半自动化安装dns

1.  概述

在网络环境中一般用户只需要在浏览器中输入url如www.sunny.com就可以到对应服务器获取相应的信息。事实上服务器是不能根据www.sunny.com这样的地址找到对应的服务需要需要根据ip来找到对应的服务。那么网络上ip是怎么得到的呢这就要得益于dns服务器的工作。本文将对dns的工作原理dns常见的服务设置进行介绍最后本文将附上一篇dns自动化脚本方便用户快速搭建dns服务器。

2 原理介绍

DNS( Domain Name System)是“域名系统”的英文缩写是一种组织成域层次结构的计算机和网络服务命名系统它用于TCP/IP网络它所提供的服务是用来将主机名和域名转换为IP地址的工作。

DNS的域名结构如下

根域: 全世界只有13台这13台根域名服务器应该是理解为13组有13个根域ip地址名字分别为“A”至“M”1个为主根服务器在美国。其余12个均为辅根服务器其中9个在美国欧洲2个位于英国和瑞典亚洲1个位于日本。

顶级域即一级域名Top Level Domain: tld

com, edu, mil, gov, net, org, int,arpa

三类组织域、国家域(.cn, .ca, .hk, .tw)、反向域

最多是允许127级域名。

ICANNThe Internet Corporation for Assigned Names and Numbers互联网名称与数字地址分配机构负责在全球范围内对互联网通用顶级域名gTLD以及国家和地区顶级域名ccTLD系统的管理、以及根服务器系统的管理

这里涉及正向解析和反向解析两个概念

FQDN: Fully Qualified Domain Name  完全合格的域名如www.sunny.com

正向解析将FQDN 解析为 IP

反向解析将IP 解析为 FQDN

解析过程如下

Client -->hosts文件-->DNS Service Local Cache--> DNS Server (recursion递归查看本地配置的解析文件) --> Server Cache --> iteration(迭代) --> 根--> 顶级域名DNS-->二级域名DNS…最终本地dns查看结果后返回给客户端

详细过程解释如下

1、在浏览器中输入www.sunny.com域名操作系统会先检查自己本地的/etc/hosts文件是否有这个网址映射关系如果有就先调用这个IP地址映射完成域名解析。

2、如果/etc/hosts里没有这个域名的映射则查找本地DNS解析器缓存是否有这个网址映射关系如果有直接返回完成域名解析。

3、如果hosts与本地DNS解析器缓存都没有相应的网址映射关系首先会找TCP/ip参数中设置的首选DNS服务器在此我们叫它本地DNS服务器此服务器收到查询时如果要查询的域名包含在本地配置区域资源中则返回解析结果给客户机完成域名解析此解析具有权威性。

4、如果要查询的域名不由本地DNS服务器区域解析但该服务器已缓存了此网址映射关系则调用这个IP地址映射完成域名解析此解析不具有权威性。

5、如果本地DNS服务器本地区域文件与缓存解析都失效则根据本地DNS服务器的设置是否设置转发器进行查询如果未用转发模式本地DNS就把请求发至13台根DNS根DNS服务器收到请求后会判断这个域名(.com)是谁来授权管理并会返回一个负责该顶级域名服务器的一个IP。本地DNS服务器收到IP信息后将会联系负责.com域的这台服务器。这台负责.com域的服务器收到请求后如果自己无法解析它就会找一个管理.com域的下一级DNS服务器地址(sunny.com)给本地DNS服务器。当本地DNS服务器收到这个地址后就会找sunny.com域服务器重复上面的动作进行查询直至找到www.sunny.com主机。

6、如果用的是转发模式此DNS服务器就会把请求转发至上一级DNS服务器由上一级服务器进行解析上一级服务器如果不能解析或找根DNS或把转请求转至上上级以此循环。不管是本地DNS服务器用是是转发还是根提示最后都是把结果返回给本地DNS服务器由此DNS服务器再返回给客户机。

以上的解析中涉及到dns的两种查询类型即 递归查询和迭代查询

递归查询客户端向服务器查询叫递归查询

迭代查询DNS之间的查询叫迭代查询如查询www.sunny.com本地dns先询问根根返回结果让本地dns去询问com.这台dns然后本地查询com.这台dnscom.这台返回给本地dns让其去查询sunny.com.这台dns本地dns再次查询sunny.com.这台dns最终sunny.com.这台dns告诉本地dnswww.sunny.com的地址。迭代查询结束

3 dns常见服务搭建

dns启用的是C/S结构同时用到TCP和UDP的53端口还有TCP953端口。

UDP的53端口用于供用户查询同时也是用于主从服务器的同步

TCP的53端口用来提供同步主从服务器的zone文件

tcp的953端口是用来管理dns服务器的端口通过rndc(remote name domain controller)这个工具进行管理rndc--> rndc(953/tcp)

rndcCOMMAND

.COMMAND:

reload: 重载主配置文件和区域解析库文件

reload zonename: 重载区域解析库文件

retransfer zonename: 手动启动区域传送,而不管序列号是否增加

notify zonename: 重新对区域传送发通知

reconfig: 重载主配置文件

querylog: 开启或关闭查询日志文件/var/log/message

trace: 递增debug一个级别

trace LEVEL: 指定使用的级别

notrace:将调试级别设置为0

flush:清空DNS服务器的所有缓存记录

需要安装的包如下

bind服务器

bind-libs相关库

bind-utils:客户端

bind-chroot:启用bind-chroot相当于是通过目录挂载目录的操作实现了文件搬家的效果dns服务相关的配置会被重新挂载到/var/named/chroot/目录下把dns相关的文件的目录和文件都进行了搬家原来的路径和文件还是可以正常访问如果dns被攻击了那么受到的危害只会存在/chroot这个目录下

3.1 配置文件介绍

.服务脚本和名称

CentOS6上/etc/rc.d/init.d/named

CentOS7上/usr/lib/systemd/system/named.service

这里介绍dns服务中涉及到的四类配置文件etc/named.conf,/etc/named.rfc1912.zones/var/named/named.ca/var/named/下的正反向资源记录文件

named.conf

这个文件总共就记录三部分内容

option配置各种全局的选项

loggin配置和log相关的文件

zone配置区域数据库即服务器的资源记录本机能够为哪些zone进行解析就要定义哪些zone配置区域数据库即服务器的资源记录

include在配置文件里关键字include表示包含别的配置文件

配置文件每一行都是以分号结束

任何服务程序如果期望其能够通过网络被其它主机访问至少应该监听在一个能与外部主机通信的IP地址上

option中有以下五个选项,介绍如下

allow-query {}:允许查询的主机;白名单

allow-transfer {}:允许区域传送的主机;白名单

allow-transfer {192.168.32.63;192.168.32.71},允许指定的ip来复制配置文件

allow-recursion {}: 允许递归的主机,建议全局使用

allow-update {}: 允许更新区域数据库中的内容

named.rfc1912.zones

这个是区域配置文件这些zone配置也可以直接配置在named.conf这个配置文件里但是一般不建议配置文件太大所n以把对zone的配置单独分离出来放在named.rfc1912.zones这个配置文件里。

named.rfc1912.zones这个文件里的一段配置为例子说明

zone "localhost" IN {

type master;

file "named.localhost";

allow-update { none; };

