DNS服务
Sockets: C/S
任何两台主机之间通信都是通过进程进行通信。
应用层协议
httpd服务实现超文本传输
ftp服务实现文件传输
smtp 服务实现邮件传输
POP3 或 IMAP4 服务实现邮件收取
Client: 发起应用请求的程序
Server: 响应请求(提供服务)的程序
- LISTEN: Socket
传输层协议:TCP,UDP,SCTP
- TCP: Transmission Control Protocol,传输控制协议
- 面向连接的协议:双方通信之前需要事先建立虚连接
- UDP: User Datagram Protocol,用户数据包协议
- 无连接的协议:双方无需通信之前需要事先建立虚连接
- TCP: Transmission Control Protocol,传输控制协议
TCP发送报文叫做TCP套接字
UDP发送报文叫做UDP套接字
raw sockets: 裸套接字(不需要传输层TCP或UDP,直接调用IP分组包)
DNS: Domain Name Service, 应用层协议
- port:
53/UDP,53/TCP - www.wovert.com FQDN(Full Qualified Domain Name) 完全合格域名/全称域名,是指主机名加上全路径
名称解析:名称转换
公共库
getipbyhostname()根据IP获取主机名gethostnamebyip()根据主机名获取IP
本地hosts文件格式:
ip hosts alias根域
- TLD: top level domain(顶级域)
- 组织域:
.com .net .org .gov .edu .mil(军工部门) - 国家域:
.iq .tw .hk .jp .cn
- 组织域:
- TLD: top level domain(顶级域)
www.wovert.com.- www(三级域,主机域)
- wovert(二级域)
- com(一级域或顶级域)
- .(根域)
本地hosts->DNS缓存(TTL,在内存里)->DNS服务器->根域名服务器->.com服务器,返回给DNS服务器-> 查找wovert服务器,返回给DNS服务器->查找www对应的地址,返回给DNS服务器 -> 在DNS服务器缓存
域名: wovert.com
www.wovert.com(主机名,FQDN: Full Qualified Domain Name)
DNS查询类型
- 递归查询:client->DNS Server(客户端指定的DNS服务器)
- 迭代查询(客户端指定的DNS服务器找不到,此DNS服务器迭代请求查询客户端要查询的FQDN):DNS Server(顶级域) -> DNS Server(二级域) -> .....
DNS名称解析方式
解决高并发DNS服务器请求问题?读取,更新(多个服务器同步数据),多加一个服务器解决不了问题。分层设计解决此问题。先查找根域->顶级域->二级域->三级域,最终返回
DNS是分布式数据库系统
根据名称->查找IP:正向解析
根据IP->查找名称:反向解析
- 4.3.2.1.in-addr.arpa.
- 4
- 3
- 2
- 1
- in-addr.arpa
- .
- 4.3.2.1.in-addr.arpa.
. -> in-addr.arpa -> 1 -> 2 -> 3 -> [1-9]
注意:二者的名称空间,非为同一个空间,即非为同一棵树;因此,也不是同一个解析库
域:wovert.com. 1.1.1.1
- www.wovert.com 2.2.2.2
- ftp.wovert.com. 3.3.3.3
- bbs.wovert.com. 4.4.4.4
- news.wovert.com. 5.5.5.5
## DNS服务器类型
- 负责解析至少一个域
- 主名称服务器
- 辅助名称服务器(主服务器宕机时,使用辅助名称服务器)
- 不负责解析
- 缓存名称服务器
一次完成的查询请求经过的流程
- Client 查找本地文件hosts文件
- 查找本地 DNS Local Cache
- 查找 DNS Server(recursive)
- 自己负责解析的域:直接查询数据库并返回答案
- 不是自己负责解析域:Server Cache -> iteration(迭代)
解析答案
肯定答案:有并且有结果(可以缓存)
否定答案:不存在查询的键,因此,不存在与其查询键对应的值(可以统一缓存时间)
权威答案:由直接负责的DNS服务器返回的答案
非权威答案:有缓存 DNS 返回的答案
主-辅DNS服务器
- 主DNS服务器:维护负责解析的域数据库的那台服务器;读写操作均可进行
- 从DNS服务器:从主DNS服务器那里或其它的从DNS服务器那里"复制"一份解析库;但只能进行读操作
