反向解析,DNS服务器搭建

By admin in 美高梅手机版4858 on 2019年3月27日

 

 

前话

咳咳,本次Linux系统的DNS服务器搭建自个儿只得记下来。,那错误真的太蛋疼了,笔者总体弄了两日才消除难点(抱歉小编很蠢)。

唯恐有人会和笔者犯同样的失实,给大家享受一下经历。

首先计算一下知识点:

  • DNS文件配置(named.conf)

  • 正向解析文件配置(xxx.zone)

  • 反向解析文件配置(xxx.rev)

  • 安排文件检查

  • Named服务运维

  • 总得记得关闭系统防火墙!!!小编就死在二日了!!!

上边发轫布局实例。


1. 测试环境:Centos 6.9

虚拟主机中安装
软件BIND

上篇说了主DNS正向解析

这篇说了主DNS正向解析

配置实例

为了方便下边包车型客车理解,小编那里列出加入测试的虚拟机

系统 角色 域名 IP
CentOS7 DNS服务器 192.168.217.130
Window Server 2003 网站服务器 pwc.cn 192.168.217.101
Window Server 2003 DNS客户机 192.168.217.131

2.DNS原理:

域名解析主要有二种方法:

1). host表用在本机上边hosts
反向解析,DNS服务器搭建。2). NIS(网络音讯服务)首要用在小型网络,并且已经大多数不在使用
3).DNS域名服务 分层的分布式数据库来拍卖IP地址和域名的转移。

DNS组成:DNS域名空进+DNS服务器+解析器
浅析进程:

1)本地解析(使用此前的缓存音信,大概地面HOSTS文件)
2)直接解析(直接持有设定的DNS服务器解析)
3)递归查询(由DNS服务器代表客户机向其它DNS 服务器询问)
4)迭代查询(DNS向客户机再次来到一个得以分析的别的DNS服务器)

中档是有个小题指标,什么难题呢?

 

第一步,安装DNS服务

命令行输入以下命令:

yum -y install bind-chroot.x86_64

回车键后yum会自动下载安装服务以及其借助文件,等待下载完毕,安装到位示范如下:

美高梅手机版4858 1

为了便于后边测试,我们须要设置任何五个命令行工具,分别输入以下命令

yum -y install net-tools.x86_64

yum -y install bind-utils.x86_64

到此处,大家运营一下DNS服务试试,输入以下命令:

service named start

美高梅手机版4858 2

开发银行成功,接着大家关闭DNS服务。

到那边,DNS服务安装实现

3.软件的安装

yum install -y bind
rpm -ql bind查看没有设置

美高梅手机版4858 3

安装bind

借问当大家输入wwww或ww或越多w的时候它还是能分析出来呢?

个中是有个小标题标,什么难题吗?

第二步,配置DNS文件

第2,大家找到/etc/named.conf文件并进入其所在目录,输入指令行
vi named.conf进展查看编辑,named.conf文件内容如下 :

options { //服务器的全局配置选项及一些默认设置
        listen-on port 53 { 127.0.0.1; }; //监听IP和端口,此处监听本地IP
        listen-on-v6 port 53 { ::1; }; //对ip6支持
        directory       "/var/named";  //区域文件存储目录
        dump-file       "/var/named/data/cache_dump.db"; //dump cach的目录directory
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        forwarders     { 1.1.1.1; 2.2.2.2; }; // 如果域名服务器无法解析时,将请求交由1.1.1.1;2.2.2.2来解析
        allow-query    { localhost; };   //指定允许进行查询的主机
        allow-transfer { none; }; //指定允许接受区域传送请求的主机,说明白一点就是辅dns定义,比如辅dns的ip是3.3.3.3,那么可以这样定义{ 3.3.3.3; },要不然主辅dns不能同步
        recursion yes;
        dnssec-enable yes;
        dnssec-validation yes;

        bindkeys-file "/etc/named.iscdlv.key";
        managed-keys-directory "/var/named/dynamic";

         pid-file        "/var/run/named/named.pid"; //存着named的pid
         session-keyfile-direction "/run/named/session.key";
};

logging { //指定服务器日志记录的内容和日志信息来源
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };

zone "." IN {   //根域名区域,下面指定file文件中包含全球13个根域名服务器地址
        type hint;
        file "name.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

