etc/rc.d/init.d/named

程序包安裝:yum list all bind*

bind:主程序

bind-libs:相關庫

bind-utils:客戶端

bind-chroot: /var/named/chroot/ 將named服務限定在指定的工作目錄

配置文件:

/etc/named.conf 主配置文件

/etc/named.rfc1912.zones 區域定義文件

/var/named/ 主服務器解析庫目錄下以.zone結尾的文件

/var/named/slaves/ 從服務器解析庫目錄下以.zone結尾的文件

/var/named/ 目錄內部文件屬主為root，屬組為named，文件權限為640

/var/named/slave/ 目錄屬主為root，屬組為named，目錄權限為770

注意:

(1) 一臺物理服務器可同時為多個區域提供解析;

(2) 必須要有根區域文件：/var/named/named.ca

(3) 應該有兩個(如果包括ipv6的,應該更多)實現localhost和本地回環地址的解析庫

主配置文件/etc/named.conf:

全局配置:options {};

監聽socket：listen-on port 53；默認監聽在127.0.0.1

可查詢該DNS的主機：listen-on port 53 { 1.1.1.1; }；

緩存或從服務器的配置:監聽在可與外部主機通信的socket

dnssec: 建議關閉dnssec,設為no

日志配置：logging {};

區域配置：zone {……} 本機有負責解析或轉發的區域

注：每個配置語句必須以分號結尾

單行注釋，在行首前添加//

單行或多行注釋，以/*開頭 */結尾

{}前后必須有空格

任何服務程序如果期望其能夠通過網絡被其它主機訪問,至少應該監聽在一個能與外部主機通信的IP地址上

區域定義文件/etc/named.rfc1912.zones

zone "zone_name" IN {

type {master|slave|hint|forward};

file "zone_name.zone";

};

注：本機能夠為哪些zone進行解析,就要定義哪些zone;

master：主服務器

slave：從服務器

hint：提示服務器

forward：轉發服務器

語法檢查

主配置文件語法檢查：named-checkconf

解析庫文件語法檢查：named-checkzone "zone_name" /var/named/zone_name.zone /var/named/slave/zone_name.zone

重新載入配置文件：rndc status|reload

重器named服務：service named reload

測試命令

dig [-t type] name [@SERVER] [query options] 只用于測試dns系統,不會查詢hosts文件進行解析

查詢選項:

+[no]trace:跟蹤解析過程

+[no]recurse:進行遞歸解析

dig -x IP @SERVER 測試反向解析:

dig -t axfr ZONE_NAME @SERVER 模擬區域傳送:

host [-t type] name [SERVER]

nslookup [-option] [name | -] [server] 非交互式

交互式模式:

nslookup>

server IP: 指明使用哪個DNS server進行查詢

set q=RR_TYPE: 指明查詢的資源記錄類型

NAME: 要查詢的名稱

客戶端管理程序

rndc : remote name domain controller,默認與bind安裝在同一主機,且只能通過127.0.0.1連接named，提供輔助性的管理功能，監聽953/tcp

子命令

reload: 重載主配置文件和區域解析庫文件

reload zone: 重載區域解析庫文件

retransfer zone: 手動啟動區域傳送過程,而不管序列號是否增加

notify zone: 重新對區域傳送發通知

reconfig: 重載主配置文件

querylog: 開啟或關閉查詢日志文件/var/log/message

trace: 遞增debug一個級別

trace LEVEL: 指定使用的級別

notrace:將調試級別設置為 0

flush:清空DNS服務器的所有緩存記錄

主DNS名稱服務器配置:

編輯主配置文件/etc/named.conf全局配置段

添加可與外部主機通信的socket

listen-on port 53 { 192.168.10.6; }；

關閉dnssec

dnssec-enable no;

dnssec-validation no;

關閉僅主機查詢

//allow-query { localhost; } 或 allow-query { any; }

允許數據傳送的主機（有從服務器時為其IP）

allow-transfer { none； }；

2016-09-25 13-05-39 的屏幕截圖.png

正解區域配置

(1) 編輯區域定義文件/etc/named.rfc1912.zones

zone "centos.org" IN {

type master;

file "named.centos.org";

