参考文章:Centos7.8部署DNS服务、从服务及分离解析
| 主机名称 | 操作系统 | IP地址 |
|---|---|---|
| DNS服务器 | Centos7.8 | 192.168.250.209/24 |
| 应用服务器 | CENTOS7.8 | 192.168.250.200/24 |
| 测试PC | WINDOWS10家庭版 | 10.128.40.100/24 |
二.安装bind服务软件包
BIND( Berkeley Internet Name Domain,伯克利因特网名称域)服务是全球范围内使用最广泛、最安全可靠且高效的域名解析服务程序。DNS 域名解析服务作为互联网基础设施服务,其责任之重可想而知,因此建议在生产环境中安装部署 bind 服务程序时加上 chroot(俗称牢笼机制)扩展包,以便有效地限制 bind 服务程序仅能对自身的配置文件进行操作,以确保整个服务器的安全。
yum install bind-chroot
在 bind 服务程序中有下面这三个比较关键的文件 :
1.主配置文件
/etc/named.conf
将这两个位置修改:
listen-on port 53{ any; }; #表示服务器上的所有IP地址均可提供 DNS 域名解析服务
allow-query { any; }; #允许所有人对本服务器发送DNS查询请求
2.区域配置文件
/etc/named.rfc1912.zones
它是用来保存域名和 IP地址对应关系的所在位置。在这个文件中,定义了域名与 IP 地址解析规则保存的文件位置以 及服务类型等内容,而没有包含具体的域名、IP 地址对应关系等信息。
服务类型有三种,分别为 hint(根区域)、master(主区域)、slave(辅助区域),其中常用的 master 和 slave 指的就 是主服务器和从服务器。
正向解析区域:
zone "haopython.com" IN {
type master; #服务类型
file "haopython.com.zone"; #域名与IP地址解析规则保存的文件位置
allow-update { none; }; #允许哪些客户机动态更新解析信息
};
反向解析区域:
zone "250.168.192.in-addr.arpa" IN { #表示网段的反向解析区域
type master;
file "192.168.250.arpa";
};
3.数据配置文件目录
/var/named)三.配置正向解析
这是最常用的 DNS 工作模式。
正向解析是指根据域名(主机名)查找到对应的 IP 地址。也就是说,当用户输入了一个域名后,bind 服务程序会自动进行查找,并将匹配到的 IP 地址返给用户。
1.编辑区域配置文件
[root@mybind ~]# vim /etc/named.rfc1912.zones
[root@mybind ~]# cat /etc/named.rfc1912.zones
zone "haopython.com" IN {
type master;
file "haopython.com.zone";
allow-update {none;};
};
2.编辑数据配置文件
先从/var/named 目录中复制一份正向解析的模板文件( named.localhost), 然后把域名和 IP 地址的对应数据填写数据配置文件中并保存。
[root@mybind ~]# cd /var/named/
[root@mybind named]# ls -al named.localhost
-rw-r-----. 1 root named 1526月 212007 named.localhost
[root@mybind named]# cp -a named.localhost haopython.com.zone
[root@mybind named]# vim haopython.com.zone
[root@mybind named]# cat haopython.com.zone
$TTL 1D
@ IN SOA haopython.com. root.haopython.com. (
0; serial
1D; refresh
1H; retry
1W; expire
3H) ; minimum
NS ns.haopython.com.
