精华内容
下载资源
问答
  • DNS转发器

    2009-08-01 08:46:03
    :1 、转发DNS服务器:在主配置文件中添加一句 forwarders { 10.0.0.50 ;}//10.0.0.50 是被转发DNS服务器的IP 重启named服务。验证:客户端的DNS IP 指向局域网内的NDS IP (即...并且LINUX平台的DNS可以转发到...
    :1 、转发DNS服务器:
    在主配置文件中添加一句 forwarders { 10.0.0.50 ;}//10.0.0.50 是被转发的DNS服务器的IP
     
    重启named服务。
    验证:
    客户端的DNS IP 指向局域网内的NDS IP (即上述的192.168.0.1)
    在客户端用NSLOOKUP 解析出10.0.0.50上的DNS记录就成功了。
    并且LINUX平台的DNS可以转发到WINDOWS平台。
    同样,WINDOWS平台的DNS可以转发到LINUX平台
    2、LINUX服务器做主DNS服务器,WINDOWS服务器做辅助DNS服务器。
    LINUX做完主DNS服务后,直接在WINDOWS上新建辅助区域,IP指向LINUX服务器的IP 就O了!

    转载于:https://blog.51cto.com/ruzhulinux/186285

    展开全文
  • DNS子域授权:这里我们只演示正向解析的子域授权父域能够解析子域的A记录(不是权威的,因为不是自身解析的),子域不能解析父域的A记录,如果非要解析父域中的地址过程是:先去找互联网的根域在层层到下查找。...

    DNS子域授权:
     这里我们只演示正向解析的子域授权
     
      父域能够解析子域的A记录(不是权威的,因为不是自身解析的),
      子域不能解析父域的A记录,如果非要解析父域中的地址过程是:先去找互联网的根域在层层到下查找。(但是我们可以在子域建立转发,使能够解析父域的A记录) 

      实例:

        说明父域为:ning.com子域1为:ning1.ning.com 子域2为:ning2.ning.com

     

    wKioL1PiOfHQRj1MAAENR2aO1YM106.jpg 补充说明:父域和子域只要能通信即可,没有必要在同一网段,我们这里为了方便操作放在一个网段了。。小伙伴们明白!

     

     实例操作:
      父域操作配置:授权看仔细!!    
       [root@localhost ~]# vim /var/named/ning.com.zone

       $TTL 3600
       $ORIGIN ning.com.
       @       IN      SOA     ns.ning.com. ning.qq.com. (
         20140809
         2H
         10M
         7D
         7D )
         IN      NS      ns
         IN      MX 10   mail
         IN      NS      ns2
       ning1   IN      NS      ning1.ning---------------授权子域ning1.ning.com
       ning2   IN      NS      ning2.ning----------------授权子域ning2.ning.com
       ning1.ning      IN A 172.16.3.20------------指定子域ning1.ning.com服务器地址:
       ning2.ning      IN A 172.16.3.21------------指定子域ning2.ning.com服务器地址:
       ns2     IN A    172.16.3.10
       ns      IN A    172.16.3.1
       mail    IN A    172.16.3.3
       www     IN A    172.16.3.4
       ning1   IN A    172.16.3.30
       hong    IN CNAME        mail
       
       我们要养成一种习惯:检查区域配置文件你懂得:#named-checkzone "ning.com" /var/named/ning.com.zone
       
      子域操作:


       1、修改配置文件
        #vim /etc/named.conf的内容,和自建DNS主机设置一样即可,


       2、修改配置文件
        #[root@hong named]# vim /etc/named.rfc1912.zones --下添加以下内容
         zone "ning1.ning.com." IN {--------------指定子域
         type master;
         file "ning1.ning.com.zone";---------------指定子域解析库名称
         allow-transfer { 127.0.0.1; };-------这里添加这一向是主要是为了测试,可以不添加,什么意思大家应该懂得(只允许127.0.0.1来查看,也说明了只有指定的地址来同步你懂得。)
         };


       3、手动创建子域库文件
        [root@hong named]# vim /var/named/ning1.ning.com.zone
         $TTL 3600
         $ORIGIN ning1.ning.com. --------声明子域名称:方便下面写作(不添加默认也是上面2中指定的子域,你懂得!)
         @       IN      SOA     ns.ning1.ning.com. ning.qq.com. (
             20140806
             1H
             3M
             3D
             1D )

           IN      NS      ns---------------添加ns.ning1.ning.com.的子域名称
           IN      MX 10   mail
         ns      IN      A       172.16.3.20----------子域地址(子域服务器地址)
         mail    IN      A       172.16.3.51
         www     IN      A       172.16.3.52
         qq      IN      CNAME   ns
         
        
     子域授权:测试
       1、我们可以从父域:#dig -t A www.ning1.ning.com @172.16.3.1-----这里指定的是父域的地址奥
       2、本地子域中测试:#dig -t A www.ning1.ning.com @172.16.3.20-----子域地址的解析
       
      正向子域授权到此结束!!!
    ----------------------------------------------------------------------------------
    在上面配置的基础上我们配置转发机制