"复制"操作的实施方式
- 序列号:serial,数据库的版本号,主服务器数据库内容发生变化时其版本号递增;
- 刷新时间间隔:refresh,从服务器每多久到主服务器检查序列号更新状况
- 重试时间间隔:retry,从服务器从主服务器请求同步解析库失败时,再次发起尝试请求的时间间隔;时间间隔必须短于 refersh
- 过期时长:expire,从服务器始终联系不到主服务器时,多久之后放弃从主服务器同步数据;停止提供服务
- 否定答案的缓存时长
主服务器数据更新时"通知"从服务器随时更新数据
区域传送(同步方式)
全量传送:axfr,传送整个数据库(第一次传送时)
增量传送:ixfr, 仅传送变量的数据
DNSsec(安全DNS)
- DNS 截取 -> 完整性校验认证(校验码签名)
- 本地局域网需要使用DNS服务器,自动化运维
区域(zone, 物理概念,解析库文件)和域(domain,逻辑概念)
wovert.com域
- FQDN -> IP
- 正向解析库;正向解析区域
- IP -> FQDN
- 反向解析库;反向解析区域
- FQDN -> IP
父域的区域比子域要大
区域数据库文件
DNS服务器必须指定根域域名服务器地址
- 资源记录(每一行都是资源记录):Resource Record,简称RR
记录有类型
A, AAAA, PTR, SOA, NS, CNAME, MX
- SOA: Start Of Authority 起始授权(权威)记录
- 一个区域解析库有且只能有一个SOA记录,而且必须放在第一条;(岛屿)
- NS: Name Resolving 域名解析记录
- 一个区域解析库可以有多个NS记录(多个岛主);其中一个为主的;(岛主)
- A: Address 地址记录
- FQDN -> IPv4
- AAAA: 地址记录
- FQDN -> IPv6
- CNAME: Canonical Name 别名记录
- PTR:Pointer
- IP -> FQDN (反向解析)
- MX: Mail eXchanger 邮件交换器
优先级:0-99, 数字越小优先级越高
资源记录的定义格式
语法: name [TTL] IN RR_TYPE value
SOA:
name: 当前区域的名字;例如:"wovert.com."后者"2.3.4.in-addr.arpa."
IN 关键字
RR_TYPE 资源类型
value: 有三部分组成
- 1.当前区域的区域名称(也可以使用主DNS服务器名称)
- 2.当前区域管理员的邮箱地址; 但地址中不能使用@符号,一般使用点号来替代;
- 3.(主从服务协调属性的定义以及否定答案的TTL)
例如:
wovert.com. 86400 IN SOA wovert.com. admin.wovert.com. (
2017010801 ;serial
2H ;refresh time hour
10M ;retry, minute
1W ;expire, week
1D ;negative answer ttl, day
)
- 86400: 1 days
NS
name: 当前区域的区域名称
value: 当前区域的某DNS服务器的名字,例如
ns.wovert.com.- 注意:一个区域可以有多个ns记录
例如: 指定域名解析服务器
wovert.com. 86400 IN NS ns1.wovert.com.
wovert.com. 86400 IN NS ns2.wovert.com.
MX
name: 当前区域的区域名称
value: 当前区域某邮件交换器的主机名
- 注意:MX记录可以有多个;但每个记录的value之前应该有一个数字表示其优先级;
例如:
wovert.com. IN MX 10 mx1.wovert.com
wovert.com. IN MX 20 mx2.wovert.com
A
name: FQDN, 例如
www.wovert.com.value: IPv4地址
例如:
www.wovert.com. IN A 1.1.1.1
www.wovert.com. IN A 1.1.1.2
bbs.wovert.com. IN A 1.1.1.1
ns1 IN A 1.1.1.1
mx1 IN A 1.1.1.1
AAAA
- name: FQDN
- value: IPv6
PTR
name: IP地址,有特定格式,IP反过来写,而且加特定后缀
- 例如
1.2.3.4的记录应该写为4.3.2.1.in-addr.arpa
- 例如
value: FQDN
例如
4.3.2.1.in-addr.arpa. IN PTR www.wovert.com.