要添加自个儿的解析域,只需在剧情前边添加zone即可。
此外,大家要留心zone内的type,该type值有二种,如下:

  • hint,存根区域
  • master,首要区域
  • slave,接济区域

上面,我们对其展开改动,加上自身的域名解析,修改后内容如下(只展现需修改和丰裕的有个别):

options { //服务器的全局配置选项及一些默认设置
        listen-on port 53 { any; };  //修改为any,表示监听本机所有IP
        allow-query    { any; };    //修改为any,表示接收所有DNS解析请求
};

zone "." IN {   //根域名区域,下面指定file文件中包含全球13个根域名服务器地址
        type hint;
        file "name.ca";
};

//下面我们自己添加解析域

zone "cn" IN {  //正向解析
        type master;
        file "cn.zone";
};

zone "217.168.192.in-addr.arpa" IN {  //反向解析,注意
        type master;
        file "cn.rev";
};


include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

那儿,大家命令行键入如下命令实行DNS配置文件检查:

named-checkconf /etc/named.conf

假使回车键后没有错误提醒,表示改配置没有不当

到那里,大家就布局好了DNS配置文件。可是还没得了,下边大家要创设新加上的多少个zone区域文件,分别是cn.zone正向解析文件,和cn.rev反向解析文件

4.装置后根本文件

/etc/named #named目录
/etc/named.conf #主配置文件
/etc/rc.d/init.d/named #BIND开机自动时起步的本子
/usr/sbin/named #named进度程序文件
/usr/sbin/rndc #长距离控制named进度的工具
/usr/sbin/rndc-confgen #发生rndc密钥的工具
/usr/share/doc/bind-9.8.2 # 帮忙文书档案和例子文件
/usr/share/man/man5/ #手册
/usr/share/man/man8/#手册
/var/named # Bind配置文件的暗中认可存放目录
/var/run/named #named进度PID文件存放的目录

抑或不输入w的时候还可以分析吗?

 

其三步,正向解析文件配置

率先,我们进入文件夹 /var/named,然后大家成立2个名为 cn.zone
的文本,键入如下命令:

vi cn.zone

进去编辑模式,添加如下内容:

$TTL 3H          //M/H/D/W分别代表分/时/天/周,纯数字表示秒
@           IN  SOA luoyefengqiao.  root. (
                            2016011701;serial 
                            1D; refresh
                            1H; retry
                            1W; expire
                            3H ) ; minimum

;  ‘;’作为注释的开头

;  Zone NS records
;

@                       NS  luoyefengqiao.

;
;  Zone records
;

pwc                     A       192.168.217.101
www.pwc                 CNAME   pwc.cn.

封存推出后,我们键入如下命令对其布局举办检查:

named-checkzone cn /var/named/cn.zone

借使回到 ok 表示不曾不当。

到此处,大家的正向解析配置文件宗旨达成。

5.Bind的安顿文件

(bind的布署相比复杂)Bind的安顿文件必要依据实况才能健康运营,不然不或许不荒谬运维bind。上边以贰个归纳实例证实具体的配置格局:
首先步是主配置文件named.conf(在/etc/上边)
其次步支持配置文件named.rfc一九一四.zones在/etc/下边)

美高梅手机版4858 4

named.conf主配置文件

美高梅手机版4858 5

named.rfc一九一一.zones扶助配置文件

地方的文本都在/etc/下边,在改动时候能够备份好从前的暗中同意文件。
第三步 在/var/named/下面cp -p named.localhost named.benet.com
cp -p named.localhost named.197.168.192.zone
先复制出七个我们须要设置的正向和反向解析文件然后编辑:

第一个是正向解析的文本
第一个是反向解析的文件

美高梅手机版4858 6

named.benet.com正向解析文件

美高梅手机版4858 7

named.197.168.192.zone反向解析文件

布局文件都写好未来能够测试运维:
/usr/sbin/named -g &(-g的意义是彰显运转的进度,能够方便查看是或不是有报错)
到此多个布局文件已经形成,当笔者起步和测试时候出现了下边三种错误:
1.)这些是绝非删除主配置文件中有关IPv6的剧情导致

美高梅手机版4858 8

关于IPv6的报错

2.)解析不出去,解析出来的是另各地点,那么些是安装的暗中认可DNS不是大家设置服务器

美高梅手机版4858 9

没辙正确解析

亟待设置主机的DNS之后在测试(windows下的修改界面)

美高梅手机版4858 10

windows修改暗中同意DNS

vim /etc/sysconfig/network-scripts/ifcfg-eth0(linux下修改)

美高梅手机版4858 11

linux修改暗中同意的DNS

上篇没有定义是分析不了的,怎么定义呢?很简单,参与图中命令就可

借问当大家输入wwww或ww或越多w的时候它还可以分析出来啊?

第5步,反向解析文件配置

咱俩在同样目录创设二个名为 cn.rev 的文书,键入如下命令:

vi cn.rev

进入编辑方式,添加如下内容:

$TTL 3H
@           IN  SOA luoyefengqiao.  root. (
                            2016011701;serial 
                            1D; refresh
                            1H; retry
                            1W; expire
                            3H ) ; minimum

@                       NS  luoyefengqiao.

101                     PTR pwc.cn.

保存退出,然后大家一样键入检查命令:

named-checkzone cn /var/named/cn.rev

输出 ok 表示一向不错误

到那里,反向解析文件配置实现。

依照自身主机音讯修改上海体育场地的IP和DNS

3.)上面运营报错的原因为,文件和目录的权柄导致的故障,修改配置的多少个公文和上航海用体育场所柠檬黄的一部分的权位为777.故障消失

美高梅手机版4858 12

权力难题导致的故障

4.)做了以上操作照旧不可能解析 查看防火墙是或不是关闭

美高梅手机版4858 13

关闭防火墙

美高梅手机版4858 14

 

第五步,启动DNS服务

  1. 咱俩供给修改 /etc/resolv.con 文件,该实例添加内容
    nameserver 192.168.217.130
    美高梅手机版4858 15

  2. 咱俩输入命令 service named start
    美高梅手机版4858 16
    输出了上述内容,好像成功了。
    继之大家摸索 nslookup pwc.cn,但是解析不出pwc.cn的IP。

  3. 我们输入命令 service named status -l
    ,然后大家能够看看如下消息:
    美高梅手机版4858 17
    见到乳白文字,原来是正向反向解析文件访问受限。
    据此大家输入命令 chmod -R 777 cn.* 对多少个公文赋予最大权力。
    随即大家输入命令 service named restart 重启DNS服务,然后再输入
    service named status -l 检查意况。
    美高梅手机版4858 18
    输出如上,表明DNS服务运行大旨成功。

  4. 笔者们在DNS服务器中输入命令 nslookup pwc.cnnslookup www.pwc.cn
    ,DNS服务器本机解析基本没难点。
    美高梅手机版4858 19
    而是,我们在DNS客户机dos命令窗口输入 nslookup pwc.cn 或者
    nslookup www.pwc.cn 却请求DNS解析退步
    美高梅手机版4858 20

解析失败!!!为什么!!!
以此题材找麻烦了本身两日,客户机 ping
DNS服务器能够连接啊,为何客户机对DNS服务器请求解析错误???

DNS服务器检查了没有iptables防火墙服务啊,selinux服务也关闭了哟,为什么为何为何???