    子域 转发器:
       转发所有区域所有请求至某指定的DNS服务器
      #vim /etc/named.conf
       options {-----中任何地方添加都可以
        forward only|first;-------------only仅转发仅递归;first先递归给指定的服务器找不到,后自己迭代去找。
        forwarders {IP;}--------------转发给那个服务器IP地址。
       };
      实例:如果我们子域不通过互联网上的跟域解析父域中的A记录,就需要我们在子域中配置转发器。
       我们在上面子域授权的基础上配置转发器:
       
     子域转发器实例:
        #vim /etc/named.conf
         options {
          forward only;-----------------子域把所有的解析的都交给父域自己去查找,子域只等解析结果就好。
          forwarders { 172.16.3.1; };---------指定父域服务器地址
         };
       
       子域中测试:
        #dig -t A
    www.ning.com @172.16.3.20-----这里指定的是子域服务器的IP地址。


     转发区域:
       转发所有的非本机负责的区域的请求至某指定的DNS服务器
       在这里我们引入,区域访问控制


        访问控制:
         zone "ning.com" IN {
          type forward;
          forward only|first;
          forwarders {IP;IP1;...};-------------指定非本机的转发给ning.com区域下解析。      
         }
      转发区域实例:
       在子域中配置文件中添加指定的要转发的区域。
       # vim /etc/named.rfc1912.zones
        zone "ning.com." IN {--------指定转发的那个区域
         type forward;-----指定区域类型
         forward only;------转发形式
         forwarders { 172.16.3.1; };--------指定转发的服务器IP(子域转发到父域中)
        };
     转发器和转发区域到此结束

    转载于:https://blog.51cto.com/wodemeng/1536638

    展开全文
  • 上次博文我们具体配置了一台DNS服务器并实现了主辅之间的区域传送,本次博文我们来看看DNS的一些高级配置。 在进行DNS的高级配置之前,必须要理解DNS的原理(参见http://sweetpotato.blog.51cto.com/533893/1596973...

    上次博文我们具体配置了一台DNS服务器并实现了主辅之间的区域传送,本次博文我们来看看DNS的一些高级配置。

    在进行DNS的高级配置之前,必须要理解DNS的原理(参见http://sweetpotato.blog.51cto.com/533893/1596973

    并且对DNS的基础配置也要熟练(参见http://sweetpotato.blog.51cto.com/533893/1598225

    【本次博文的主要内容】

    • 子域授权
    • 转发域
    • acl
    • 视图(view)

    【实验环境】

    image

    实验说明:

    本次博文的实验只做正向解析;

    VMware station 10

    BIND服务器:两台CentOS 6.4虚拟机做主辅DNS

    windows 7物理机做客户端

    Domain Name:test.com.         192.168.80.0/24

    主DNS:Master.test.com.         192.168.80.11

    辅助DNS:Slave.test.com.         192.168.80.13

    web主机:www.test.com.          192.168.80.11   192.168.1.201   192.168.80.14

    ftp主机:ftp.test.com.  CNAME   www.test.com.

    mx邮件服务器:mx.test.com.  192.168.80.11

    ######################################规划子域##################################################

    子域:SubZone.test.com.

    子域DNS:ns1.SubZone.test.com.    192.168.80.12

    web主机:www.SubZone.test.com.    192.168.80.12

    imap:CNAME   www


    一、子域授权:

    【DNS服务器的主辅配置】

    按照上次博文的介绍,将主辅DNS的基本配置做好(参考http://sweetpotato.blog.51cto.com/533893/1598225

    主DNS配置好后,test.com区域文件如下所示:

    image

    辅助DNS上的区域文件是从主DNS复制过去的,如下所示:

    image

    image

    所有资源记录都有了哈。下面我们来配置子域DNS,并在其父域DNS上完成授权。

    【子域授权】

    子域授权的基本理论在我的前两次博文中具体介绍过了,这里不再赘述(参见http://sweetpotato.blog.51cto.com/533893/1596973)。

    子域授权创建步骤:

    第一步、划分子域:

    这里,我们划分的子域为SubZone.test.com. 在192.168.80.12主机上,配置子域的区域解析文件:

    (1)修改主配置文件,在/etc/named.rfc1912.zones文件中添加如下条目:

    image

    (2)创建“SubZone.test.com.zone”区域解析文件,并修改属组和权限:

    image

    (3)检查主配置文件和区域文件的语法错误(语法检查没问题了别急着启动服务或重新载入区域文件,需要先到父域DNS上完成授权)

    [root@Centos ~]# named-checkconf 
    [root@Centos ~]# named-checkzone "SubZone.test.com" /var/named/SubZone.test.com.zone 
    zone SubZone.test.com/IN: loaded serial 2015012001
    OK

    第二步、完成授权:

    (1)在主DNS(192.168.80.11主机)上完成子域的授权,即在区域文件/var/named/test.com.zone中添加子域相应的NS记录和粘附A记录:

    image

    (2)检查区域文件语法错误并重新加载主DNS的区域文件:

    [root@Centos named]# named-checkzone "test.com" test.com.zone 
    zone test.com/IN: loaded serial 2015012001
    OK
    [root@Centos named]# rndc reload
    server reload successful

    (3)回到子域DNS,启动named服务或重新加载区域文件;

    至此,子域授权的过程结束。

    【验证子域授权】:

    1、回到父域DNS,查看区域解析情况:

    image

    授权是自上而下的哈,父域能知道子域的存在。

    Tis如果检查区域文件语法错误时出现了以下情况:

    [root@Centos named]# named-checkzone "test.com" test.com.zone 
    zone test.com/IN: SubZone.test.com/NS 'ns1.SubZone.test.com' extra GLUE A record (192.168.80.12)   
    zone test.com/IN: SubZone.test.com/NS 'ns1.SubZone.test.com' missing GLUE A record (192.99.166.230)
    zone test.com/IN: loaded serial 2015012004
    OK
    随后,在父域DNS用dig命令查询子域SubZone.test.com的NS记录时,只给出了NS记录而没有对应的粘附A记录。这种情况是由于/etc/resolv.conf配置了多个DNS(且能够与公网通信),并且主机配置了多块网卡造成。将/etc/resolv.conf文件中的其它记录都注释掉,把DNS指向本机IP地址即解决问题(这是我遇见的情况,大家遇到的情况可能有所不同,欢迎多交流)。

    2、在父域的辅助DNS(192.168.80.13主机)上,查看区域解析情况:

    image

    image

    3、回到子域DNS,查看区域解析情况:

    image

    能够解析,而且是权威应答哈。思考一下,子域DNS能够解析父域吗?我你们来试一下哈!

    image

    结论:授权是自上而下的,上级(父域)知道下级(子域)的存在,而下级(子域)并不知道上级(父域)的存在(因此子域的解析从根开始层层往下迭代)

    那如何才能让子域解析父域呢?通过转发!


    二、DNS名称解析转发器:

    1、问题的引入:什么是转发器?为什么需要转发器?

    担当DNS名称解析的服务器被称为“DNS转发器”。转发器也是网络上的DNS服务器,用来将内部DNS名称的DNS查询转发给该网络外的DNS服务器。

    如果不将特定DNS服务器指定为转发器,所有DNS服务器可使用其根提示在网络外发送查询。这样,许多内部可能非常重要的DNS信息都可暴露在公网上。除了安全和隐私问题,该解析方法可导致大量的外部通信,且通信费用昂贵,对于慢速Internet连接的网络或Internet服务成本很高的公司来说效率低下。而将DNS服务器指定为转发器时,转发器将负责处理外部通信,从而将DNS服务器有限地暴露给公网。转发器将建立外部DNS信息的巨大缓存,因为网络中的所有外部DNS查询都是通过它解析的。你在很短的时间内,转发器将使用该缓存数据解析大部分外部DNS查询,从而减少网络的Internet通信与DNS客户端的响应时间。

    2、转发的原理:

    转发是一种链式结构,如下图所示:

    image

    (1)当本地DNS服务器(也是转发器)收到查询时,它会尝试使用它主持和缓存的主要和辅助区域解析该查询;

    (2)如果不能使用本地数据解析查询,此时它作为客户端,会将查询转发给外网DNS服务器;

    (3)本地DNS(转发器)收到客户端的请求后会等待一段很短的时间,等待来自外网DNS的应答;

    (4)对于外网DNS来说,它接收到的查询请求是递归查询,此时,它自己需要向外层层迭代找到最终答案返回给转发器(此时转发器作为DNS客户端)

    (5)转发器将外网DNS返回的查询结果送到客户端(非权威答案),完成解析过程。

    注:转发的前提——接收转发请求的服务器(这里是外网DNS)必须能够为请求者(这里是本地DNS,也是转发器)做递归查询;

    3、转发的类型:

        (1)无条件转发:转发所有针对非本机负责解析的区域的请求; 
           

    #在主配置文件/etc/named.conf的全局选项中添加如下内容:
    options {    
        forwarders { ip; };    
        forward ;     
    };

        (2)条件转发:仅转发对特定区域的请求(即转发域);
    zone "区域名称" IN {
        type forward;          
        forwarders {  ip; };    
        forward ;    
    
    };

    【举例说明】

    ######################################规划转发器#################################################

    上面的例子中,子域DNS(192.168.80.12主机)无法与外网通信,且无法解析父域;

    辅助DNS服务器(192.168.80.13主机)能够与外网通信,现在将其作为子域DNS的转发器;

    1、无条件转发:在子域DNS上设置转发,让子域能够解析父域且能够通过转发器解析公网的查询:

    第一步、在子域DNS上配置转发。修改主配置文件/etc/named.conf,实现无条件转发即转发所有非本机负责解析的区域的请求:

    image

    第二步、重新加载配置文件,并清空DNS缓存:

    [root@Centos ~]# rndc reconfig
    [root@Centos ~]# rndc flush

    第三步、用dig命令进行测试,看看通过转发子域是否能够解析父域:

    image

    第四步、用dig命令测试,看看通过转发能否解析外网的查询:

    image

    可以看出,通过无条件转发,可以解析针对非本地负责的区域的查询哈。

    现在假设这样一个场景:

    如果子域DNS能够与外网通信而转发器DNS服务器(192.168.80.13主机)不能与外网通信,并且子域DNS能够根据根提示做DNS查询,那么将转发选项设置为“first”,结果怎样呢?

