BIND9详解
作者:CBCHEN 11/13/2003
ISC的bind一直以来基本上都是DNS的工业标准,不过BIND一直是漏洞不断,直到出了BIND9,isc的开发人员对bind9进行了重写,才相对好了一点.
BIND9的安装就不用多说了,这里使用最新版本9,.2.3,说白了也就是需要named这个可执行文件就可以了,其他的配置文件完全可以自己来写.如果需要进行服务的控制的话,则需要rndc这个文件了.named大约有4M多,strip一下也就1M多点,再裁减裁减完全可以做到400K的,做嵌入式的朋友也不妨考虑考虑这个了.
服务的启动与停止可以完全自己来写一个脚本来控制,启动的话先判断是否已经启动,pidof named,如果已经启动,则提示已经启动,否则执行named –c /etc/named.conf,停止的时候先判断是否已经启动,是的话则killproc named,否的话提示没有启动,具体可在网上查找.
下面重点来说说BIND9的新功能.
Named.conf是bind9的最先读取的一个文件,named支持如下语句:
Acl
Controls
Include
Key
Logging
Lwres
Options
Server
Trusted-keys
View
Zone
其中主要的是acl,controls,include,logging,key,options,view,zone其他的很少用到我们就来详细的对这些进行解释一下.
Acl用来对bind的访问进行限制,是一个全局的设置,前面配置的acl在整个bind中都适用,和路由器里面的access-list有同工之处,语法是
acl acl-name {
address_match_list
};
其中的address match list是一个地址列表,如”192.168.0.0/24;”,记住最后一定得有分号,有多个的话中间用分号格开,如192.168.0.0/32;192.168.1.0/24;
bind内置了4个acl分别是:
any(不是all) 对应所有的,也就是0.0.0.0/0.
none 对应为空.
localhost 对应本地机器.
localnets 对应本地网络.
Controls主要用于对bind进行控制,如:
key "rndc-key" {
algorithm hmac-md5;
secret "VkMaNHXfOiPQqcMVYJRyjQ==";
};
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};
设置rndc控制的端口以及端口,keys用来设置控制的密钥,
include是一个非常有用的选项,如果需要写程序来读写bind的配置文件,这个将会用到,因为bind的配置文件很不规则,但是用了include后,就可以变的很规则,就和数据库一样了,功用和c语言里面的include一样.
Options是用于设置bind的一些选项,我们将重点介绍,BING9支持的选项如下:
options {
blackhole {
;; ... };
coresize ;;
datasize ;;
deallocate-on-exit ;; // obsolete
directory ;;
dump-file ;;
fake-iquery ;; // obsolete
files ;;
has-old-clients ;; // obsolete
heartbeat-interval ;;
host-statistics ;; // not implemented
interface-interval ;;
listen-on [ port ; ] { ;; ... };
listen-on-v6 [ port ; ] { ;; ... };
match-mapped-addresses ;;
memstatistics-file ;; // not implemented
multiple-cnames ;; // obsolete
named-xfer ;; // obsolete
pid-file ;;
port ;;
random-device ;;
recursive-clients ;;
rrset-order { [ class ; ] [ type ; ] [ name
; ] ; ;; ... }; // not implemented
serial-queries ;; // obsolete
serial-query-rate ;;
stacksize ;;
statistics-file ;;
statistics-interval ;; // not yet implemented
tcp-clients ;;
tkey-dhkey ; ;;
tkey-gssapi-credential ;;
tkey-domain ;;
transfers-per-ns ;;
transfers-in ;;
transfers-out ;;
treat-cr-as-space ;; // obsolete
use-id-pool ;; // obsolete
use-ixfr ;;
version ;;
allow-recursion { ;; ... };
allow-v6-synthesis { ;; ... };
sortlist { ;; ... };
topology { ;; ... }; // not implemented
auth-nxdomain ;; // default changed
minimal-responses ;;
recursion ;;