6.测试

结果如下图正常解析出来。然则反向解析现身了报错原因并未找到。日志如下:

美高梅手机版4858 21

正向解析

美高梅手机版4858 22

反向解析

美高梅手机版4858 23

以此报错有点类似 IPv6原因未知

小技巧

可能不输入w的时候还是能分析吗?

末段一步,关闭firewalld防火墙

最后找了深远,终于找到真理,centos7的暗许是不带iptables防火墙的,它带的是firewalld防火墙服务。所以,输入以下命令:

service firewalld stop

要永久关闭它自动谷歌(谷歌)百度:)

接下来客户机dos输入 nslookup www.pwc.cn 或者 nslookup pwc.cn
或许浏览器输入都能够成功解析。

美高梅手机版4858 24

7.Chroot功用和rndc(控制域名服务的长距离控制工具)

Chroot能够将文件系统中的有个别特定的子目录作为进度的虚拟主目录。使用此意义注意是从安全运会转,对系统入侵攻击的负面影响降到最低
安装:yum install -y bind-chroot
会冒出三个新的目录/var/named/chroot并且安装之后/etc/ /dev
/var的有关安插文件都会被复制到此目录下边。后续修改配置时须要主机目录地方。
Highlanderndc:rndc-confgen
生成密钥和相应的配备文件。然后写入配置文件rndc和named.conf文件中,不过自个儿在测试时候,没有成形出来。
第叁天测试又打响,将前八个放置rndc.conf中 第贰和第四个放置named.conf
能够修改allow中的内容,让任何主机能够中距离控制rndc。

美高梅手机版4858 25

rndc-confgen生成的文本

美高梅手机版4858 26

 

感想

最终可以缓解难题感到真好。

8.BIND的详尽布置

主配置语句名称:
acl:定义3个命名的造访列表(包括部分IP表示的主机)能够在言语使用,表示所定义的主机。(none、any、localhost(本地网络接口IP)、localnets(本地子网IP))
Controls:定义有关地方域名服务操作控制通道,被rndc用来发送控制命令。(如上边图片的第一个桔土黑框的始末)
Include:把另三个文本的始末包罗进来。
Key:定义二个密钥,用于TSIG授权和阐明(如上边图片的首先个红框的剧情)
Logging:有关日志文件的安插
Option:有关全局的取舍(directory钦命工作目录,pip-file设定进度PID文件的路径名,forwarders设定转载使用的IP地址,allow-query设定DNS服务器为如何用户提供DNS查询服务)
Server:定义与远程服务器交互的平整(能够定义是主域名仍然支持域名,以及与别的域名使用什么密钥通讯,和zone中type类型有像样成效)
trusted-keys:定义DNSSEC安全根的trusted-keys(不是太知道)
View:定义视图功效,能够依据客户端的两样有分别的回复DNS
Zone:定义DNS服务器所管理的区(type:Master/Slave/Stub/forwarder/Hint定义一套最新的根DNS服务器地址)

 

这篇从未概念是分析不了的,怎么定义呢?相当粗略,插手图中命令就可

9.根服务器文件named.root

一定于暗许named.conf中的zone定义的’.’也正是区文件/var/named目录下named.ca文件
能够利用dig列出最新的根服务器
有关区域数据文件上面已经证实:named.benet.com(正向)
$TTL 设置任何DNS服务器缓存本机数据的默许时间SOA设置发轫授权部门
NS
定义有些域由哪个服务器解析MX邮件能源记录钦命发往有个别域的邮件由越发邮件服务器负责A域名对应的IP地址CNAME小名允许多少个称呼指向同一个服务器。
Named.197.168.192通过in-addr.arpa域和PT帕杰罗记录完结

上边包车型地铁话反向解析

 