};

zone后面的双引号内localhost是域名表示要解析哪个域的内容

其中urlwww.sunny.comwww是服务器的主机名sunny.com是域名

IN表示internet记录

type类型

file区域数据库文件如sunny.com.zone这个文件在目录/var/named下面其中/var/named/named.localhost是zone模板可以直接拷贝这个文件进行修改拷贝注意要加-p要不然组为named会被更改掉

allow-update是指运行从客户端直接运行语句对数据库解析文件进行修改这个配置只在主服务器上配置

/var/named/named.ca

named.ca这个文件是根的资源解析文件默认是记录13台根服务器的NS和A记录

/var/named/下的正反向资源记录文件

注意

(1) 一台物理服务器可同时为多个区域提供解析

(2) 必须要有根区域文件named.ca

(3) 应该有两个如果包括ipv6的应该更多实现localhost和本地回环地址的解析库

记录了dns服务器中的正向和方向解析的资源。这个文件是由多个资源记录RR:Resource Record组成的。每个资源记录都有各自的记录类型A, AAAA, PTR, SOA, NS, CNAME, MX。

.SOAStart Of Authority起始授权记录一个区域解析库有且仅能有一个SOA记录必须位于解析库的第一条记录

.Ainternet Address作用FQDN --> IP

.AAAA: FQDN --> IPv6

.PTR: PoinTeRIP --> FQDN反向解析记录

.NS: Name Server专用于标明当前区域的DNS服务器

@符号在dns中代表本域

A记录和NS记录是配对出现的要一起配置NS一般配置在A记录之前

.CNAMECanonical Name别名记录

.MX:Mail eXchanger邮件交换器发邮件的时候是先查dns然后在把这个邮件发到dns对应的邮箱服务器的ip的邮箱里比如MX后面的10和20值越小优先级越高优先使用

接下来分别针对每个记录类型进行详细介绍

资源记录定义的格式

语法name  [TTL]  IN rr_type value

.注意

.(1) TTL可从全局继承,这里是以时间为单位生命期表示客户机用户缓存的有效期默认是1天可以修改如果不写就是默认的1天

.(2) @可用于引用当前区域的名字也可以用当前的域名来表示如sunny.com.注意com后面的点号要加上

.(3) 同一个名字可以通过多条记录定义多个不同的值即ip此时

DNS服务器会以轮询方式响应

.(4) 同一个值也可能有多个不同的定义名字通过多个不同的名字指向同一个值进行定义此仅表示通过多个不同的名字可以找到同一个主机

.(5)$ORIGIN 功能是告知这个域的域名。假设有一个域名是test.net.,服务器名称定义为linux,这里定义$ORIGIN  . ($ORIGIN后面有一个点号)而不是定义为$ORIGIN  test.net.如果手工在前面加$ORIGIN .的话,默认域就不是test.net了,所以在test.net这个文件中就要用FQDN了,不能用IN NS linux的形式,要写成test.net.  IN NS linux.test.net.

SOA记录

soa是授权服务器回复给查询者SOA记录表明了谁是这个区域的所有者即表明自己管理此zone并告知序列号、刷新时间、过期时间等

.name: 当前区域的名字例如“sunny.com.”

.value: 有多部分组成

.(1) 当前区域的主DNS服务器的FQDN也可以使用当前区域的名字

.(2) 当前区域管理员的邮箱地址但地址中不能使用@符号一般用.替换

例如linuxedu.sunny.com

.(3) 主从服务区域传输相关定义以及否定的答案的统一的TTL

SOA的格式如下

域名可以用@代替TTL   IN   SOA     dns的server名称邮箱

例子

sunny.com. 86400 IN SOA ns.sunny.com.

nsadmin.sunny.com. (

2017092201 ;序列号

2H ;刷新时间

10M;重试时间

1W;过期时间

1D;否定答案的TTL值

)

dns数据库的内容如下。这个文件要自己在/var/named下创建后缀为.zone

dns的server名称可以理解为是注释用的没有实际作用可以自己指定只要这个名称和下面配置的A记录要解析的服务器一致就可以

邮箱邮箱地址@在dns里有特殊含义表示本域所以要把@符号换成点号。如admin@sunny.com.要改成admin.sunny.com.注意这里以.号结束

named.localhost里SOA这条记录中列号、刷新时间、过期时间字段解释如下

序列号serial解析库版本号主服务器解析库变化时其序列要手动将其递增版本号决定该数据库内容是否更新这个数字很关键如果dns数据库有更新这个数值要手动更新.版本号最长10位可以用日期来作为版本的信息如2017091901

刷新时间间隔   refresh从服务器从主服务器请求同步解析的时间间隔

重试时间间隔retry从服务器请求同步失败时再次尝试时间间隔这里相当于是pull操作

过期时长expire从服务器联系不到主服务器时多久后停止服务如果超过这个时间还没刷新就表示这个从dns异常该从服务器将不提供查询

最短时间minimum是指否定结果的缓存期当失败的时候也会缓存缓存时间就是这个时间如当用户输入输入的地址如wwwwww.baidu.com,这个url是错误的得到了否定的答案即dns服务器经过解析后发现这个是错误的地址会把这个信息缓存下来请求的条目不存在等原因导致无法返回结果在这个minimum时间段内用户再次访问这个错误的urldns会直接返回错误而不再次进行查询

主从服务器在同步时即更新数据库文件有两种机制

push: 推机制主服务器push给从服务器主服务器有变则主动推送给从服务器瞬间完成。

pull: 拉机制从服务器pull主服务器从服务器定期地同步主服务器即刷新时间间隔。如果刷新时间失败则在重试时间间隔再次同步。源文档<http://www.178linux.com/49999>

NS记录

.name:  当前区域的名字

.value: 当前区域的某DNS服务器的名字例如 ns.sunny.com.

.注意一个区域可以有多个NS记录

例如

sunny.com.   IN   NS  ns1.sunny.com.

sunny.com.   IN   NS  ns2.sunny.com.

.注意

(1) 相邻的两个资源记录的name相同时后续的可省略

(2) 对NS记录而言任何一个ns记录后面的服务器名字都应该在后续有一个A记录

MX记录

.name: 当前区域的名字

.value: 当前区域的某邮件服务器(smtp服务器)的主机名

.一个区域内MX记录可有多个但每个记录的value之前应该有一个数字(0-99)表示此服务器的优先级数字越小优先级越高

.例如

sunny.com.  IN  MX 10 mx1.sunny.com.

IN  MX 20 mx2.sunny.com.

.注意

对MX记录而言任何一个MX记录后面的服务器名字都应该在后续有一个A记录

A记录

.name: 某主机的FQDN例如www.sunny.com.