    (1)设置外网网关,让子域DNS服务器能够与外网通信:

    image

    image

    (2)在转发器DNS服务器(192.168.80.13主机)上,设置网关,让其无法与外网通信:

    image

    (3)在子域DNS上修改主配置文件,把转发选项改为”first“:

    image

    (4)重新加载子域DNS的配置文件并清除DNS缓存:

    image

    (5)用dig命令测试,看是否还能够解析外网的区域:

    image

    能够解析哈,说明不能从转发器查询外网之后,它自己用根提示出去迭代查询到了结果。

    2、条件转发:配置转发域,使得只对test.com域的查询能够通过转发器解析:

    第一步、修改主配置文件/etc/named.conf,将上例中的无条件转发选项注释掉:

    image

    第二步、修改/etc/named.rfc1912.zone,配置转发域test.com:

    image

    第三步、在转发器DNS服务器上(192.168.80.13主机),设置“允许递归”:

    image

    第四步、在子域DNS上用dig命令进行测试,看是否可以解析转发域:

    image

    能够解析哈,那现在是否可以解析baidu.com呢?试试看哈。

    image

    不能解析哈。


    三、DNS的ACL配置:

    1、问题的引入:为什么需要ACL?

    因为安全和DNS服务器性能,如果没有ACL,那么任何人都可以到我们的DNS服务器上做递归查询,这样是非常危险的。而且DNS的区域传送是多主复制,如果不设置ACL,那么任何主机都可以到我们的DNS上来做完全区域传送,这也是很危险的,而且会让我们的DNS服务器忙死。

    2、BIND的ACL:

    (1)BIND中常用4个常用的控制指令:

       //允许做区域传送的指令
        //允许做查询的指令
      //允许做递归查询的ip列表,一般来说只允许给本地客户端做递归查询
         //用于DDNS(动态DNS:与DHCP联动),比较危险,一般不允许更新数据文件
    
    
    

    (2)BIND的ACL

    如果allow-transfer 和 allow-query 放到区域配置中一般后期修改ip地址会非常的麻烦,所以可以定义acl访问规则:

    #对于配置文件的格式以及参数调整,具体可以查看man手册 ,命令:man named.conf

    定义acl的格式如下:

    acl    名称              定义acl规则
    

    可以看到如上所示信息,定义格式非常简单:使用bind访问控制列表,明确定义一组客户端或者一组主机并使用一个名称来定义它们;

    其中,定义的参数有四种,分别是:any、none、local、localnet

    acl只有先定义才可以使用,因此acl定义必须在acl调用的最上方即放在配置文件的最上方。

    【配置ACL】

    在子域DNS上配置ACL,只允许本机地址127.0.0.1查询:

    (1)先定义acl:

    image_thumb23

    (2)acl定义后需要应用在区域文件中(编辑区域配置文件/etc/named.rfc1912.zone):

    image

    (3)重新载入配置文件;

    (4)验证结果(在子域DNS服务器上用dig命令测试):

    首先用本机的IP地址192.168.80.12来解析:

    image

    拒绝查询哈!

    然后用127.0.0.1来解析:

    image

    能够解析哈,说明ACL起作用了。


    四、通过VIEW实现智能DNS:

    1、BIND VIEW是什么:

    BIND的view是基于人的脑裂(brain split)原理,灵活控制哪些客户机能看到哪个view视图的访问控制列表,view功能可以实现不同网段发出同样的请求却得到不同的DNS解析结果,可以有效的分流网络流量,提高访问控制能力。

    2、VIEW语句的介绍:

    通过view语句可以完成DNS的智能解析功能,其语法如下: 

      
    

    3、配置VIEW,实现智能DNS解析:

    ######################################规划VIEW##################################################

    实验拓扑还是采用子域授权的那一个,每个虚拟机上都配置了两块网卡(参见拓扑图),将来自192.168.80.0/24网段的IP作为内网的主机,192.168.1.0/24网段的IP和所有其它IP作为外网的主机,用win7物理机与虚拟机通信时,访问192.168.80.0/24网段采用的是NAT地址转换,会将物理机的IP地址192.168.1.3转换为192.168.80.254来访问。使用acl来定义控制列表。

    【配置VIEW】

    (1)在主DNS(192.168.80.11主机)上,编辑主配置文件/etc/named.conf,配置acl和view:

    options {
        directory     "/var/named";
    };
    
    acl internal {                             //定义acl列表,来自192.168.80.0/24网段的客户端均为内网用户
        192.168.80.0/24;    
    };
    
    acl external {                             //定义acl列表,来自192.168.1.0/24网段的客户端均为外网用户
        192.168.1.0/24;
    };
    
    view "internal" {                          //内网视图,定义了内网主机查询所使用的区域解析库文件
        match-clients { internal; };
        recursion yes;
        zone "test.com" IN {
            type master;
            file "internal.test.com.zone";
        };
    };
    
    view "external" {                          //外网视图,定义了外网主机查询所使用的区域解析库文件
        match-clients { external; };
        recursion yes;
        zone "test.com" IN {
            type master;
            file "external.test.com.zone";
        };
    };

    (2)使用named-checkconf来检测主配置文件是否有存在语法错误:

    [root@Centos ~]# named-checkconf 
    [root@Centos ~]#

    (3)分别创建内外网用户访问test.com域服务器所使用的正向解析区域文件:

    内网(internal)的zone文件/var/named/internal.test.com.zone :

    image

    外网(external)的zone文件/var/named/external.test.com.zone :

    image

    (4)将internal和external所使用的解析区域数据文件的属组及权限分别改为named和640:

    [root@Centos ~]# chmod 640 /var/named/internal.test.com.zone /var/named/external.test.com.zone 
    [root@Centos ~]# chown :named  /var/named/internal.test.com.zone /var/named/external.test.com.zone
    [root@Centos ~]# ll /var/named/*.zone
    -rw-r-----. 1 root named 272 Jan 23 13:01 /var/named/external.test.com.zone
    -rw-r-----. 1 root named 276 Jan 23 00:29 /var/named/internal.test.com.zone

    (5)使用named-checkzone分别检测internal和external所使用的区域数据文件是否存在语法错误;

    (6)重新加载配置文件和区域文件,并打开查询日志:

    [root@Centos ~]# rndc reload
    server reload successful
    [root@Centos ~]# rndc querylog
    [root@Centos ~]# rndc status
    version: 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1
    CPUs found: 2
    worker threads: 2
    number of zones: 34
    debug level: 0
    xfers running: 0
    xfers deferred: 0
    soa queries in progress: 0
    query logging is ON                 
    recursive clients: 0/0/1000
    tcp clients: 0/100
    server is up and running

    (7)分别在192.168.80.0/24和192.168.1.0/24网段上进行测试,并查看结果:

    说明:我的win7物理机的IP是192.168.1.3,DNS服务器上配置了两块网卡,IP地址分别为192.168.80.11和192.168.1.58

    image

    查询日志的情况如下:

    image

    访问的是内网视图,物理机的IP(192.168.1.3)被转换成了192.168.80.254;

    image

    查询日志情况如下:

    image

    由此,通过VIEW实现了智能DNS哈。


    【小结】

    本次博文主要知识点:

    1、DNS的子域授权:

    • 子域的概念:在域内划分出小域即为子域。
    • 授权也称为委派,子域授权的步骤:

    (1)划分子域

    (2)完成授权

    • 授权是自上而下的过程,父域知道子域的存在并知道子域的主DNS服务器地址(父域的名称解析库中有子域的NS记录和主机A记录),而子域并不知道父域的存在,因此子域需要从根域开始查找。
    • 如果想让子域解析父域,最简单的办法就是设置转发。

    2、DNS的转发:

    转发的前提——接收转发请求的服务器必须能够为请求者做递归查询;

    (1)无条件转发:转发所有针对非本机负责解析的区域的请求;
    #在主配置文件/etc/named.conf的全局选项中添加如下内容:
    options {    
        forwarders { ip; };    
        forward ;     
    };

    (2)条件转发:仅转发对特定区域的请求(即转发域);
    
    
      
    zone "区域名称" IN {
        type forward;          
        forwarders {  ip; };    
        forward ;    
    
    };

    3、BIND的ACL:

    (1)BIND中常用4个常用的控制指令:

       //允许做区域传送的指令
        //允许做查询的指令
      //允许做递归查询的ip列表,一般来说只允许给本地客户端做递归查询
         //用于DDNS(动态DNS:与DHCP联动),比较危险,一般不允许更新数据文件

    (2)BIND的ACL定义:

    acl    名称              定义acl规则
    

    其中,定义的参数有四种,分别是:any、none、local、localnet

    acl只有先定义才可以使用,因此acl定义必须在acl调用的最上方即放在配置文件的最上方。

    4、通过视图(view)实现智能DNS:

    通过view语句可以完成DNS的智能解析功能,其语法如下:

      
    

    本次博文的内容就这么多哈,下次我们给出一个综合案例来总结下DNS的知识;欢迎各位大大拍砖~~

    转载于:https://blog.51cto.com/sweetpotato/1607383

    展开全文
  • 什么是rndc:Remote Name Domain Controller,远程名称域控制rndc 通过一个 TCP 连接与名字服务器通信,发送经过数字签名认证的命令。在当前版本的rndc 和 named 中,唯一支持的认证算法是 HMAC-MD5,在连接的两端...

    rndc的相关知识:
    1.什么是rndc:
    Remote Name Domain Controller,远程名称域控制器
    rndc 通过一个 TCP 连接与名字服务器通信,发送经过数字签名认证的命令。在当前版本的rndc 和 named 中,唯一支持的认证算法是 HMAC-MD5,在连接的两端使用共享密钥。它为命令请求和名字服务器的响应提供 TSIG类型的认证。所有经由通道发送的命令都必须被一个服务器所知道的 key_id 签名。
    监听端口:953/tcp
    语法:
    rndc [-b address] [-c config] [-s server] [-p port]
    [-k key-file ] [-y key] [-V] command
    command is one of the following:
    reload Reload configuration file and zones. #重新加载配置文件和区域文件
    reconfig Reload configuration file and new zones only. #重新加载配置文件和新的区域文件
    freeze Suspend updates to all dynamic zones.
    stats Write server statistics to the statistics file. #将服务器统计信息写入统计文件中
    stop Save pending updates to master files and stop the server.
    halt Stop the server without saving pending updates.
    flush Flushes all of the server's caches. #清空DNS缓存
    status Display status of the server. #显示bind服务器的工作状态
    2、rndc的调试和日志:
    调试:显示程序运行中的详细信息(会产生I/O,正常情况下建议关闭)
    调试级别:0,1,2,3...
    提升调试级别:
    rndc trace
    rndc trace LEVEL
    rndc notrace
    打开查询日志:记录查询动作(会增加磁盘I/O)
    Linux-dns基础知识和BIND的简单配置-3(主从DNS服务器及转发)
    ——————————————————————————————————————————————————
    主从DNS服务器的配置
    功能:避免因主DNS服务器挂了而影响一个域下的所有主机无法访问;服务器可均衡访问负载。
    从服务器上的解析库文件内容要与主服务器一致,从服务器要随时从主服务器同步,这个同步是单向的,只有从服务器拉取主服务器的解析库文件
    如何令解析请求均衡负载