ns IN A 192.168.250.200
www IN A 192.168.250.200
AAAA ::1
配置后,重启named服务:
systemctl restart named
systemctl status named.service
3.检验解析结果
先修改DNS服务器的DNS地址为本机地址 192.168.250.209,然后重启网络服务:
systemctl restart network
然后用 nslookup:
nslookup
> www.haopython.com
Server: 192.168.250.209
Address: 192.168.250.209#53
Name: www.haopython.com
Address: 192.168.250.200
Name: www.haopython.com
Address: ::1
在WIN10客户端,设DNS为 192.168.250.209,然后测试:
这里测试时,在服务器上开放53的TCP和UDP端口。
firewall-cmd --permanent --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: dhcpv6-client ssh
ports: 53/tcp 53/udp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
四.配置反向解析
反向解析的作用是将用户提交的 IP 地址解析为对应的域名信息,它一般用于对某个 IP 地址上绑定的所有域名进行整体屏蔽,屏蔽由某些域名发送的垃圾邮件。它也可以针对某个 IP 地址进行反向解析,大致判断出有多少个网站运行在上面。
扫描二维码关注公众号,回复:
14317446 查看本文章
1.编辑区域配置文件
[root@mybind ~]# vim /etc/named.rfc1912.zones
[root@mybind ~]# cat /etc/named.rfc1912.zones
zone "haopython.com" IN {
type master;
file "haopython.com.zone";
allow-update {none;};
};
zone "250.168.192.in-addr.arpa" IN {
type master;
file "192.168.250.arpa";
};
2.编辑数据配置文件
先从/var/named 目录中复制一份反向解析的模板文件( named.loopback), 然后进行修改
[root@mybind named]# pwd
/var/named
[root@mybind named]#
[root@mybind named]# cp -a named.loopback 192.168.250.arpa
[root@mybind named]# ls -al
总用量 28
drwxrwx--T. 6 root named 1914月 1211:33.
drwxr-xr-x. 21 root root 40964月 1209:13..
-rw-r-----. 1 root named 16812月 152009192.168.250.arpa
drwxr-x---. 7 root named 614月 1209:13 chroot
drwxrwx---. 2 named named 234月 1210:42 data
drwxrwx---. 2 named named 604月 1210:42dynamic
-rw-r-----. 1 root named 2464月 1210:41 haopython.com.zone
-rw-r-----. 1 root named 22534月 52018 named.ca
-rw-r-----. 1 root named 15212月 152009 named.empty
-rw-r-----. 1 root named 1526月 212007 named.localhost
-rw-r-----. 1 root named 16812月 152009 named.loopback
drwxrwx---. 2 named named 62月 2401:17 slaves
修改如下:
[root@mybind named]# vim 192.168.250.arpa
[root@mybind named]# vim 192.168.250.arpa
$TTL 1D
@ IN SOA haopython.com. root.haopython.com. (
0; serial
1D; refresh
1H; retry
1W; expire
3H) ; minimum
NS ns.haopython.com.
ns A 192.168.250.200
10 PTR ns.haopython.com.
10 PTR www.haopython.com.
3.检验结果解析
重启服务
systemctl restart named
测试
[root@mybind named]# nslookup
> www.haopython.com
Server: 192.168.250.209
Address: 192.168.250.209#53
Name: www.haopython.com
Address: 192.168.250.200
> 192.168.250.200
200.250.168.192.in-addr.arpa name = www.haopython.com.
200.250.168.192.in-addr.arpa name = ns.haopython.com.
>
第二部分:部署从服务器
| 主机名称 | 操作系统 | IP地址 |
|---|---|---|
| 主DNS服务器 | Centos7.8 | 192.168.250.209 |
| 从DNS服务器 | Centos7.8 | 192.168.250.219 |
2.基本架构
二.配置从服务器
1.编辑主服务器的区域配置文件
在主服务器的区域配置文件中允许该从服务器的更新请求:
[root@mybind named]# vim /etc/named.rfc1912.zones
[root@mybind named]# cat /etc/named.rfc1912.zones
zone "haopython.com" IN {
type master;
file "haopython.com.zone";
allow-update { 192.168.250.219; };
};
zone "250.168.192.in-addr.arpa" IN {
type master;
file "192.168.250.arpa";
allow-update { 192.168.250.219; };
};
[root@mybind named]# systemctl restart named
2.编辑从服务器的区域配置文件
在从服务器中填写主服务器的 IP 地址与要抓取的区域信息,然后重启服务。
为了配置方便,先从主服务器 mybind拷贝现在的配置文件到从服务器 mybind2目录下:
[root@mybind named]# scp /etc/named.rfc1912.zones [email protected]:/etc/named.rfc1912.zones
The authenticity of host '192.168.250.219 (192.168.250.219)' can't be established.
ECDSA key fingerprint is SHA256:vThEoRhUOECeD5jhE+m8TZA2+6OoElIoNOQ3XqtopZw.