.value: 主机名对应主机的IP地址

.例如

www.sunny.com.   IN A 1.1.1.1

www.sunny.com.  IN A   2.2.2.2

mx1.sunny.com.

IN A     3.3.3.3

mx2.sunny.com.

IN A      4.4.4.4

$GENERATE 1-254

HOST$ A 1.2.3.$

$GENERATE

1-254 HOST$ A 1.2.3.$

# 表示HOST1 对应的ip是1.2.3.1HOST100 对应的解析ip是1.2.3.100

*.sunny.com. IN A

5.5.5.5

sunny.com.   IN

A       6.6.6.6

@   IN A 192.168.25.123

.避免用户写错名称时给错误答案可通过泛域名解析进行解析至某特定地址

以下两个写法

*.sunny.com表示服务器端这边没有定义的都是指向规定的ip表示当用户输入sunny前面的任何东西都是可以被解析为192.168.25.106这个ip如输入aaaa.sunny.com结果会被指向192.168.25.106这个ip对应的网页

@   IN A 192.168.25.123表示当用户输入sunny.com的时候(sunny前不输入任何内容)就会解析成192.168.25.123这个ip

AAAA记录

指向IPV6地址

name: FQDN

value: IPv6

PTR记录

反向解析地址到域名

PTR是pointer的简写用于将一个IP地址映射到对应的域名也可以看成是A记录的反向IP地址的反向解析。PTR主要用于邮件服务器比如邮箱AAA@XXX.com给邮箱BBB@yahoo.com发了一封邮件yahoo邮件服务器接到邮件时会查看这封邮件的头文件并分析是由哪个IP地址发出来的然后根据这个IP地址进行反向解析如果解析结果对应XXX.com的IP地址就接受这封邮件反之则拒绝接收这封邮件。

源文档<http://www.cnblogs.com/zcy_soft/archive/2013/09/23/3335235.html>

name: IP有特定格式把IP地址反过来写1.2.3.4要写

作4.3.2.1而有特定后缀in-addr.arpa.所以完整写法为

4.3.2.1.in-addr.arpa.

value: FQDN

.例如

4.3.2.1.in-addr.arpa.  IN  PTRwww.sunny.com.

如1.2.3为网络地址可简写成

4 IN PTRwww.sunny.com.

.注意网络地址及后缀可省略主机地址依然需要反着写

CNAME记录

CNAMECanonical Name别名记录允许您将多个名字映射到同一台计算机。通常用于同时提供WWW和MAIL服务的计算机。例如有一台计算机名为“host.mydomain.com”A记录它同时提供WWW和MAIL服务为了便于用户访问服务。可以为该计算机设置两个别名CNAMEWWW和MAIL这两个别名的全称就“www.mydomain.com”和“mail.mydomain.com”实际上他们都指向“host.mydomain.com”。

源文档<http://www.cnblogs.com/zcy_soft/archive/2013/09/23/3335235.html>

name: 别名的FQDN

value: 真正名字的FQDN

.例如

www.sunny.com. IN CNAME websrv.sunny.com.

3.2 服务器配置

一般服务器类型可以分成五种:主服务器  从服务器  转发服务器   子域服务器 根服务器

3.2.1 主DNS服务器

管理和维护所负责解析的域内解析库的服务器

主服务器需要编辑的文件有/etc/named.conf, /etc/named.rfc1912.zones还有在/var/named这个目录下创建一个解析库这个文件可以复制/var/named/named.localhost作为副本并且更改名称为在主服务器上写的file的名称即可一般改名为域名.zone,如域名sunny.com那么file就写sunny.com.zone

配置主DNS服务器

.主DNS名称服务器

IP  192.168.32.63

(1) 在主配置文件/etc/named.conf中定义区域和配置option设置。当然,这里如果zone很多,建议将定义区域写入单独的文件/etc/named.rfc1912.zones里面

options {

listen-on port 53 { localhost; }; //这里的监听端口里,要把对应的ip加进去,但是每次改动本地ip可能都要改这里的p

所以如果要监听本地的ip,可以直接把127.0.0.1这一行直接改成localhost;

listen-on-v6 port 53 { ::1; };

directory   "/var/named";

dump-file   "/var/named/data/cache_dump.db";

statistics-file "/var/named/data/named_stats.txt";

memstatistics-file "/var/named/data/named_mem_stats.txt";

allow-query     { any; }; //允许哪些机器来查这台服务器进行dns的解析查询

allow-transfer { 192.168.32.63; }; //允许哪台从dns来拷贝区域解析文件

recursion yes;

dnssec-enable yes;

dnssec-validation yes;

dnssec-lookaside auto;

/* Path to ISC DLV key */

bindkeys-file "/etc/named.iscdlv.key";

managed-keys-directory "/var/named/dynamic";

};

#正向解析区域文件

zone "sunny.com" IN {

type master;

file "sunny.com.zone";

allow-update { none; };

};

#反向解析区域文件

zone "50.18.172.in-addr.arpa" IN {

type master;

file "50.18.172.zone";

allow-update { none; };

};

其中,zone的配置模板如下

zone "ZONE_NAME" IN {

type  {master|slave|hint|forward};

file  "ZONE_NAME.zone";

};

zone "ZONE_NAME" IN {

type {master|slave|forward};

file "网络地址.zone"  //这里自己定义,网络地址位网络按反写,如32.168.192,要和后面数据库的文件要和这个同名

};

allow-update是指运行从客户端直接运行语句对数据库解析文件进行修改,只在主服务器上配置

(2) 定义区域解析库文件  /var/named/sunny.com.zone

出现的内容

宏定义

资源记录

例子如下

正向解析资源文件

$TTL 1D

$ORIGIN sunny.com.

@   IN    SOA  masterdns  admin.sunny.com. (

2017092113  ; serial

1D  ; refresh

1H  ; retry

1W  ; expire

3H )    ; minimum

NS  masterdns

NS  slave1

MX 10 mailsrv1

MX 20 mailsrv2

masterdns        A   192.168.32.61

slave1           A   192.168.32.63

www              CNAME  webser

ftp              CNAME  webser

webser           A    172.18.50.88

http             A    172.18.50.66

https            A    172.18.50.29

tftp             A    172.18.50.96

mailsrv1         A    172.18.50.72

mailsrv2         A    172.18.50.73

反向解析文件如下

$TTL 1D

@   IN    SOA  masterdns.sunny.com.  admin.sunny.com. (

2017092122   ; serial

1D  ; refresh

1H  ; retry

1W  ; expire

3H )    ; minimum

IN    NS  masterdns.sunny.com.

IN      NS   slave1.sunny.com.

$ORIGIN 50.18.172.in-addr.arpa.