CNAME
name: FQDN 格式的别名
value: FQDN 格式的正式名字
例如:
web.wovert.com. IN CNAME www.wovert.com.
注意
- TTL可以从全局继承
- @表示当前区域的名称
- 相邻的两条记录其name相同时,后面的可省略
- 对于正向区域来说,各MX,NS等类型的记录为value为FQDN,此FQDN应该有一个A记录
域名解析服务
dnpod.cn, dns.la
bind服务
bind介绍
- BIND: Berkeley Internet Name Domain,
ISC.org- dns:协议
- bind:DNS协议的一种实现
- named:bind程序的运行的进程名
# yum info bind
9.9.4
# yum list all bind*
# yum info bind-libs
# rpm -ql bind-libs
程序包:
bind-libs:被bind和bind-utils包中的程序共同用到的库文件bind-utils:bind 客户端程序集,例如:dig, host, nslookup等bind: 提供的DNS Server程序、以及几个常用的测试程序bind-chroot:选装,让named运行于jail模式下- 假根下操作,容器里操作,防止在根进程操作下被劫持
bind安装
# yum -y install bind
# yum list all bind*
bind配置
# rpm -ql bind
/usr/sbin/named
/usr/sbin/named-checkconf 检查配置文件是否有语法错误
/usr/sbin/named-checkzone 检查区域数据库文件是否有语法错误
/usr/sbin/named-compilezone 检查手动编译二进制区域否有语法错误
主配置文件: /etc/named.conf
- 主配置文件, 可包含其它配置文件
/etc/named.iscdlv.key/etc/named.rfc1912.zones/ecc/named.root.key
区域解析库文件: /var/named/*.zone
/var/named/目录下;一般名字为:ZONE_NAME.zone- 注意:
- 1.一台DNS服务器可同时为多个区域提供解析
- 2.必须要有根区域解析库文件:
named.ca - 3.还应该有两个区域解析库文件:localhost和127.0.0.1的正反向解析库
- 正向解析库文件:
named.localhost - 反向解析库文件:
named.loopback
- 正向解析库文件:
rndc
remote name domain controller,name server control utility 远程名称域管理工具
953/tcp,但默认监听于127.0.0.1地址,因此仅允许本地使用
bind程序安装完成之后,默认即可做缓存名称服务器使用;如果没有专门负责解析的区域,直接即可启动服务
- CentOS 6:
# service named start - CentOS 7:
# systemctl start named.service
主配置文件格式
全局配置段:
options {...}日志配置段:
logging {...}区域配置段:
zone {...}- 那些由本机负责解析的区域,或转发的区域
- 注意:每个配置语句必须以分号结尾,花括号前后都有空格
缓存名称服务器的配置
监听能与外部主机通信的地址(不是
127.0.0.1)listen-on port 53 { 172.16.0.2; };
学习时,建议关闭dnssec功能
dnssec-enable no;dnssec-validation no;dnssec-lookaside no;
关闭仅允许查询:
allow-query { localhost; };
检查配置文件语法错误
# named-checkconf -h (help)
# named-checkconf /etc/named.conf
# systemctl start named.service
# netstat -tunlp
# vim /etc/resolve.conf
search wovert.com
nameserver 172.16.100.67 自己的地址,自己当自己DNS服务器
# ping www.taobao.com 不能解析
# iptables -L -n
- 53/TCP:区域传送
- 53/UDP:解析
- 953/tcp
测试工具
dig, host, nslookup
dig命令
dig [-t RR_TYPE] name [@SERVER] [query options]
用于测试dns系统,因此其不会查询hosts文件
+[no]trace:[不]跟踪解析过程
+[no]recurse:[不]进行递归解析
Flags: qr(query request) ra(request answer)
- QUESTION SECTION: 问答段
- ANSWER SECTION:回答段
- AUTHORITY SECTION: 权威段
- ADDITIONAL SECTION: 附加段
- Query time:
- SERVER
- WHEN
- MSG SIZE
# dig -t A www.baidu.com.com 没有@IP,通过本机测试
;; global optiosn: +cmd 全局属性
;; Got answer: 已经获得答案了
;; OPT PSEUDOSECTION: 假选项段
;; QUESTION SECTION: 问题段
;www.baidu.com 要解析www.baidu.com这个名称的A记录
;; ANSWER SECTION 答案段
www.baidu.com. 1200 IN CNAME www.a.shifen.com.
