DNS的基礎(chǔ)配置

一、DNS簡(jiǎn)介

1、DNS：Domain Name System（域名系統(tǒng)），是互聯(lián)網(wǎng)上IP和域名相互解析的分布式層級(jí)結(jié)構(gòu)的數(shù)據(jù)庫(kù)。DNS的出現(xiàn)能夠使用戶更好的更加方便的訪問(wèn)互聯(lián)網(wǎng)，不用記IP地址來(lái)訪問(wèn)互聯(lián)網(wǎng)，可以通過(guò)人類更容易記住域名來(lái)訪問(wèn)互聯(lián)網(wǎng)。

2、DNS是一種C/S架構(gòu)的服務(wù)器，客戶機(jī)用于一個(gè)名字對(duì)應(yīng)的地址，而服務(wù)器是為客戶機(jī)提供查詢的，查詢由兩種機(jī)制：迭代查詢和遞歸查詢

   迭代查詢：一般是DNS服務(wù)器與DNS服務(wù)器之間的查詢方式

   遞歸查詢：一般是客戶機(jī)與服務(wù)器之間的查詢方式

3、DNS是通過(guò)解析記錄來(lái)過(guò)建成的DNS數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)中解析記錄又分為正向解析和反向解析。其中正向解析是從域名到IP的過(guò)程，而反向解析是從IP到域名的過(guò)程。那么解析記錄主要有哪些呢？

       常見(jiàn)的記錄：

             A：就是地址（address）的縮寫(xiě)，后面記錄的是ipv4的地址

             AAAA：對(duì)應(yīng)的是Iipv6的地址

             NS：后面對(duì)應(yīng)的是DNS服務(wù)器

             SOA：就是開(kāi)始驗(yàn)證（start of autority）的縮寫(xiě)

             PTR：后面對(duì)應(yīng)的是反向解析到的主機(jī)名

             CNAME:主機(jī)別名，一個(gè)主機(jī)可以有多個(gè)主機(jī)名。

             MAX：郵件服務(wù)器的地址

      下面我們通過(guò)幾個(gè)簡(jiǎn)單的配置來(lái)認(rèn)識(shí)DNS服務(wù)

二、正向解析的配置

   以zhanglang。com域?yàn)槔胣s1.zhanglang.com服務(wù)器：

   實(shí)驗(yàn)前準(zhǔn)備：安裝bind軟件包

      yum install bind

   (1) 定義區(qū)域

     在主配置文件中（/etc/named.conf）或主配置文件輔助配置文件（/etc/named.rfc1912.conf）中實(shí)現(xiàn)；

     修改主配置文件 vim /etc/named.conf

    修改/etc/named.rfc1912.conf，添加zone（在/var/named/*.zone的文件）

   (2) 建立區(qū)域數(shù)據(jù)文件（主要記錄為A或AAAA記錄）

     在/var/named目錄下建立區(qū)域數(shù)據(jù)文件；

     文件為：/var/named/zhanglang.com.zone

   （3）權(quán)限及屬組修改：

     # chown  ：named  /var/named/zhanglang.com.zone

     # chmod  o=  r/named/zhanglang.com.zone

   （4）檢查語(yǔ)法錯(cuò)誤：

   （5）讓服務(wù)器重載配置文件和區(qū)域數(shù)據(jù)文件

      # rndc  reload

   （6）測(cè)試

     正向解析配置成功

二、配置解析一個(gè)反向區(qū)域

  (1) 定義區(qū)域

    在主配置文件中或主配置文件輔助配置文件中實(shí)現(xiàn)；

    修改主配置文件 vim /etc/named.conf

   修改/etc/named.rfc1912.conf，添加zone（在/var/named/*.zone的文件）

  (2) 定義區(qū)域解析庫(kù)文件（主要記錄為PTR）vim /var/named/192.168.zone

 （3）權(quán)限及屬組修改：

    # chgrp  named  /var/named/192.168.zone

    # chmod  o=  /var/named/192.168.zone

 （4）檢查語(yǔ)法錯(cuò)誤和重載：

    # named-checkzone  168.192.in-addr.arpa /var/named/192.168.zone

    # named-checkconf 

    # rndc reload  

 （5）測(cè)試

三、主從服務(wù)器：

       在示例一我們以ns1.zhanglang.com做了正向解析主服務(wù)器，那么我們?cè)僖詎s2.zhanglang.com作從服務(wù)器，我們直接修改ns2.zhanglang.com配置就行了。如下：