88     IN    PTR  www.sunny.com.

66     IN    PTR  http.sunny.com.

88     IN    PTR  ftp.sunny.com.

29     IN    PTR  https.sunny.com.

72     IN    PTR  mailsrv1.sunny.com.

73     IN    PTR  mailsrv2.sunny.com.

.主配置文件语法检查

named-checkconf

.解析库文件语法检查

named-checkzone     "sunny.com"/var/named/sunny.com.zone

重新加载配置两个方法如果不能生效建议直接重启服务

rndc   status|reload;

service  named reload

3.2.2 从DNS服务器

IP  192.168.32.63

从主服务器或从服务器“复制”区域传输解析库副本通过通知机制主服务器解析库发生变化时会主动通知从服务器从服务器会将主服务器的区域解析文件拷贝到本地进行更新解析库副本。这里涉及到两种传输

完全传输传送整个解析库第一次启动从服务器的时候把主服务器的区域解析文件全部拷贝下来

增量传输传递解析库变化的那部分内容后续主服务器区域解析文件部分更新时可以增量传输

配置好从服务器后默认会在/var/named/slaves这个路径下生成文件该文件是从主服务器上拷贝下来的解析库的副本而文件的名称是在配置主文件的时候写的file的名称一般是命名为域名.slaves.zone,如域名sunny.com那么file就写sunny.com.slaves.zone

配置文件例子如下

option中,和主的区别就是没有了allow-transfer{ip;};的配置,其他和主一样即可

options {

listen-on port 53 { any; };

listen-on-v6 port 53 { ::1; };

directory   "/var/named";

dump-file   "/var/named/data/cache_dump.db";

statistics-file "/var/named/data/named_stats.txt";

memstatistics-file "/var/named/data/named_mem_stats.txt";

allow-query     { any; };

recursion yes;

dnssec-enable no;

dnssec-validation no;

/* Path to ISC DLV key */

bindkeys-file "/etc/named.iscdlv.key";

managed-keys-directory "/var/named/dynamic";

};

zone "sunny.com" IN {

type slave; #定义为从服务器

masters { 192.168.32.61; };

file "slaves/sunny.com.slave.zone";

};

zone "50.18.172.in-addr.arpa" IN {

type slave;

masters { 192.168.32.61; };

file "slaves/50.18.172.slave.zone";

};

从服务器不需要定义区域解析文件,重启dns服务器,会将主服务器上的区域解析文件复制到/var/named/slaves/下面,文件名字会更改为zone里的file定义的名字

3.2.3 转发DNS服务器

IP  192.168.32.73

转发DNS服务器,也叫缓存服务器,只需启用dns服务不需要做配置一般就开启了转发的功能该dns会将请求直接抛给根dns服务器去然后再一步步解析下去。开启dns服务后把dns配置文件里关于安全检查dnssec-enable和dnssec-validation配置设为no,关闭安全检查。

例子如下

options {

listen-on port 53 { any; };

listen-on-v6 port 53 { ::1; };

directory   "/var/named";

dump-file   "/var/named/data/cache_dump.db";

statistics-file "/var/named/data/named_stats.txt";

memstatistics-file "/var/named/data/named_mem_stats.txt";

allow-query     { any; };

recursion yes;

forward first;  //这里有first和only两个选项

forwarders { 192.168.32.72;};

dnssec-enable no; //充当转发服务器这两个配置要关闭

dnssec-validation no;

/* Path to ISC DLV key */

bindkeys-file "/etc/named.iscdlv.key";

managed-keys-directory "/var/named/dynamic";

pid-file "/run/named/named.pid";

session-keyfile "/run/named/session.key";

};

重启dns服务即可。

forward first|only;

first用户请求发到本地,如果没有就发到指定的转发服务器上,如果指定的服务器上没有,就自己到互联网的根上查找

only只将请求发到转的dns上,如果没有,自己也不会去找根dns了

3.2.4 子域服务器

父域dns服务器IP:192.168.32.75,父域为com.

子域dns服务器IP:192.168.32.61 和192.168.32.63, 子域为 sunny.com.

子域授权每个域的名称服务器都是通过其上级名称服务器在解析库进行授权

严格来说子域服务器可以不算做是一类dns服务器,因为子域服务器可以充当主dns服务器。

当域中的dns解析的地址较少的时候不需要授权其他子dns机器进行管理有两种解决办法

a.只需要在其中的一台dns服务器的资源解析文件里把解析记录写可以如在主dns的解析域里添加以下的解析记录类似根域授权tld

sunny.com.  IN NS ns1.sunny.com.

ns1.sunny.com. IN A 2.2.2.1

b.可以新建一个子域的zone放在同一台服务器上将对应子域的解析资源配置写入新的zone

但是如果下级域有很多那么建议授权另一台子域服务器来管理下级域的dns解析减少主dns的负荷也便于管理。

例子

在父域dns 192.168.32.75上增加4条记录NS 和A记录如com这个域授权子域dns 192.168.32.61和63 管理sunny.com这个子域,其中61和63又是主从的关系,这样一来,当其中有一台宕机,也不会影响子域的查询

正向解析文件如下

$TTL 1D

@   IN    SOA  masterdns  admin.sunny.com. (

2017092112  ; serial

1D  ; refresh

1H  ; retry

1W  ; expire

3H )    ; minimum

NS  masterdns

sunny.com.         NS  dns1.sunny.com.

sunny.com.         NS  dns2.sunny.com.

masterdns        A    192.168.32.75

dns1.sunny.com.     A    192.168.32.61

dns2.sunny.com.     A    192.168.32.63

反向解析文件如下

$TTL 1D

@   IN    SOA  masterdns.com.  admin.sunny.com. (

2017092110   ; serial

1D  ; refresh

1H  ; retry

1W  ; expire

3H )    ; minimum

IN    NS   masterdns.com.

sunny.com.    IN    NS   sunny1.sunny.com.

sunny.com.    IN    NS   sunny2.sunny.com.

75.50.18.172.in-addr.arpa.     IN    PTR  masterdns.com.

61.50.18.172.in-addr.arpa.     IN    PTR  sunny1.sunny.com.

63.50.18.172.in-addr.arpa.     IN    PTR  sunny2.sunny.com.

在子域dns 192.168.32.61上资源解析文件上/var/named/sunny.com.zone写入如下的配置这样一来父域服务器就可以解析子域上的配置,从服务器上的63不需要做变更,会同步主服务器61上的区域解析文件的配置,正反解析文件,参考主服务器的解析文件。不需要有任何变更

重启服务后,75就完成了对61和63两台机器的子域授权。

3.2.5 根dns服务器

到这里我们已经完成了主从服务器,转发服务器,子域服务器的结束。接下来,增加根服务器的介绍。完成一套完整的dns环境

根服务器IP:192.168.32.72

com域IP:192.168.32.75

sunny.com.域IP:192.168.32.61和63

转发服务器IP:IP:192.168.32.73

注意,由于这里模拟将192.168.32.72根服务器,所以其他4台dns的/var/named.ca这个文件要修改,不能用默认的13台dns服务器的解析文件,将named.ca文件的内容修改如下

.           518400  IN  NS root

root    3600000 IN  A   192.168.32.72

named.ca只需要这两句配置即可

将转发服务器的 forwarder {ip;};这句配置的ip改为是192.168.32.72,即根dns的ip.