www.a.shifen.com. 300 IN A 61.135.169.121
www.a.shifen.com. 300 IN A 61.135.169.126
;; AUTHORITY SECTION: 权威段(谁来负责解析)
a.shifen.com. 1063 IN NS ns1.a.shifen.com.
a.shifen.com. 1063 IN NS ns5.a.shifen.com.
a.shifen.com. 1063 IN NS ns3.a.shifen.com.
a.shifen.com. 1063 IN NS ns2.a.shifen.com.
a.shifen.com. 1063 IN NS ns4.a.shifen.com.
;; ADDITIONAL SECTION:附加段
ns4.a.shifen.com. 1063 IN A 115.239.210.176
ns5.a.shifen.com. 1063 IN A 119.75.222.17
ns1.a.shifen.com. 1063 IN A 61.135.165.224
ns3.a.shifen.com. 1063 IN A 61.135.162.215
;; Query time: 0 msec 查询时长
;; SERVER: 172.16.100.67#53(172.16.100.67) 哪个服务器进行解析的
以上通过迭代的方式通过互联网去查询并返回的答案
# dig -t A www.sina.com @114.114.114.114 在114DNS服务器查询
# dig -t A www.baidu.com +trace 迭代查询追踪过程
- 注意:反向解析测试
# dig -x IP
# dig -x 119.75.222.17 有正向未必有反向
- 模拟完全区域传送:
# dig -t axfr DOMAIN [@SERVER]
host命令
host [-t RR_TYPE] name SERVER_IP
# host -t A www.baidu.com 查询IP地址
# host -t NS baidu.com 查询baidu域名服务器
# host -t MX baidu.com 查询baidu邮件服务器
nslookup命令
nslookup [-options] [name] [server]
- 交互式模式:
nslookup>
server IP : 以指定的IP为DNS服务器进行查询
set q=RR_TYPE: 要查询的资源记录类型
name 要查询的名称
> server 172.16.0.1
> set q=A
> www.sohu.com
rndc命令
named服务控制命令
# rndc status
数据统计
# rndc stats
清空缓存DNS服务器
# rndc flush
重新加载配置文件或区域数据库文件
# rndc reload [zone] reload configuration file and zones
冻结zones
# rndc refresh zone
关闭DNS服务器
# rndc stop
配置解析一个正向区域
以wovert.com域为例
1.定义区域
- 在主配置文件中或主配置文件辅助配置文件中实现
zone "ZONE_NAME" IN {
type {master|slave|hint|forward};
file "ZONE_NAME.zone"; #相对路径/var/named路径下
};
- hint:根服务器
- forward:转发服务器
- 注意:区域名字即为域名;
ZONE_NAME => wovert.com
# vim /etc/named.conf
# vim /etc/named.rfc1912.zones
zone "wovert.com" IN {
type master;
file "wovert.com.zone";
};
2.建立区域数据文件(主要记录为A或AAAA记录)
- 在
/var/named目录下建立区域数据文件
# cd /var/named/
# vim wovert.com.zone
$TTL 3600
$ORIGIN wovert.com.
@ IN SOA wovert.com. dnsadmin.wovert.com. (
2017010801
1H
10M
3D
1D )
IN NS ns1 或则 ns1.wovert.com.