       （1）修改配置文件

              修改主配置文件 vim /etc/named.conf

       （2）定義區(qū)域 vim  /etc/named.rfc1912.conf

       （3）檢查語(yǔ)法錯(cuò)誤和重載：

      # named-checkconf 

               # rndc reload

       （4）測(cè)試

            在從服務(wù)器上解析

           解析成功

四、子域

        正向解析區(qū)域授權(quán)子域的方法：

  父域配置

   （1） 在/var/named目錄下建立區(qū)域數(shù)據(jù)文件；vim /var/named/zhanglang.com.zone

   （2）檢查語(yǔ)法錯(cuò)誤和重載：

                 # named-checkzone  zhanglang.com /var/named/zhanglang.com.zone

     # named-checkconf 

                 # rndc reload

        子域配置

            （1）在子域配置

      主配置文件（開(kāi)啟監(jiān)聽(tīng)端口）vim /etc/named.conf

                創(chuàng)建域vim /etc/named.rfc1912.zones

         （3）創(chuàng)建域解析庫(kù)  vim /var/named/ops.zhanglang.com.zone

   （4）修改權(quán)限和組

   （5）檢查語(yǔ)法錯(cuò)誤和重載：

      # named-checkzone  ops.zhanglang.com /var/named/ops.zhanglang.com.zone

       # named-checkconf 

       # rndc reload

   （6）檢測(cè)

      子域檢查

     父域檢測(cè)

     成功配置子域授權(quán)

五、定義轉(zhuǎn)發(fā)（在子域定義轉(zhuǎn)發(fā)）：

注意：被轉(zhuǎn)發(fā)的服務(wù)器必須允許為當(dāng)前服務(wù)做遞歸

 在上例中的子域服務(wù)器配置轉(zhuǎn)發(fā) 

  （1） 配置文件 /etc/named.rfc1912.zones  

 （2）語(yǔ)法檢查和重載

 （3） 檢測(cè)

    檢測(cè)父域“zhanglang.com”

     解析成功

六、基本安全控制

   acl：訪問(wèn)控制列表；把一個(gè)或多個(gè)地址歸并一個(gè)命名的集合，隨后通過(guò)此名稱即可對(duì)此集全內(nèi)的所有主機(jī)實(shí)現(xiàn)統(tǒng)一調(diào)用；

     bind有四個(gè)內(nèi)置的acl

       none：沒(méi)有一個(gè)主機(jī)；

       any：任意主機(jī)；

       local：本機(jī)；

       localnet：本機(jī)的IP所屬的網(wǎng)絡(luò)；

        常見(jiàn)訪問(wèn)控制指令

     allow-query  {};  允許查詢的主機(jī)；白名單；

     allow-transfer {};  允許向哪些主機(jī)做區(qū)域傳送；默認(rèn)為向所有主機(jī)；應(yīng)該配置僅允許從服務(wù)器；

     allow-recursion {}; 允許哪此主機(jī)向當(dāng)前DNS服務(wù)器發(fā)起遞歸查詢請(qǐng)求；

     allow-update {}; DDNS，允許動(dòng)態(tài)更新區(qū)域數(shù)據(jù)庫(kù)文件中內(nèi)容；

        1、allow-query 在主服務(wù)器上（ns1.zhanglang.com）

            （1）  主配置文件vim /etc/named.conf 創(chuàng)建訪問(wèn)控制列表（控制為只能192.168.109.101主機(jī)能解析）

    （2） 創(chuàng)建域vim /etc/named.rfc1912.zones

    （3）與法檢測(cè)和重載

   （4）檢測(cè)（測(cè)試時(shí)所用的命令和服務(wù)器地址一致）

     192.168.109.101檢測(cè)

      解析成功

    192.168.109.100檢測(cè)

      解析失敗，控制設(shè)置成功

            2、allow-transfer 在主服務(wù)器上（ns1.zhanglang.com）

                 （1） 主配置文件vim /etc/named.conf 創(chuàng)建訪問(wèn)控制列表（控制為只能192.168.109.100主機(jī)只能區(qū)域傳輸）

     （2） 創(chuàng)建域vim /etc/named.rfc1912.zones

                 （3）與法檢測(cè)和重載

     （4）測(cè)試

       192.168.109.101檢測(cè)

        傳輸失敗

       192.168.109.100測(cè)試

       傳送成功，控制設(shè)置成功

     3、allow-recursion 在主服務(wù)器上（ns1.zhanglang.com）

       （1） 主配置文件vim /etc/named.conf 創(chuàng)建訪問(wèn)控制列表（控制為只能192.168.109.101/24網(wǎng)段遞歸）

      （2）與法檢測(cè)和重載

      （4）測(cè)試

       192.168.109.101檢測(cè)

        成功

      4、 allow-update {}; DDNS，允許動(dòng)態(tài)更新區(qū)域數(shù)據(jù)庫(kù)文件中內(nèi)容；

         一般我們是不允許動(dòng)態(tài)更新區(qū)域數(shù)據(jù)庫(kù)文件中內(nèi)容；因?yàn)?span >允許動(dòng)態(tài)更新區(qū)域數(shù)據(jù)庫(kù)文件中內(nèi)容會(huì)造成安全風(fēng)險(xiǎn)；所以我們禁止動(dòng)態(tài)更新

         編輯配置文件：vim /etc/named.rfc1912.zones

            在每個(gè)zone中加上 allow-update { none； }；即可

          然后重載服務(wù)就可以了