根服务器上要把配置文件里的这段关于指定根区间解析文件的配置的file改成自定义的区域解析文件,授权com域。

根服务器配置文件如下

options {

listen-on port 53 { any; };

listen-on-v6 port 53 { ::1; };

directory   "/var/named";

dump-file   "/var/named/data/cache_dump.db";

statistics-file "/var/named/data/named_stats.txt";

memstatistics-file "/var/named/data/named_mem_stats.txt";

allow-query     { any; };

recursion yes;

dnssec-enable yes;

dnssec-validation yes;

/* Path to ISC DLV key */

bindkeys-file "/etc/named.iscdlv.key";

managed-keys-directory "/var/named/dynamic";

pid-file "/run/named/named.pid";

session-keyfile "/run/named/session.key";

};

zone "." IN {

type master;

file "root.zone";

};

zone "32.168.192.in-addr.arpa" IN {

type master;

file "32.168.192.zone";

};

根服务器委派com域,即在72这台的/var/named下添加区域解析文件,授权com这个子域

正向解析文件

$TTL 1D

@   IN    SOA  root  admin.sunny.com. (

2017092201   ; serial

1D  ; refresh

1H  ; retry

1W  ; expire

3H )    ; minimum

NS  root

com.             NS  dns2.com.

root             A  192.168.32.72

dns2.com.             A  192.168.32.75

反向解析文件

$TTL 1D

@   IN    SOA  root  admin.sunny.com. (

2017092201   ; serial

1D  ; refresh

1H  ; retry

1W  ; expire

3H )    ; minimum

IN    NS  root.

com.       IN    NS  dns2.com.

72.32.168.192.in-addr.arpa.     IN    PTR  root.

75.32.168.192.in-addr.arpa.     IN    PTR  dns2.com.

重启根dns服务器后,就完成了完整的dns系统的解析

4 dns 其他相关功能和服务介绍

4.1 基于key的主从验证

在dns主从的配置里,除了设置允许ip来拷贝区域解析文件外,还可以通过key的验证来允许,只有和主服务器配置相同key的从服务器才能复制主服务器的区域解析文件,进一步达到了安全设置

4.2 ACL

.bind中基础的安全相关的配置:

acl: 把一个或多个地址归并为一个集合,并通过一个统一的名称调用

.格式:

acl  acl_name{

ip;

net/prelen;

……

};

.示例:

acl mynet{

172.16.0.0/16;

10.10.10.10;

};

.bind有四个内置的acl:

none: 没有一个主机

any: 任意主机

localhost: 本机

localnet: 本机的IP同掩码运算后得到的网络地址

.注意:只能先定义,后使用;因此一般定义在配置文件中,处于options的前面

4.3 view 功能

view可以理解成多个区域的集合

不同的ip访问同一dns得到不一样的结果,这是根据根据view来实现

.view:视图,一个bind服务器可定义多个view,每个view中可定义一个或多个zone

.每个view用来匹配一组客户端

.多个view内可能需要对同一个区域进行解析,但使用不同的区域解析库文件

步骤

1.定义acl

2.定义view,把所有的zone都放到对应的view里,不同view里的zone不一样,使得的到的dns解析结果不一样

3.如果没有匹配,就指定match any,然后给定一个区域

.格式:

view VIEW_NAME {

match-clients { testacl; };

zone “sunny.com” {

type master;

file “sunny.com.zone”;};

include “/etc/named.rfc1912.zones”;

};

.注意:

(1) 一旦启用了view,所有的zone都只能定义在view中

(2) 仅在允许递归请求的客户端所在view中定义根区域

(3) 客户端请求到达时,是自上而下检查每个view所服务的客户端列表

智能DNS就是根据VIEW来实现

一些CDN( Content Delivery Network)加速的功能,客户可以在自己的dns上设定别名,如www别名为host1.aliyun.com.这里的host1.aliyun.com.是指CDN公司的dns,当用户访问公司的www网址时,发到host1.aliyun.com.这个dns去做解析。这个是智能dns的一个使用。

关于以上的这三个介绍,将在半自动化脚本中举例介绍。

5 dns测试和排错

5.1 测试

测试命令:dig,host,nslookup

5.1.1 dig

.dig [-t type] name [@SERVER] [query options]

dig只用于测试dns系统,不会查询hosts文件进行解析

-t选项将查询类型设置为类型。 它可以是BIND 9支持的任何有效查询类型。默认查询类型为“A”,除非提供-x选项以指示反向查找。 可以通过指定一种AXFR来请求区域传输。 当需要增量区域传输(IXFR)时,类型设置为ixfr = N。 增量区域传输将包含对区域所做的更改,因为区域的SOA记录中的序列号为N.

.查询选项:

+[no]trace:跟踪解析过程: dig +tracesunny.com

+[no]recurse:进行递归解析

测试反向解析:

dig -x IP = dig –t ptrreverseip.in-addr.arpa

模拟区域传送:

dig -t axfr   ZONE_NAME @SERVER

dig -t axfr   sunny.com @10.10.10.11

dig -t axfr100.1.10.in-addr.arpa @172.16.1.1

dig -t NS . @114.114.114.114

dig -t NS . @a.root-servers.net

关于axfr的相关解释

DNS中有两种域维护手段,一种是全量传输AXFR(full zone transfer),另一种是增量传输IXFR(incremental zone transfer)。

5.1.2 host

.host [-t type] name [SERVER]

注意,host和dig的语法区别是server前,dig加@符号,同时,dig可以跟查询选项,如trace,recurse

host -t  NS  sunny.com 172.16.0.1

host -t soa sunny.com

host -t  mx sunny.com

host -t  axfr  sunny.com

host 1.2.3.4

5.1.3 nslookup

.nslookup命令:nslookup[-option] [name | -] [server]

.交互式模式:

nslookup>

server IP: 指明使用哪个DNS server进行查询

set q=RR_TYPE: 指明查询的资源记录类型

NAME: 要查询的名称

5.1.4 压力测试

.压力测试

准备一个大文件test.txt(这个文件里的域名要存在,且有大量的域名,如20000个,可以重复域名,而且可以被当前的dns解析),测试dns的性能,实现压力测试,一般在上线前做的测试,全负荷工作。启用日志功能,性能也会降低

test.txt

准备文件,如下

vim test.txt

www.sunny.com A

sunny.com NS

sunny.com MX

pop3.sunny.com A

web.sunny.com A

.打开日志功能

rndc querylog

查看rndc的相关状态

rndc status

运行如下的命令进行压力测试

queryperf  -d  test.txt  -s  127.0.0.1

5.2 排错

.查看是否为权威记录,flags:aa标记判断

.被删除的记录仍能返回结果,可能是因为*记录存在

.如:*.example.com.INA172.25.254.254

.注意“.”的使用

.避免CNAME指向CNAME记录,可能产生回环

test.example.com. IN CNAME lab.example.com.

lab.example.com. IN CNAME test.example.com.