};

2016-09-25 13-06-25 的屏幕截圖.png

(2) 新建區域解析庫文件/var/named/named.centos.org

示例:

$TTL 600

@ IN SOA ns1.centos.org admin.centos.org. ( 2016092405 3H 5M 7D 1D )

IN NS ns1.centos.org

IN MX 10 mx1.centos.org

IN MX 20 mx2.centos.org

ns1 IN A 192.168.10.6

mail1 IN A 192.168.10.61

mail2 IN A 192.168.10.62

srv IN A 192.168.10.63

srv IN A 192.168.10.64

www IN CNAME srv

2016-09-25 13-07-11 的屏幕截圖.png

反向區域配置

(1) 編輯區域定義文件/etc/named.rfc1912.zones

zone "10.168.192.in-addr.arpa" IN {

type master;

file "named.192.168.10";

};

2016-09-25 13-07-54 的屏幕截圖.png

(2) 新建區域解析庫文件/etc/named/named.10.168.192

示例:

$TTL 600

@ IN SOA ns1 admin.centos.org. ( 2016092301 1H 5M 7D 1D )

IN NS ns1.centos.org.

6 IN PTR ns1.centos.org.

61 IN PTR mail1.centos.org.

62 IN PTR mail2.centos.org.

63 IN PTR srv.centos.org.

64 IN PTR srv.centos.org.

2016-09-25 13-08-22 的屏幕截圖.png

從DNS名稱服務器配置:

在主服務器主配置文件中修改

允許數據傳送的主機

allow-transfer { 192.168.10.66； }；

在主服務器正解文件中添加： @ IN NS ns2.centos.org

ns2 IN A 192.168.10.66

在主服務器反解文件中添加： @ IN NS ns2.centos.org.

66 IN PTR ns2.centos.org.

編輯主配置文件/etc/named.conf全局配置段

添加可與外部主機通信的socket

listen-on port 53 { 192.168.10.66; }；

關閉dnssec

dnssec-enable no;

dnssec-validation no;

關閉僅主機查詢

//allow-query { localhost; } 或 allow-query { any; }

允許數據傳送的主機

allow-transfer { none； }；

2016-09-25 13-09-27 的屏幕截圖.png

正解區域配置

編輯區域定義文件/etc/named.rfc1912.zones

zone "centos.org" IN {

type slave;

file "slaves/named.centos.org";

masters { 192.168.10.6; };

};

反解區域配置

編輯區域定義文件/etc/named.rfc1912.zones

zone "10.168.192.in-addr.arpa" IN {

type slave;

file "slaves/named.192.168.10";

masters { 192.168.10.6; };

};

2016-09-25 13-10-10 的屏幕截圖.png

子DNS名稱服務器配置:

在父服務器正解文件中添加： ops IN NS ns.ops

ns.ops IN A 192.168.10.7

在父服務器反解文件中添加： @ IN NS ns.ops.centos.org

7 IN PTR ns.ops.centos.org

以主服務器為例，從服務器不再說明，參考父從服務器配置

編輯主配置文件/etc/named.conf全局配置段

添加可與外部主機通信的socket

listen-on port 53 { 192.168.10.7; }；

關閉dnssec

dnssec-enable no;

dnssec-validation no;

dnssec-lookaside no;

關閉僅主機查詢

//allow-query { localhost; } 或 allow-query { any; }

允許數據傳送的主機

allow-transfer { 192.168.10.77； }；

2016-09-25 13-10-47 的屏幕截圖.png

正解區域配置

(1) 編輯區域定義文件/etc/named.rfc1912.zones

zone "ops.centos.org" IN {

type master;

file "named.ops.centos.org";

};

zone "ZONE_NAME" IN {

type forward;

forward first;

forwarders { 192.168.10.6;};

};

2016-09-25 13-12-22 的屏幕截圖.png

(2) 新建區域解析庫文件/etc/named/ops.centos.org.zone

示例:

$TTL 86400

@ IN SOA ns1 admin ( 2016092301 1H 5M 7D 1D )

IN NS ns1

IN MX 10 mx1

IN MX 20 mx2

ns1 IN A 192.168.10.7

mx1 IN A 192.168.10.71

mx2 IN A 192.168.10.72

srv IN A 192.168.10.73

srv IN A 192.168.10.74

www IN CNAME srv

2016-09-25 13-12-57 的屏幕截圖.png

反向區域配置

(1) 編輯區域定義文件/etc/named.rfc1912.zones

zone "10.168.192.in-addr.arpa" IN {

type master;

file "named.10.168.192";

};

2016-09-25 13-13-18 的屏幕截圖.png

由于父子域服務器在同一網段，所以不便定義反向的區域轉

(2) 新建區域解析庫文件/etc/named/named.10.168.192

示例:

$TTL 86400

$ORIGIN 10.168.192.in-addr.arpa.

@ IN SOA ns1 admin.ops.centos.org. ( 2016092301 1H 5M 7D 1D )

IN NS ns1.ops.centos.org.

7 IN PTR ns1.ops.centos.org.

71 IN PTR mx1.ops.centos.org.

72 IN PTR mx2.ops.centos.org.

73 IN PTR www.ops.centos.org.

74 IN PTR www.ops.centos.org.

2016-09-25 13-13-38 的屏幕截圖.png

轉發服務器

注意:被轉發的服務器需要能夠為請求者做遞歸,否則轉發請求不予進行

關閉dnssec功能:

dnssec-enable no;

dnssec-validation no;

(1) 全局轉發: 對非本機所負責解析區域的請求,全轉發給指定的服務器

Options {

forward first|only;

fowwarders { ip;};

};

(2) 特定區域轉發:僅轉發對特定的區域的請求,比全局轉發優先級高

zone "ZONE_NAME" IN {

type forward;

forward first|only;

forwarders { ip;};

};

first:首先轉發，轉發器不響應時，自行去遞歸查詢

only：只轉發,不遞歸

bind中ACL：基礎的安全相關的配置:

acl: 把一個或多個地址歸并為一個集合,并通過一個統一的名稱調用

注意:只能先定義,后使用;因此一般定義在配置文件中,處于options的前面

格式:

acl acl_name {

ip;

net/prelen;

……

};

示例:

acl mynet {

172.16.0.0/16;

10.10.10.10;

};

四個內置的acl:

none: 沒有一個主機

any: 任意主機

localhost: 本機

localnet: 本機的IP同掩碼運算后得到的網絡地址

注意:只能先定義,后使用;因此一般定義在配置文件中,處于options的前面

訪問控制的指令:

allow-query {}: 允許查詢的主機;白名單;

allow-transfer {}:允許區域傳送的主機;白名單

allow-recursion {}: 允許遞歸的主機,建議全局使用，不要給互聯網上所有主機遞歸，僅給自己內部的主機遞歸

allow-update {}: 允許更新區域數據庫中的內容

bind view

view:視圖,一個bind服務器可定義多個view,每個view中可定義一個或多個zone

每個view用來匹配一組客戶端;

多個view內可能需要對同一個區域進行解析,但使用不同的

區域解析庫文件

根據請求客戶端的來源，將同一個主機名解析成相對應的不同IP地址

view internal {

match-client {192.168.10.0/24;};

zone "centos.org" IN {

type master;

file "centos.org/internal";

};

view external {

match-client {any;};

zone "centos.org" IN {

type master;

file "centos.org/external";

};

注意:

(1) 一旦啟用了view,所有的zone都只能定義在view中

(2) 僅在允許遞歸請求的客戶端所在view中定義根區域

(3) 客戶端請求到達時,是自上而下檢查每個view所服務的客戶端列表

編譯安裝bind

下載bind:www.isc.org:

編譯安裝bind

# tar xvf bind-9.11.0a3.tar.gz

# cd bind-9.11.0a3/

# groupadd -r -g 53 named

# useradd -r -u 53 -g 53 named

# ./configure –prefix=/usr/local/bind9 –sysconfdir=/etc/named/ –disable-ipv6 –disable-chroot –enable-threads

# make

# make install

安裝后配置

環境變量:

vim /etc/profile.d/named.sh

export PATH=/usr/local/bind9/bin:/usr/local/bind9/sbin/:$PATH

庫和頭文件

vim /etc/ld.so.conf.d/named.conf

/usr/local/bind9/lib

ldconfig -v

ls -sv /usr/local/bind9/include /usr/include/named

man幫助

vim /etc/man.config

MANPATH /usr/local/bind9/share/man

man named.conf

vim /etc/named/named.conf

options {

directory "/var/named/"

};

zone "." IN {

type hint;

file "named.ca";

};

zone "localhost" IN {

type master;

file “named.localhost";

allow-update {none;};

};

zone “1.0.0.127.in-addr.arpa" IN {

type master;

file "named.loopback";

allow-update {none;};

};

區域數據庫

mkdir /var/named

named-checkconf

dig +norec @a.root-servers.net > /var/named/named.ca

vim /var/named/named.localhost

$TTL 1d

@ IN SOA localhost. admin.localhost. (

2016061801

1d)

IN NS localhost.

localhost. IN A 127.0.0.1

vim /var/named/named.local

$TTL 1d

@ IN SOA localhost. admin.localhost. (

2016061801

1d)

IN NS localhost.

IN PTR localhost.

設置權限

chmod 640 /var/named/*

chmod 640 /etc/named/named.conf

chown :named /var/named/*

chown :named /etc/named/named.conf

啟動服務和測試

man named

named -u named -f -g -d 3 前端級別3方式運行

named -u named 后臺運行

killall named

ss -uln

tail /var/log/message

named -u named

支持rndc

rndc reload 看報錯提示

rndc-confgen -r /dev/urandom > /etc/named/rndc.conf 生成key

tail /etc/named/rndc.conf >> /etc/named/named.conf

killall -SIGHUP named

rndc status

壓力測試 /root/bind-xxx/contrib/scripts

編譯壓力測試工具

cd /root/bind-xxx/contrib/queryperf

./configure

make

cp queryperf /usr/local/bind9/bin

queryperf -h

壓力測試

vim test.txt

www.magedu.com A

magedu.com NS

magedu.com MX

pop3.magedu.com A

web.magedu.com A

queryperf -d test.txt -s 127.0.0.1

打開日志功能

rndc querylog

rndc status

queryperf -d test.txt -s 127.0.0.1

wc -l /var/log/message

DNS排錯

#dig A example.com

; <<>> DiG 9.9.4-RedHat-9.9.4-14.el7 <<>> A example.com

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id:30523

…

srv.centos.org.

SERVFAIL:The nameserver encountered a problem while processing the query. 可使用dig +trace排錯,可能是網絡和防火墻導致

NXDOMAIN:The queried name does not exist in the zone. 可能是CNAME對應的A記錄不存在導致

REFUSED:The nameserver refused the client's DNS request due to policy restrictions. 可能是DNS策略導致

NOERROR 不代表沒有問題,也可以是過時的記錄

flags:aa 標記判斷,查看是否為權威記錄

*.example.com. IN A 172.25.254.254 被刪除的記錄仍能返回結果,可能是因為*記錄存在，如:

注意“.”的使用

避免CNAME指向CNAME記錄,可能產生回環

test.example.com. IN CNAME lab.example.com.

lab.example.com. IN CNAME test.example.com.

正確配置PTR記錄,許多服務依賴PTR,如sshd,MTA

正確配置輪詢round-robin記錄

原創文章，作者：anonymous，如若轉載，請注明出處：http://www.www58058.com/49077

相關推薦

分布式存儲介紹、FastDFS 部署

常用linux命令小計（1）

二進制安裝mysql（mariadb）

N26 第四周博客作業

Nginx七層反代服務器 （Blog 20)

mongodb 分片集群搭建

分布式存儲介紹、FastDFS 部署

Nginx七層反代服務器（Blog 20)