10.DNS负载均衡

至于负载均衡的定义可以查看http://www.jianshu.com/p/811e8a8e5616,
在区域文件中有二种写法:
IN MX 10 mail.example.com
IN MX 10 mail1.example.com
IN MX 10 mail2.example.com
……..
Mail IN A 192.168.0.4
Mail IN A 192.168.0.5
Mail IN A 192.168.0.6
或者
IN MX 10 mail.example.com
….
Mial IN A 192.168.0.4
IN A 192.168.0.5
IN A 192.168.0.6

反向解析正是IP →
名称

美高梅手机版4858 27

11.一直域名、泛域名、子域

DNS服务器能够间接解析的域名,间接域名 benet.com. IN A 192.168.0.12
域名下全体的主机和子域名都解析到同1个IP地址*.benet.com IN A
192.168.0.12
Benet.com是顶尖域名 则dean.benet.com便是八个子域名(二级域名)
$O安德拉IGIN dean.benet.com (就是贰个子域)
Mail IN A 192.168.0.3

环境

最少两台主机二个DNS服务器,三个客户机,同样43.7当服务器,43.6当客户机

安装开启服务就隐瞒了

 

12.援救域名服务器和只缓存服务器

援助域名服务器:顾名思义用来帮衬主服务器,配置和主服务器大约相同可是急需修改多少个地点:

1 主配置文件 设置转发成效 forwarders,也得以设置server
2 扶助配置文件named.rfc1913.zones 中zone中type
改为slave,扩展masters(设置主域名服务器地址)
3 主服务器中zone 扩张allow-transfer表示同意向某1个传送数据文件
只缓存服务器:类似于代理服务器,自己不治本区域,将具备查询提交给任何DNS服务器处理,并能够将结果缓存下来,当下次再有客户机使用时候能够直接行使缓存。
在主配置文件增加:forwarders(转载到其余服务器)forwarder
only(只转载)
zone之类都不在供给安装。只必要option和logging就足以了。

修改区域的布局文件

vim /etc/named.rfc1912.zones
#
#

美高梅手机版4858 28

始建图上反向解析文件

vim 192.168.43.zone
#

美高梅手机版4858 29

重读配置文件

rndc reload
#
#

看下文件的权柄

美高梅手机版4858 30

发现权限不对

修改区域文件权限

chown  :named 192.168.43.zone
#把这个文件加入到named组

美高梅手机版4858 31

重启服务

systemctl restart named
#

测试

美高梅手机版4858 32

备考:照常理来说,测试的时候
应该反着写地址 7.168.192.in-…那样

dig
–x 是特地测试反向解析的,就可如图中写法

 

小技巧

专程表明:BIND的配备文件格外复杂,很多时候须求依据,供给展开设置,而且设置配置文件一定要细心。

 

美高梅手机版4858 33

美高梅手机版4858, 

上面包车型地铁话反向解析

 

反向解析就是IP → 名称

 

环境
至少两台主机1个DNS服务器,一个客户机,同样43.7当服务器,43.6当客户机

 

安装开启服务就背着了

 

修改区域的安顿文件

vim /etc/named.rfc1912.zones
#
#

 

美高梅手机版4858 34

 

始建图上反向解析文件

 

vim 192.168.43.zone
#

 

美高梅手机版4858 35

 

重读配置文件

 

rndc reload
#
#

 

看下文件的权力

 

美高梅手机版4858 36

 

发觉权限不对

 

修改区域文件权限

 

chown  :named 192.168.43.zone
#把这么些文件插手到named组

 

美高梅手机版4858 37

 

重启服务

 

systemctl restart named
#

 

测试

 

美高梅手机版4858 38

 

备考:照常理来说,测试的时候 应该反着写地址 7.168.192.in-…那样

 

dig –x 是特地质衡量试反向解析的,就可如图中写法

Linux公社的RSS地址:

正文永久更新链接地址

美高梅手机版4858 39

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图
Copyright @ 2010-2019 美高梅手机版4858 版权所有