.正确配置PTR记录,许多服务依赖PTR,如sshd,MTA

.正确配置轮询round-robin记录.

可使用dig +trace排错,可能是网络和防火墙导致。

#dig A example.com

; <<>>DiG9.9.4-RedHat-9.9.4-14.el7 <<>> A example.com

;; global options:

+cmd

;; Got answer:

;;

->>HEADER<<-opcode: QUERY, status: NOERROR, id:

30523

....

SERVFAIL:Thenameserverencountered a problem whileprocessing the query.

根据status里的不同返回结果来定位问题

.NXDOMAIN:The queried name does not exist in the zone.

NXDOMAIN查询的域名不存在资源记录器里。可能是CNAME对应的A记录不存在导致

.REFUSED:The nameserverrefused the client's DNS

request due to policy restrictions.可能是DNS策略导致

.NOERROR不代表没有问题,也可以是过时的记录

6 半自动化脚本

#!/bin/bash

#

#******************************************************************************

#Author:               Sunny

#Date:                2017-09-20

#FileName:               install_dns.sh

#version:                1.0

#Your change info:

#Description:              For auto install dns server

#DOC URL:

#Copyright(C):              2017  All rihts reserved

#*****************************************************************************

min_time () {

time=`date +%Y%m%d%H%M`

}

os_version=$(cat /etc/system-release | grep -o " [0-9]"| cut -d " " -f2)

echo "Enter 1 : install master dns"

echo "Enter 2 : install slave  dns"

echo "Enter 3 : install transmit dns"

echo "Enter 4 : install sub zone dns"

echo "Enter 5 : See how to config key authentication for slaves dns to copy master dns zone resource file with key"

echo "Enter 6 : See how to config acl function"

echo "Enter 7 : See how to config view function"

min_time;

rpm -q bind &>/dev/null || yum -y install bind &>/dev/null;

rpm -q bind-chroot&>/dev/null || yum -y install bind-chroot &>/dev/null

rpm -q bind-utils &>/dev/null  ||     yum -y install bind-utils &>/dev/null

[ -e /etc/named.conf ] && cp /etc/named.conf /etc/named.conf."$time".bak || { echo "/etc/named.conf is not exist,please check";exit 2; }

[ -e /etc/named.rfc1912.zones ] && cp /etc/named.rfc1912.zones /etc/named.rfc1912.zones."$time".bak || { echo "/etc/named.rfc1912.zones is not exist,please";exit 6; }

mastercheck(){

named-checkconf || echo "Something wrong in /etc/named.conf,Please check"

named-checkzone $domain /var/named/"$domain".zone || echo "something was wrong in /var/named/"$domain".zone,please check"

named-checkzone "$arpaip".in-addr.arpa /var/named/"$arpaip".zone || echo "something was wrong in /var/named/"$arpaip".zone,please check"

}

masterconfzone(){

#config /etc/named.conf

echo "Attention: It will install a master dns,which can provide FQDN-->IP and IP-->FQDN query,and sub-zone"

echo "The master dns will allow any host to query"

sed -i  's/listen-on port.*/listen-on port 53 { localhost; };/g' /etc/named.conf

sed -i  's/allow-query.*/allow-query     { any; };/g' /etc/named.conf

read -p "How many hosts you will allow slaves to copy mastar's zone resource analysis file(eg:1): " slavenu

[[ "$slavenu" =~ ^[0-9]+$  ]] || { echo your input is no num,no slaves will allow to copy resource analysis file,please check;$slavenu=0; }

if [ -z ${slavenu:-} ];then

slavenu=0

fi

if [ "$slavenu" -gt 0 ];then

read -p "Input which hosts ip was allow to copy(eg:172.18.50.75;172.18.50.63): " ip

sed -i 's/allow-transfer.*//g' /etc/named.conf

sed -i   "/allow-query/ a allow-transfer { $ip; }; " /etc/named.conf

fi

#config /etc/named.rfc1912.zones

read -p "Please input your domain name in order to make a resource analysis file name,such as sunny.com.zone,sunny.com is domain name(default:sunny.com)": domain

if [ -z ${domain:-} ];then

domain=sunny.com

fi

if  grep "zone \"$domain\" IN"  /etc/named.rfc1912.zones&>/dev/null;then

echo "$domain" already config in /etc/named.rfc1912.zones,it will not be config one more time,please check.

else

cat >>/etc/named.rfc1912.zones<

zone "$domain" IN {

type master;

file "$domain.zone";

allow-update { none; };

};

eof

fi

read -p "Please input your inverse network in order to make a inverse resource analysis file name,such as 50.18.172.in-addr.arpa,50.18.172 is inverse network(default:50.18.172)": arpaip

if [ -z ${arpaip:-} ];then

arpaip=50.18.172

fi

if  grep "zone \"$arpaip.in-addr.apra\" IN"  /etc/named.rfc1912.zones&>/dev/null;then

echo "$arpaip.in-addr.arpa" already config in /etc/named.rfc1912.zones,it will not be config one more time,please check.

else

cat >>/etc/named.rfc1912.zones<

zone "$arpaip.in-addr.arpa" IN {

type master;

file "$arpaip.zone";

allow-update { none; };

};

eof

fi

}

read -p "Please input your choice(eg:1): " choice

case $choice in

1)

masterconfzone;

#config zone resource analysis file

read -p "Please input the dns server ip(defaults:172.18.50.61): " dnsip

if [ -z ${dnsip:-} ];then

dnsip=172.18.50.61

fi

if ls /var/named/"$domain".zone &>/dev/null ;then

echo /var/named/"$domain".zone  already exist,it will not be config one more time,please check.

else

cat >>/var/named/"$domain".zone<

\$TTL 1D

@   IN    SOA  masterdns  admin.sunny.com. (

$(date +%Y%m%d)01   ; serial

1D  ; refresh

1H  ; retry

1W  ; expire

3H )    ; minimum

NS  masterdns

NS  slave1

NS  slave2

masterdns        A   $dnsip

slave1           A  172.18.50.63

slave2           A   172.18.50.75

www              CNAME  webser

ftp              CNAME  webser

webser           A    172.18.50.88

http             A    172.18.50.66

MX 10 mailsrv1

MX 20 mailsrv2

mailsrv1   A  172.18.50.72

mailsrv2   A  172.18.50.73

tracy.sunny.com. IN NS  subzone1.tracy.sunny.com.

subzone1.tracy.sunny.com. A 172.18.50.62

eof

fi

#you should define" $ORIGIN 50.18.172.in-addr.arpa. " before you define PTR type,or you should write the full arpa address when you define slaves,others it will no tranfer zone file from master dns server auto when master arpa resource file change

if ls /var/named/$arpaip.zone &>/dev/null ;then

echo /var/named/$arpaip.zone  already exist,it will not be config one more time,please check.

else

cat >>/var/named/"$arpaip".zone<

\$TTL 1D

@   IN    SOA  masterdns.$domain.  admin.sunny.com. (

$(date +%Y%m%d)01   ; serial

1D  ; refresh

1H  ; retry

1W  ; expire

3H )    ; minimum

IN    NS  masterdns.$domain.