    如果是对本地缓存DNS服务器的请求,则只需令本地一半主机DNS地址配置为主服务器的IP,另一半配置为从的即可;
    如果是对互联网上负责指定域的服务器,则只需在该服务器上级DNS服务器写两条NS记录即可,bind给客户主机答案时会采取轮询方式。
    配置主从服务器
    主从服务器时间要一致。
    从服务器的解析文件从主DNS服务器同步而来,不能手动创建和修改。从服务器的解析库文件放置在/var/named/slaves目录下。
    named进程对工作目录/var/named是没有写权限的,而在从服务器上又不能像在主服务器上那样以管理员的身份手动创建解析库,故bind提供了一个目录/var/named/slaves用来专门存放同步而来的解析文件。named进程对该目录是有写权限的
    Linux-dns基础知识和BIND的简单配置-3(主从DNS服务器及转发)

    区域的定义:
    zone “区域名称” IN {
    type slave; #区域类型为从DNS服务器
    file "slaves/ZONE_NAME.zone"; #区域文件必须保存在slaves目录下,放在其他目录没有权限
    masters { #指出主服务器是谁,注意:花括号前后要有一个空格
    MASTER_DNS_IP;主dns服务器IP地址,可一个也可以多个
    MASTER_DNS2_IP;
    };
    };
    我们在这里以正向解析的主从DNS服务器配置为例子
    首先编辑主dns服务器上的区域解析库文件添加相应记录
    Linux-dns基础知识和BIND的简单配置-3(主从DNS服务器及转发)
    编辑从DNS服务器的/etc/named.rfc1912.zones 添加相应区域记录
    zone "lishuai.com" IN {
    type slave;
    file "slaves/lishuai.com.zone";//这里的区域名称和解析库文件名称要和主DNS服务器的保持一致
    masters { 192.168.2.18; };
    };
    在从DNS服务器上检查语法错误,重读配置文件
    Linux-dns基础知识和BIND的简单配置-3(主从DNS服务器及转发)
    我们在主DNS服务器解析库文件里修改一下序列号
    Linux-dns基础知识和BIND的简单配置-3(主从DNS服务器及转发)
    rndc reload
    我们可以在主DNS服务器日志中看到
    Linux-dns基础知识和BIND的简单配置-3(主从DNS服务器及转发)
    在从DNS服务器的/var/named/slaves内我们也可以看到同步的解析库文件
    Linux-dns基础知识和BIND的简单配置-3(主从DNS服务器及转发)
    Linux-dns基础知识和BIND的简单配置-3(主从DNS服务器及转发)
    如果同步的解析库文件乱码,我们就在区域文件里指定格式即可
    zone "lishuai.com" IN {
    type slave;
    file "slaves/lishuai.com.zone";
    masters { 192.168.2.18; };
    masterfile-format text;
    };
    +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

    测试
    Linux-dns基础知识和BIND的简单配置-3(主从DNS服务器及转发)
    1、每个DNS服务器必须要有一个对应的NS资源记录;
    2、创建slave的时候,其配置文件类型必须是type slve; 必须指定主服务器的 IP地址 ;
    3、可以使用dig -t axfr test.com @server_IP 从主DNS服务器拉取所有解析库资源记录;
    4、主辅同步完成后,将自动在slave服务器上的slaves/目录下生成zone文件,这些区域文件是从主DNS同步过来的,一般为只读,不建议更改slave的zone文件;
    5、在主DNS上修改区域文件时,必须将SOA记录的serial加1 因为slave是通过serial值来进行判断更新的(windows系统上是自动完成的);
    6、DNS的日志默认全部保存在/var/log/messege 文件中;
    7、DNS的解析依赖于解析库,所以就算是所配置的内容是完全不存在的也可以解析(且正向解析和反向解析的解析库是各自独立的)。需要注意,正向解析里没有PTR记录,而反向解析库里不需要A记录、MX记录和CNAME记录

    创建子域
    这里我们还是以从DNS服务器作为子域服务器(192.168.2.29)主DNS服务器作为父域(192.168.2.18)
    我们在子域服务器编辑/etc/named.rfc1912.zones创建子域区域文件
    zone "son.lishuai.com" IN {
    type master;
    file "son.lishuai.com.zone";
    };
    创建子域区域文件的解析库文件
    Linux-dns基础知识和BIND的简单配置-3(主从DNS服务器及转发)
    我们在父域服务器编辑解析库文件添加子域的NS记录和A记录
    Linux-dns基础知识和BIND的简单配置-3(主从DNS服务器及转发)

    named-checkconf
    named-checkzone lisuai.com lishuai.com.zone
    Linux-dns基础知识和BIND的简单配置-3(主从DNS服务器及转发)
    extra GLUE A表示额外的粘附A记录
    rndc reload