ECDSA key fingerprint is MD5:97:40:b2:35:6e:07:5a:61:1f:73:f1:b2:6e:54:5b:7d.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.250.219' (ECDSA) to the list of known hosts.
[email protected]'s password:
named.rfc1912.zones
然后到从服务器进行修改:
[root@mybind2 ~]# vim /etc/named.rfc1912.zones
[root@mybind2 ~]# cat /etc/named.rfc1912.zones
zone "haopython.com" IN {
type slave;
masters { 192.168.250.209; };
file "slaves/haopython.com.zone";
};
zone "250.168.192.in-addr.arpa" IN {
type slave;
masters { 192.168.250.209; };
file "slaves/192.168.250.arpa";
};
3.检验解析结果
查看下面目录,暂时无文件:
[root@mybind2 slaves]# pwd
/var/named/slaves
[root@mybind2 slaves]# ll
总用量 0
[root@mybind2 slaves]#
然后启动bind服务
systemctl start named
systemctl status named
并修改从服务器的DNS地址为 192.168.250.219然后测试
[root@mybind2 slaves]# nslookup
> www.haopython.com
Server: 192.168.250.219
Address: 192.168.250.219#53
Name: www.haopython.com
Address: 192.168.250.200
> 192.168.250.200
200.250.168.192.in-addr.arpa name = ns.haopython.com.
200.250.168.192.in-addr.arpa name = www.haopython.com.
第三部分:DNS分离解析技术
| 主机名称 | 操作系统 | IP地址 |
|---|---|---|
| DNS服务器 | Centos7.8 | 北京网络:172.16.10.17/24 上海网络:10.128.29.177 |
| 北京用户 | WIN10 | 172.16.10.200/24 |
| 上海用户 | MAC OS | 10.128.29.200/24 |
二.配置分离解析
1.配置主配置文件
下面修改 bind 服务程序的主配置文件:
vim /etc/named.conf
[root@split-bind ~]#
options {
listen-on port 53{ any; }; #修改为any
listen-on-v6 port 53{ ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
recursing-file "/var/named/data/named.recursing";
secroots-file "/var/named/data/named.secroots";
allow-query { any; }; #修改为any
删除下面几行的根域信息:
zone "." IN {
type hint;
file "named.ca";
};2.编辑区域配置文件
把区域配置文件中原有的数据清空,然后配置view规则:
[root@split-bind ~]# vim /etc/named.rfc1912.zones
[root@split-bind ~]# cat /etc/named.rfc1912.zones
acl "beijing"{ 172.16.10.0/24; };
acl "shanghai"{ 10.128.29.0/24; };
view "beijing"{
match-clients { "beijing"; };
zone "haopython.com"{
type master;
file "haopython.com.beijing";
};
};
view "shanghai"{
match-clients { "shanghai"};
zone "haopython.com"{
type master;
file "haopython.com.shanghai";
};
};3.建立数据配置文件
这里通过复制模板文件,创建两个不同名称的数据文件:
[root@split-bind ~]# cd /var/named
[root@split-bind named]# ls
chroot data dynamic named.ca named.empty named.localhost named.loopback slaves
[root@split-bind named]# cp -a named.localhost haopython.com.beijing
[root@split-bind named]# cp -a named.localhost haopython.com.shanghai先编辑北京配置文件
[root@split-bind named]# vim haopython.com.beijing
[root@split-bind named]# cat haopython.com.beijing
$TTL 1D
@ IN SOA haopython.com. root.haopython.com. (
0; serial
1D; refresh
1H; retry
1W; expire
3H) ; minimum
NS ns.haopython.com.
ns IN A 172.16.10.10#DNS服务器地址
www IN A 172.16.10.17#web服务器地址然后编辑上海配置文件
[root@split-bind named]# vim haopython.com.shanghai
[root@split-bind named]# cat haopython.com.shanghai
$TTL 1D
@ IN SOA haopython.com. root.haopython.com. (
0; serial
1D; refresh
1H; retry
1W; expire
3H) ; minimum
NS ns.haopython.com.
ns IN A 10.128.29.10
www IN A 10.128.29.1174.结果验证
重启named服务,然后在客户机上进行验证