IN    NS   slave1.sunny.com.

IN    NS   slave2.sunny.com.

tracy.sunny.com.    IN   NS       subzone1.tracy.sunny.com.

63.50.18.172.in-addr.arpa.     IN    PTR  slave1.sunny.com.

75.50.18.172.in-addr.arpa.     IN    PTR  slave2.sunny.com.

62.50.18.172.in-addr.arpa.     IN    PTR  subzone1.tracy.sunny.com.

61     IN    PTR   masterdns.$domain.

88     IN    PTR  www.sunny.com.

66     IN    PTR  http.sunny.com.

88     IN    PTR  ftp.sunny.com.

72     IN    PTR  mailsrv1.sunny.com.

73     IN    PTR  mailsrv2.sunny.com.

eof

fi

echo "You can run "vim /var/named/"$domain".zone" to add more source analysis"

mastercheck;

;;

2)

#config /etc/named.conf

echo "Attention: It will install a slave dns,which can provide FQDN-->IP and IP-->FQDN query"

echo "The slave dns will allow any host to query"

sed -i  's/listen-on port.*/listen-on port 53 { localhost; };/g' /etc/named.conf

sed -i  's/allow-query.*/allow-query     { any; };/g' /etc/named.conf

#config /etc/named.rfc1912.zones

read -p "Please input master ip(default: 172.18.50.61 )" masterip

if [ -z ${masterip:-} ];then

masterip=172.18.50.61

fi

read -p "Please input your domain name in order to make a resource analysis file name,such as sunny.com.zone,sunny.com is domain name(default:sunny.com)": domain

if [ -z ${domain:-} ];then

domain=sunny.com

fi

if  grep "zone \"$domain\" IN"  /etc/named.rfc1912.zones&>/dev/null;then

echo "$domain" already config in /etc/named.rfc1912.zones,it will not be config one more time,please check.

else

cat >>/etc/named.rfc1912.zones<

zone "$domain" IN {

type slave;

masters { $masterip; };

file "slaves/$domain.zone";

};

eof

fi

read -p "Please input your inverse network in order to make a inverse resource analysis file name,such as 50.18.172.in-addr.arpa,50.18.172 is inverse network(default:50.18.172)": arpaip

if [ -z ${arpaip:-} ];then

arpaip=50.18.172

fi

if  grep "zone \"$arpaip.in-addr.apra\" IN"  /etc/named.rfc1912.zones&>/dev/null;then

echo "$arpaip.in-addr.arpa" already config in /etc/named.rfc1912.zones,it will not be config one more time,please check.

else

cat >>/etc/named.rfc1912.zones<

zone "$arpaip.in-addr.arpa" IN {

type slave;

masters { $masterip; };

file "slaves/$arpaip.zone";

};

eof

fi

;;

3)

echo "Your will install a forward dns hosts"

echo

echo

sed -i  's/listen-on port.*/listen-on port 53 { localhost; };/g' /etc/named.conf

sed -i  's/allow-query.*/allow-query     { any; };/g' /etc/named.conf

read -p "Input which server you forward as dns server(defaults:172.18.50.61):" forwardip

if [ -z ${forwardip:-} ];then

forwardip=172.18.50.61

fi

echo "Enter all : to forward all request to assign dns server"

echo "Enter part : only forward some zone request to assign dns server"

sed -i 's/dnssec-enable yes;/dnssec-enable no;/g' /etc/named.conf

sed -i 's/dnssec-validation yes;/dnssec-validation no;/g' /etc/named.conf

read -p "Please input your choice (all  or  part): " aorp

case $aorp in

all)

sed -i 's/forward.*//g' /etc/named.conf

sed -i '/dnssec-validation/ a  forward first;' /etc/named.conf

sed -i "/forward/ a  forwarders { $forwardip; };" /etc/named.conf

;;

part)

read -p "Please which  domain zone you want to forward,such as sunny.com.zone,sunny.com is domain name(default:sunny.com)": forwardzone

if [ -z ${forwardzone:-} ];then

forwardzone=sunny.com

fi

read -p "Please input your inverse network in order to make a inverse resource analysis file name,such as 50.18.172.in-addr.arpa,50.18.172 is inverse network(default:50.18.172)": arpaip

if [ -z ${arpaip:-} ];then

arpaip=50.18.172

fi

read -p "Input which server you forward as dns server(defaults:172.18.50.61):" forwardip

if [ -z ${forwardip:-} ];then

forwardip=172.18.50.61

fi

if  grep "forwarders { $forwardip; };"  /etc/named.rfc1912.zones&>/dev/null;then

echo forwarders "$forwardip" already config in /etc/named.rfc1912.zones,it will not be config one more time,please check.

else

# "If your server is centos6,but your forward is centos7,and you set forward first,it can be successful if you test forward direction,but it would be fail if you test inverse arpa.you should set forward only to test inverse arpa,it is the same promble is it is both centos7.However it is ok if dns and forward host are all centos6"

cat >>/etc/named.rfc1912.zones<

zone "$forwardzone" IN {

type forward;

forward first;

forwarders { $forwardip; };

};

zone "$arpaip.in-addr.arpa" IN {

type  forward;

forward first;

forwarders { $forwardip; };

};

eof

fi

;;

*)

echo "Your input is wrong ,nothing has been config,please check"

;;

esac

;;

4)

masterconfzone;

read -p "Please input the main dns ip to forward (defaults:172.18.50.61): " forwardip2

if [ -z ${forwardip2:-} ];then

forwardip2=172.18.50.61

fi

if  grep "forwarders { $forwardip2; };"  /etc/named.conf&>/dev/null;then

echo forwarders "$forwardip2" already config in /etc/named.rfc1912.zones,it will not be config one more time,please check.

else

sed -i "/allow-query/ a forwarders { $forwardip2; };" /etc/named.conf

fi

#config zone resource analysis file

read -p "Please input the subzone dns server ip(defaults:172.18.50.62): " dnsip

if [ -z ${dnsip:-} ];then

dnsip=172.18.50.62

fi

if ls /var/named/"$domain".zone &>/dev/null ;then

echo /var/named/"$domain".zone  already exist,it will not be config one more time,please check.

else

cat >>/var/named/"$domain".zone<

\$TTL 1D

@   IN    SOA  subzone  admin.sunny.com. (

$(date +%Y%m%d)01   ; serial

1D  ; refresh

1H  ; retry

1W  ; expire

3H )    ; minimum

NS  subzone

MX 10 mailsrv1

MX 20 mailsrv2

subzone    A   $dnsip

mailsrv1   A  192.168.32.72

mailsrv2   A  192.168.32.73

nginx      A  192.168.32.77

eof

fi

#you should define" $ORIGIN 50.18.172.in-addr.arpa. " before you define PTR type,or you should write the full arpa address when you define slaves,others it will no tranfer zone file from master dns server auto when master arpa resource file change

if ls /var/named/$arpaip.zone &>/dev/null ;then

echo /var/named/$arpaip.zone  already exist,it will not be config one more time,please check.

else

cat >>/var/named/"$arpaip".zone<

\$TTL 1D

@   IN    SOA  subzone.$domain.  admin.sunny.com. (

$(date +%Y%m%d)01   ; serial

1D  ; refresh

1H  ; retry

1W  ; expire

3H )    ; minimum

IN    NS  subzone.$domain.