    测试
    Linux-dns基础知识和BIND的简单配置-3(主从DNS服务器及转发)
    此时我们把主从DNS服务器功能关掉 并且清除缓存我们测试一下子域是否能访问父域
    Linux-dns基础知识和BIND的简单配置-3(主从DNS服务器及转发)
    rndc reload
    rndc flush
    Linux-dns基础知识和BIND的简单配置-3(主从DNS服务器及转发)
    此时我们发现子域无法解析父域
    授权是自上而下的,上级(父域)知道下级(子域)的存在,而下级(子域)并不知道上级(父域)的存在(因此子域的解析从根开始层层往下迭代)
    我们可以通过转发让子域也能解析父域
    +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

    DNS名称解析转发器:

    Linux-dns基础知识和BIND的简单配置-3(主从DNS服务器及转发)

    (1)当本地DNS服务器(也是转发器)收到查询时,它会尝试使用它主持和缓存的主要和辅助区域解析该查询;
    (2)如果不能使用本地数据解析查询,此时它作为客户端,会将查询转发给外网DNS服务器;
    (3)本地DNS(转发器)收到客户端的请求后会等待一段很短的时间,等待来自外网DNS的应答;
    (4)对于外网DNS来说,它接收到的查询请求是递归查询,此时,它自己需要向外层层迭代找到最终答案返回给转发器(此时转发器作为DNS客户端)
    (5)转发器将外网DNS返回的查询结果送到客户端(非权威答案),完成解析过程。
    注:转发的前提——接收转发请求的服务器(这里是外网DNS)必须能够为请求者(这里是本地DNS,也是转发器)做递归查询;
    3、转发的类型:
    (1)无条件转发:转发所有针对非本机负责解析的区域的请求;

    #在主配置文件/etc/named.conf的全局选项中添加如下内容:
    options {
    forwarders { ip; }; #指明转发器是谁
    forward only|first; #only表示仅转发 ;first表示先进行转发,如果没查询到结果,那么它自己还会根据根提示向外迭代查询
    };

    (2)条件转发:仅转发对特定区域的请求(即转发域);

    #在区域置文件/etc/named.rfc1912.zone中定义转发域:
    zone "区域名称" IN {
    type forward; #区域的类型为转发
    forwarders { ip; }; #指明转发器是谁
    forward only|first; #only表示仅转发 ;first表示先进行转发,如果没查询到结果,那么它自己还会根据根提示向外迭代查询

    };

    我们在子域服务器的全局配置文件里加入如下:
    Linux-dns基础知识和BIND的简单配置-3(主从DNS服务器及转发)
    检查配置文件然后rndc reload
    测试
    Linux-dns基础知识和BIND的简单配置-3(主从DNS服务器及转发)
    此时子域已经能正常解析父域
    我们把刚才在全局配置文件中加的转发给注释掉,然后rndc flush
    在子域的的/etc/named.rfc1912.zones 配置条件转发,转发只针对父域的请求

    zone "lishuai.com" IN {
    type forward;
    forwarders { 192.168.2.18; };
    forward first;
    };

    检查配置文件并执行rndc reload
    测试
    Linux-dns基础知识和BIND的简单配置-3(主从DNS服务器及转发)
    此时针对lishuai.com的请求我们可以通过子域去解析

    转载于:https://blog.51cto.com/12052401/2135278

    展开全文
  • LinuxDNS服务器

    2013-04-05 20:47:38
    Linux中的DNS服务器 DNS(Domain Name Service):实现域名解析 正向解析: IP --> FQDN(主机名) ...DNS服务器常见的类型: ... 转发器 数据库中的每一个条目都称作一个资源记录(Re...
  • 第11讲 基于LinuxDNS服务配置; 本讲要点;1. hosts文件;2.配置DNS所需的相关文件;... 转发器设置; 授权设置; 区域定义;5. 正向解析文件;6.反向解析区域文件 ; /var/named/named.ca文件 ;7.DNS服务器客户端配置 (2) W
  • LinuxDNS(详解)

    万次阅读 2018-09-16 13:11:00
     DNS 是域名系统 (Domain Name System) 的缩写,它是由解析和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址,...
  • 3.转发器DNS服务器的配置 转发器是在named.conf文件中的options区段设置的主要用到两个配置选项 forwarders指定要把查询请求转发到的远程域名服务器的IP地址 forwarders { ip_addr [port ip_port] ;} forward启用...
  • 什么是DNS主从复制?...这里提一下DNS服务器类型有以下几种:主DNS服务器辅DNS服务器缓存服务器(默认)转发器需要注意的是:1、做主从的时候时间同步非常重要,必须保持时间的一致性;2、DNS(b...
  • Linuxdns操作(Rhce)