IN NS ns2
IN MX 10 mx1
IN MX 20 mx2
ns1 IN A 172.16.0.2
mx1 IN A 172.16.0.10
mx2 IN A 172.16.0.11
www IN A 172.16.7.0
web IN CNAME www
bbs IN A 172.1.16.7.0
bbs IN A 172.1.16.7.1
@代表区域名字wovert.com. 别忘了最优还有个点
- 权限及属组修改
# chown :named /var/named/wovert.com.zone
# chgrp named /var/named/wovert.com.zone
# chmod o= /var/named/wovert.com.zone
- 检查语法错误
# named-checkzone wovert.com /var/named/wovert.com.zone
# named-checkconf
3.让服务器重载配置文件和区域数据文件
# rndc status
number of zones: 101
# rndc reload
# rndc status
number of zones: 102
# systemctl reload named.service
# dig -t A www.wovert.com
# dig -t A web.wovert.com
# dig -t A bbs.wovert.com
# dig -t A bbs.wovert.com
# dig -t A bbs.wovert.com
# dig -t NS wovert.com
# dig -t MX wovert.com
# host -t MX wovert.com
配置解析一个反向区域
1. 定义区域
- 在主配置文件中或主配置文件辅助配置文件中实现
# vim /etc/named.rfc1912.zones
zone "100.16.172.in-addr.arpa." IN {
type master;
file "172.16.100.zone";
};
- 注意:反向区域的名字
反写的网段地址.in-addr.arpa.0.16.172.in-addr.arpa.
2.定义区域解析库文件
# vim /etc/named/172.16.100.zone
$TTL 3600
$ORIGIN 100.16.172.in-addr.arpa.
@ IN SOA ns1.wovert.com. nsadmin.wovert.com. (
2017110102
1H
10M
3D
12H )
IN NS ns1.wovert.com.
71 IN PTR ns1.wovert.com.
61 IN PTR ns1.wovert.com.
71 IN PTR mx1.wovert.com.
61 IN PTR mx2.wovert.com.
71 IN PTR bbs.wovert.com.
61 IN PTR bbs.wovert.com.
71 IN PTR www.wovert.com.
- 权限及属组修改
# chgrp named /var/named/172.16.100.zone
# chmod o= /var/named/172.16.100.zone
- 检查语法错误
# named-checkzone 16.172.100.in-addr.arpa /var/named/172.16.100.zone
# named-checkconf
3.让服务器重载配置文件和区域数据文件-反向解析
# rnds status
# rndc reload
# rnds status
# systemctl reload named.service
4.测试
# dig -x 172.16.100.67
主从服务器
注意:从服务器时区域级别的概念
主服务器区域:从服务器区域
级联复制:复制从服务器的区域的从服务器
配合一个从区域
- On Slave
- 定义区域
定义一个从区域
zone "ZONE_NAME" IN {
type slave;
file "slaves/ZONE_NAME.zone";
masters { MASTER_IP; };
};
- 配置文件语法检查:
# named-checkconf
/var/named/slaves => named.named 770
- 重载配置
# rndc reload
# systemctl reload named.service
# cd /var/named
# vim wovert.zone
新增NS记录
IN NS ns2
ns2 IN A 192.168.1.3
SOA的序列表一定要加1,才能更新到从服务器
# named-checkzone wovert.com /var/named/wovert.com.zone
# rndc reload
# rndc status
新增域名
# vim /var/named/wovert.zone
pop3 IN A 192.168.1.71
修改序列号+1
# rndc reload
# systemctl status named.service
手动传输区域文件:
# dig -t axfr wovert.com
- On Master
- 确保区域数据文件中为每个从服务器配置NS记录;并且在正向区域文件需要每个从服务器的NS记录的主机名要有一个A记录,且此A后面的地址为真正的从服务器的IP地址;
# /etc/named.conf
listen-on port 53 { 127.0.0.1; 192.168.1.3; };