62     IN    PTR  subzone.tracy.sunny.com.

72     IN    PTR  mailsrv1.tracy.sunny.com.

73     IN    PTR  mailsrv2.tracy.sunny.com.

77     IN    PTR  nginx.tracy.sunny.com.

eof

fi

echo "You can run "vim /var/named/"$domain".zone" to add more source analysis"

mastercheck;

;;

5)

echo "eg: master dns server ip 172.18.50.61 ; slave nds ip: 172.18.50.63"

echo  "step 1: run at server "dnssec-keygen -a HMAC-MD5 -b 128 -n HOST 6akey" to generate a key chain,--> get result two keys: K6akey.+157+49816.key and K6akey.+157+49816.private "

echo  "step 2: run at server "cat K6akey.+157+49816.private" to get key,there is one line begin with "Key:" --> get result: "Key: +rnJ7Yl6iU9be4Uxj/x04A==", the character string "+rnJ7Yl6iU9be4Uxj/x04A==" is the key  "

echo  "step 3: config at master dns,run "vim /etc/named.conf" ,inside option ,add conf 'allow-transfer { key 6akey; }' 6akey is the key name

server 172.18.50.63 {

keys { 6akey; };

};

key 6akey {

algorithm hmac-md5;

secret "+rnJ7Yl6iU9be4Uxj/x04A==";

};

####attention 172.18.50.63 is the slave which you allow to copy resoure file from master,"+rnJ7Yl6iU9be4Uxj/x04A==" is the key #####

"

echo "step 4: config at slave dns, outside option,config below :

server 172.18.50.61 {

keys { 6akey; };

};

key 6akey {

algorithm hmac-md5;

secret "+rnJ7Yl6iU9be4Uxj/x04A==";

};

####attention 172.18.50.61 is the master ip which the slave want to  copy resoure file ,"+rnJ7Yl6iU9be4Uxj/x04A==" is the key #####

"

echo "step 5: run "service named restart" to restart dns service"

;;

6)

echo "ACL function is to Merge one or more addresses into a collection and call it through a uniform name"

echo "You can define acl and config at any dns server"

echo "run at dns server,define one acl name mynet,and apply it to allow-qurey,below is example,run "vim /etc/named.conf"

####define acl

acl mynet {

172.18.50.62;

172.18.50.63;

172.18.50.75;

};

####apply acl

allow-query     { mynet; };

"

echo "then run "service named restart" to restart dns service,only the three hosts can qurey the dns server "

echo "Attention,there are four default acl in dns,

none,no one ip

any,any ip

localhost,only the host ip

localnet,eg localhost 192.168.32.66 and subnet 255.255.255.0,so localnet is 192.168.32.0/24

"

echo "no all parameter can use acl,for one eg, forwarders { 172.18.50.61; },172.18.50.61; should be ip,and can not be replaced with acl"

;;

7)

echo "All all config in /etc/named.conf"

echo "when using 'view' statements, all zones must be in views, so as "include "/etc/named.rfc1912.zones";  " should be config in view "

echo "you can define acl to do soome ip match"

echo "step 1:Prepare six files in /var/named/,   32.168.192.zone  chao.32.168.192.zone  chao.tracy.sunny.com.zone,external.32.168.192.zone  external.tracy.sunny.com.zone,tracy.sunny.com.zone "

echo "step 2: run " vim /etc/named.conf "

#########define two acl as below#####

acl internal  {

172.18.50.61;

172.18.50.63;

};

acl external {

172.18.50.72;

172.18.50.73;

};

#########config three views as below#####

view inter {

match-clients { internal; };

zone "." IN {

type hint;

file "named.ca";

};

zone "tracy.sunny.com" IN {

type master;

file "tracy.sunny.com.zone";

allow-update { none; };

};

zone "32.168.192.in-addr.arpa" IN {

type master;

file "32.168.192.zone";

allow-update { none; };

};

include "/etc/named.rfc1912.zones";

};

view exter {

match-clients { external; };

zone "." IN {

type hint;

file "named.ca";

};

zone "tracy.sunny.com" IN {

type master;

file "external.tracy.sunny.com.zone";

allow-update { none; };

};

zone "1.1.1.in-addr.arpa" IN {

type master;

file "external.32.168.192.zone";

allow-update { none; };

};

include "/etc/named.rfc1912.zones";

};

view other {

match-clients { any; };

zone "." IN {

type hint;

file "named.ca";

};

zone "tracy.sunny.com" IN {

type master;

file "chao.tracy.sunny.com.zone";

allow-update { none; };

};

zone "2.2.2.in-addr.arpa" IN {

type master;

file "chao.32.168.192.zone";

allow-update { none; };

};

include "/etc/named.rfc1912.zones";

};

#####################################

"

echo "step 3: run "service named restart" to restart dns service "

;;

*)

echo "Your input is wrong ,please check"

;;

esac

service named restart

if [ $os_version -eq 6 ];then

service named status | grep " is running" &>/dev/null && echo "dns is running..." || echo "dns is not running,please check"

else

service named status | grep "active (running)" >&/dev/null && echo "dns is running..." || echo "dns is not running,please check"

fi

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,271评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,275评论 2 380
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,151评论 0 336
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,550评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,553评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,559评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,924评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,580评论 0 257
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,826评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,578评论 2 320
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,661评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,363评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,940评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,926评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,156评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,872评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,391评论 2 342

推荐阅读更多精彩内容

  • 一、实现从根,com,rj.com 模拟互联网的DNS架构 DNS(Domain Name System,域名系统...
    ssjinyao阅读 1,410评论 0 7
  • DNS简介DNS解析关键概念BIND 一、DNS简介: (一)DNS服务 DNS:Domain Name Serv...
    哈喽别样阅读 1,781评论 0 2
  • 什么是DNS及功能: DNS(Domain name server),是将IP地址转换为域名地址。当在互联网访问外...
    魏镇坪阅读 7,624评论 0 8
  • DNS工作原理 DNS 查询的过程 DNS( Domain Name System)是“域名系统”的英文缩写,是一...
    ghbsunny阅读 8,766评论 0 0
  • DNS 是什么 DNS (Domain Name System), 也叫网域名称系统,是互联网的一项服务。它实质上...
    interstellar多米诺阅读 2,789评论 0 6