provide-ixfr ;;
request-ixfr ;;
fetch-glue ;; // obsolete
rfc2308-type1 ;; // not yet implemented
additional-from-auth ;;
additional-from-cache ;;
query-source ;;
query-source-v6 ;;
cleaning-interval ;;
min-roots ;; // not implemented
lame-ttl ;;
max-ncache-ttl ;;
max-cache-ttl ;;
transfer-format ( many-answers | one-answer );
max-cache-size ;;
check-names ; ;; // not implemented
cache-file ;;
allow-query { ;; ... };
allow-transfer { ;; ... };
allow-update-forwarding { ;; ... };
allow-notify { ;; ... };
notify ;;
notify-source ( ; | * ) [ port ( ; | * ) ];
notify-source-v6 ( ; | * ) [ port ( ; | * ) ];
also-notify [ port ; ] { ( ; | ;
) [ port ; ]; ... };
dialup ;;
forward ( first | only );
forwarders [ port ; ] { ( ; | ; )
[ port ; ]; ... };
maintain-ixfr-base ;; // obsolete
max-ixfr-log-size ;; // obsolete
transfer-source ( ; | * ) [ port ( ; | * ) ];
transfer-source-v6 ( ; | * ) [ port ( ; | * ) ];
max-transfer-time-in ;;
max-transfer-time-out ;;
max-transfer-idle-in ;;
max-transfer-idle-out ;;
max-retry-time ;;
min-retry-time ;;
max-refresh-time ;;
min-refresh-time ;;
sig-validity-interval ;;
zone-statistics ;;
};
obsolete是已经过时的选项,这里不用考虑, not yet implemented是尚未完成的选项,这里也不用考虑,下面详细介绍这里面的有用选项
注意,前面打”*”的为选项)
*blockhole 定义服务器不对查询进行反应的地址列表,也就是”黑名单”,比如说3721的ip段:218.244.44.0/24,当设置了黑名单后,对于这个段的请求查询,服务器将不会作出反应.
*directory 设置bind的数据文件的存放位置:如 directory “/var/named”.
*dump-file 设置当执行rndc dumpdb命令后的导出文件存放绝对路径,如果没有指定的话,缺省文件为named_dump.db,放在directory指定的目录下面.
*pid-file 设置bind的进程号pid文件.
*interface-interval 设置bind检查网卡变化的周期.
*forward 值有first和only两项, first则首先转发到"forwarders"中的服务器,然后自己查询,only则仅转发到 "转发服务器列表"中的服务器,不再自己查询
*forwarders设置转发服务器地址列表,语法同acl中的语法.
*listen-on 设置bind的绑定ip和端口,如listen-on 53 {192.168.0.1;};
*max-cache-size 设置最大缓存的大小,如max-cache-size 5M
*version 设置客户查询DNS版本好的返回信息,如果不想让客户探测到当前的版本好,就用这个好了,如version mydns1.0;
*auth-nxdomain 是否做为权威服务器回答域不存在(Auth-nxdomain)
如果设置为'yes',则允许服务器以权威性(authoritatively)的方式返回NXDOMAIN(该域不存在)的回答,否则就不会作权威性的回答,缺省值为”是”.
*notify 在主服务器更新时是否通知辅助服务器(notify)
如果设置为”yes”,则在主服务器区域数据发生变化时,就会向在域的”域名服务器“中列出的服务器和“亦通知”中列出的服务器发送更新通知。这些服务器接受到更新通知后,就会向主服务器发送请求传输的消息,然后区域文件得以更新。
*recursion 是否允许递规查询(recursion)
如果设置为”yes”,则允许服务器采用递归的方式进行查询,也就是当要查询的地址不在服务器的数据库列表中时,服务器将一级一级的查询,直到查到为止。(一般对局域网都打开)
设置为”no”,并不意味着服务器对于请求的递归查询不给予回答,而是对于请求的递归查询,不再向上级服务器请求,也不缓存,如果不对请求的递归查询回答,可以清空缓存,然后设置为“NO”.
*allow-query 允许普通查询的地址列表(allow-query):
设置允许进行普通查询的ip地址列表,在域中的设置将覆盖全局设置,默认情况下是允许所有的地址进行普通查询.