    2019-05-26 19:27:43
    DNS是域名系统(Domain Name System)的缩写,它是由解析和域名服务器组成。域名服务器是指保存有该网络中所有主机的域名和对应的IP地址,并具有将域名转化为IP地址功能的服务器。其中域名必须对应一个IP地址,而...
  • DNS 是域名系统 (Domain Name System) 的缩写,它是由解析和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址,而...
  • DNS服力(配置为转发域):192.168.137.7 3.子域DNS服务务:192.168.137.9 二.安装DNS编写主配置文件及区域配置文件 vim /etc/named.conf 测试解析 IP:192.168.137.8不在ACL列表内无法解析 ...
  • DNS正反向解析和主从同步配置

    千次阅读 2017-01-14 19:17:34
    转发器 主从简介 主DNS服务器: 维护所负责解析的域内解析库的服务器;解析库由管理维护 从DNS服务器: 从主DNS服务器或其它的从DNS服务器那里“复制”(区域传递)一份解析库 DNS安装配置在Linux系统上安装能提供...
  • 测试机Centos6-2发出DNS请求时(除了从服务器),假设先找子域服务器(已经设置DNS转发器指向主服务器)解析域名对应的ip地址,有的话则回复给客户机结果,没有的话再找DNS主服务器解析对应的ip地址,有的话恢复客服...
  • 具有自由性,隐私性和安全性的高级DNS存根简介:什么是冒充或拒绝它不是DNS ...不可能是DNS ...是DNS。 -SSBroski Repique是一个高级...对于自托管的多个侦听和上游,转发转发规则极为动态且灵活。 时钟,CAC的配置
  • 2015年3月24更新 添加了要加的配置域名解析(否则会找不到域名) 一、创建该实验的的模型 配置完gate虚拟机的两张网卡后,就启动gate的转发 [root@localhostroot]#vi /etc/sysctl.conf ... ...
  • 任务一:配置区域与转发器,并解析一个web站点 任务二:配置委派和子域转发 任务三:配置dns为dc定位服务 实验环境介绍:benet公司的dns为dc做解析,ip地址为192.168.30.1/24,dc的ip地址为192.168.30.2/24,linux...
  • 本课程内容 ...设置转发器,如果缓存域名服务器解析不到,会转发到网上能解析到的DNS服务器(一般是电信等运营商提供的DNS) 重启bind软件服务 设置客户机首选DNS为缓存域名服务器的ip地址 验证:因为
  • 对于自托管的多个侦听和上游,转发转发规则极为动态且灵活。 时钟,缓存和重复模式的配置可以随时无限地在Windows上临时重新加载。 Repique二进制文件的所有大小(6MiB)比现有的支持3+加密协议的go程序小得...
  • DNS是域名系统(DomainNameSystem)的缩写,它由解析和域名服务器组成的,保存有该网络中所有主机的域名和对应的IP地址,并具有将域名转换为IP地址功能的服务器。 DNS服务器在域名解析过程中的查询顺序为:本地缓存...
  • 由于WDS是工作做OSI7层网络模型中的链路层(二层),直接使用iptables进行DNS劫持显然行不通,后来还尝试了使用libpcap进行抓包转发,哈哈,显然行不通,各种折腾。 最后发现Linux还有二层防火墙:) ebtables – 与...
  • 3.4.2 使用IPChains实现数据包过滤和转发 第4章 Linux文件及系统管理 4.1 文件和目录 4.1.1 文件和目录概述 4.1.2 文件类型 4.2 文件权限 4.2.1 文件权限的概念 4.2.2 文件权限的构成 4.2.3 文件权限的依赖性 ...
  • LINUX系统管理白皮书

    2011-10-21 18:37:45
    本书同时收录了Linux领域两位领导人物的作品—相当于“Linux 文档项目”的一个印刷版本,展示了Linux 核心概念及其基本结构。对于面向所有主流Linux子系统的支持与管理任务,本书都进行了恰到好处的讲解。涵盖的主题...
  • Linux网络管理员手册

    2010-10-19 14:47:06
    Linux网络管理员手册 The Linux Network Administrator’s Guide Copyright © 1992-1994 Olaf Kirch 翻译:赵炯 gohigh@shtdu.edu.cn 1999/8/30(草) Legal Notice UNIX is a trademark of Univel. Linux ...
  • 本书介绍如何在Linux下建立、运行并维护站点的综合技术,它适合于有一定的UNIX或Linux基本操作基础的网络建立者和维护者,同时也是广大Linux爱好者的一本较全面的参考书。本书从建站的准备工作开始,写到建立功能...
  • Linux系统管理白皮书

    2008-11-20 14:22:26
    本书同时收录了Linux领域两位领导人物的作品—相当于“Linux 文档项目”的一个印刷版本,展示了Linux 核心概念及其基本结构。对于面向所有主流Linux子系统的支持与管理任务,本书都进行了恰到好处的讲解。涵盖的主题...
  • RED HAT LINUX 6管理工具

    2011-10-21 18:46:46
    4.2 内核IP转发和伪装规则 61 4.3 tcpd 65 4.4 TIS防火墙工具箱 66 4.5 SSH 71 4.6 结束语 75 第5章 基本Web服务 76 5.1 基本Apache配置 76 5.2 使用和不使用IP别名的虚拟主机 77 5.2.1 使用IP别名的虚拟主机 77 ...

空空如也

空空如也

1 2 3 4
收藏数 62
精华内容 24
关键字:

dns转发器linux

linux 订阅