dnssec-enable no;
dnssec-validation no;
dnssec-lookaside no;
此时为缓存DNS服务器
# systemctl start named.service
配置正向区域的从服务器
# vim /etc/named.rfc1912.zones
zone "wovert.com" IN {
type slave;
file "slaves/wovert.com.zone";
masters { 192.168.1.2; };
};
# named-checkconf
# rndc reload
# systemctl status named.service
# cd /var/named/slaves
# ls -l
# dig -t A www.wovert.com @192.168.1.3
检查主服务器发送的通知
# systemctl status named.service
# dig -t A pop3.wovert.com @192.168.1.3
# dig -t axfr wovert.com @192.168.1.2
注意:时间要同步;`ntpdate`命令;同步到时间服务器
子域授权
正向解析区域授权子域的方式:
- 定义子域
ops.wovert.com. IN NS ns1.ops.wovert.com
ops.wovert.com. IN NS ns2.ops.wovert.com
- 子域有主从服务器
ns1.ops.wovert.com. IN A IP.AD.DR.ESS
ns2.ops.wovert.com. IN A IP.AD.DR.ESS
wovert.com IN NS ns1.wovert.com
ns1.wovert.com IN A 1.1.1.1
fin.wovert.com
www.fin.wovert.com
ops.wovert.com
www.ops.wovert.com
ns.ops.wovert.com
1.子域服务器(172.16.100.69)
- 在主服务器上授权子域服务器:
172.16.100.67
# vim /etc/named/wovert.com.zone
ops IN NS ns1.ops
ns1.ops IN A 172.16.100.69
修改serial
# rndc reload
2.配置子域服务器(172.16.100.69)
# yum -y install bind
# vim /etc/named.conf
listen-on port 53 { 127.0.0.1; 172.16.100.69; };
三个NO
# systemctl start named.service
# systemctl status named.service
# ss -tunl
3.定义一个区域
# vim /etc/named.rfc1912.zones
zone "ops.wovert.com" IN {
type master;
file "ops.wovert.com.zone";
};
# cd /var/named
# vim ops.wovert.com.zone
$TTL 3600
$ORIGIN ops.wovert.com.
@ IN SOA ns1.ops.wovert.com. nsadmin.ops.wovert.com. (
2018010801
1H
10M
1D
2H )
IN NS ns1
ns1 IN A 172.16.100.69
www IN A 172.16.100.69
# chmod o= ops.wovert.com.zone
# chgrp named ops.wovert.com.zone
# named-checkconf
# named-checkzone ops.wovert.com.zone /var/named/ops.wovert.com.zone
# rndc reload
# dig -t A www.ops.wovert.com @172.16.100.69
# dig -t A www.ops.wovert.com @172.16.100.67
# dig -t A www.wovert.com @172.16.100.67
定义转发
注意:被转发的服务器必须允许为当前服务器做递归
1.区域转发:仅转发对某特定区域的解析请求
zone "ZONE_NAME" IN {
type forward;
forward {first|only};
forwarders { SERVER_IP; }
};
- first:首先转发;转发器不响应时,自行去迭代查询
- only:只转发
172.16.100.69
# vim /etc/named.rfc1912.zones
zone "wovert.com" IN {
type forward;
forward only;
forwarders { 172.16.100.67; 172.16.100.68; };
};
# named-checkconf
# rndc reload
# dig -t A www.wovert.com @172.16.100.69
父域解析子域,子域解析父域
allow-query {}
2.全局转发:针对凡本地没有通过zone定义的区域查询请求,通通转发给某转发器
172.16.100.69
# vim /etc/named.conf`
options {
... ...
forward {only|first};
forwarders { 172.16.100.67; };
... ...
};
# rndc reload
# dig -t A www.baidu.com @172.16.100.69
bind中的安全相关的配置
acl:访问控制列表;把一个或多个地址归并一个命令的集合,随后通过此名称即可对此集全内人所有主机实现统一调用;
acl acl_name {
ip;
net/prelen;
};
示例
acl mynet {
172.16.0.0/16;
127.0.0.0/8;
};
bind有四个内置的acl
- none:没有一个主机
- any:任意主机
- local:本机
- localnet:本机所在的IP所属的网络
访问控制指令:
allow-query {}:允许查询的主机;白名单;
allow-transfer {}:允许向哪些主机做区域传送;默认为向所有主机;应该配置仅允许从服务器
allow-recursion {};允许哪些主机向当前DNS服务器发起递归查询请求
allow-update {}; DDNS,允许动态更新区域数据库文件中的内容;
主服务器:vim /etc/named.rfc1912.zones
zone "wovert.com" IN {
type master;
file "wovert.com";
allow-transfer { slave; };
};
# vim /etc/named.conf
options之前定义acl
acl slaves {
172.16.100.68;
127.0.0.1;
};
acl mynet {
127.0.0.0/8; # 只能自己递归查询
};
options {
listen-on port 53 { 172.16.100.67; 127.0.0.1; };
...
# recursion yes;
allow-recursion { mynet; }; 只允许mynet网络递归
};
# named-checkconf
# rndc reload
172.16.100.68上测试
# dig -t axfr wovert.com @172.16.100.67
172.16.100.67
# dig -t axfr wovert.com @127.0.0.1;
# systemctl restart named.service
Slave
zone "wovert.com" IN {
type slave;
file "slaves/wovert.com.zone";
masters { 172.16.100.67; };
allow-transfer { none; };
allow-update { none; };
};
bind view
国内服务器:
- 电信IP => 电信DNS
- 网通IP => 网通DNS
视图
view VIEW_NAME {
zone
zone
zone
};
view internal {
Match-clients { 172.16.0.0/8; };
zone "wovert.com" {
type master;
file "lingyigma.com/internal";
};
};
view external {
match-clients { any; };
zone "wovert.com" {
type master;
file "lingyigma.com/external";
};
};
- 主服务器:172.16.100.67
- 从服务器:172.16.100.68
1.从服务器
# yum -y install bind
# vim /etc/namde.conf
listen-on port 53 { 127.0.0.1; 172.16.100.68; }
dnssec-enable no;
dnssec-validation no;
densec-lookaside no;
# systemctl start named.service
# systemctl status named.service
# vim /etc/named.rfc1912.zones
// 配置正向从区域
zone "wovert.com" IN {
type slave;
file "slaves/wovert.com.zone";
masters { 172.16.100.67; };
};
# named-checkconf`
2.主服务器
# cd /var/named/`
# vim wovert.com.zone
201700916 加上+1
// 新增NS记录
IN NS ns2
ns2 IN A 172.16.100.68
# named-checkzone wovert.com /var/named.wovert.com.zone
# rndc reload
# rndc status
3. 从服务器上
# rndc reload
# systemctl status named.service
4. 主服务器上之后
二进制文件
# cd /var/named/slaves/wovert.com.zone
5. 测试
# dig -t A www.wovert.com @172.16.100.68
6. 在主服务器上增加新的
# vim /var/named/wovert.com.zone
pop3 IN A 172.16.100.72 并且修改序列号,+1
# rndc reload`
# systemctl status naemd.service
7. 从服务器
# systemctl status named.servie
# dig -t A pop2.wovert.com @172.16.100.68
反向解析 1. 从服务器
# vim /etc/named.rfc1912.zones`
zone "100.16.172.in-addr.arpa" IN {
type slave;
file "slaves/172.16.100.zone";
masters { 172.16.100.67; };
};
`
# named-checkconf`
反向解析 2. 主服务器
# vim /var/named/wovert.com.zone`
增加序列号
IN NS ns2.wovert.com.
68 IN PTR ns2.wovert.com.
# named-checkzone 100.16.172.in-addr.arpa /var/named/172.16.100.zone
# rndc reload
3. 从服务器
# rndc reload
4. 主服务器
# rndc reload
5. 从服务器
# ls -l /var/named/slaves/172.16.100.zone
# dig -x 172.16.100.67 @172.16.100.68
6. 主服务器,新增记录
# vim /var/named/172.16.100.zone
增加序列号,+1
72 IN PTR pop3.wovert.com.
# rndc reload
# systemctl status named.service
# dig -x 172.16.100.72 @172.16.100.68
博客:正向解析区域、反向解析区域、主/从、子域、基本安全控制