*allow-recursion允许递归查询的地址列表(allow-recursion):
设置允许进行递归查询的ip地址列表,缺省值是允许所有地址进行查询,需要注意的是当设置了不允许递归查询后,如果仍然能够查询部分外部的域名,那是因为dns的缓存在起作用,将缓存清除以后就可以了.
*allow-transfer允许服务器进行区域传输的地址列表(Allow-transfer):
(注意的是视区和域中的设置将覆盖全局设置).
*allow-notify 允许更新通知的地址列表(allow-notify)
当服务器作为辅助服务器的时候,设置这个可以对收到的更新通知进行判断,只是接收该列表的更新通知.默认情况下,只是接收来自主服务器的更新通知。对于其他服务器的更新通知,会忽略掉.
*also-notify 更新时亦通知下列地址(also-notify):
设置发送更新通知的时候,不仅是域名服务器中列出的地址,亦通知此地址列表中的地址。
View(视)是bind9中提出的一个新概念,在这里可以理解为”从不同的眼光来看dns”,在这里”view”这个词可真是取的经典呀,具体而已,就是根据不同的源地址,目的地址,解析请求来判断该给客户提供什么样的解析.其语法如下:
view ; ; {
match-clients { ;; ... };
match-destinations { ;; ... };
match-recursive-only ;;
key ; {
algorithm ;;
secret ;;
};
zone ; ; {
type ( master | slave | stub | hint | forward );
allow-update { ;; ... };
file ;;
ixfr-base ;; // obsolete
ixfr-tmp-file ;; // obsolete
masters [ port ; ] { ( ; |
; ) [ port ; ] [ key ; ]; ... };
pubkey ; ; ; ;; //
obsolete
update-policy { ( grant | deny ) ; ( name |
subdomain | wildcard | self ) ; ;; ... };
database ;;
check-names ;; // not implemented
allow-query { ;; ... };
allow-transfer { ;; ... };
allow-update-forwarding { ;; ... };
allow-notify { ;; ... };
notify ;;
notify-source ( ; | * ) [ port ( ; | *
) ];
notify-source-v6 ( ; | * ) [ port ( ;
| * ) ];
also-notify [ port ; ] { ( ; |
; ) [ port ; ]; ... };
dialup ;;
forward ( first | only );
forwarders [ port ; ] { ( ; |
; ) [ port ; ]; ... };
maintain-ixfr-base ;; // obsolete
max-ixfr-log-size ;; // obsolete
transfer-source ( ; | * ) [ port ( ; |
* ) ];
transfer-source-v6 ( ; | * ) [ port (
; | * ) ];
max-transfer-time-in ;;
max-transfer-time-out ;;
max-transfer-idle-in ;;
max-transfer-idle-out ;;
max-retry-time ;;
min-retry-time ;;
max-refresh-time ;;
min-refresh-time ;;
sig-validity-interval ;;
zone-statistics ;;
};
server {
bogus ;;
provide-ixfr ;;
request-ixfr ;;
support-ixfr ;; // obsolete
transfers ;;
transfer-format ( many-answers | one-answer );
keys ;;
edns ;;
};
trusted-keys { ; ; ; ;
;; ... };
allow-recursion { ;; ... };
allow-v6-synthesis { ;; ... };
sortlist { ;; ... };
topology { ;; ... }; // not implemented
auth-nxdomain ;; // default changed
minimal-responses ;;
recursion ;;
provide-ixfr ;;
request-ixfr ;;
fetch-glue ;; // obsolete
rfc2308-type1 ;; // not yet implemented
additional-from-auth ;;
additional-from-cache ;;
query-source ;;
query-source-v6 ;;
cleaning-interval ;;
min-roots ;; // not implemented
lame-ttl ;;
max-ncache-ttl ;;
max-cache-ttl ;;
transfer-format ( many-answers | one-answer );
max-cache-size ;;
check-names ; ;; // not implemented
cache-file ;;
allow-query { ;; ... };
allow-transfer { ;; ... };
allow-update-forwarding { ;; ... };
allow-notify { ;; ... };
notify ;;
notify-source ( ; | * ) [ port ( ; | * ) ];
notify-source-v6 ( ; | * ) [ port ( ; | * ) ];
also-notify [ port ; ] { ( ; | ;
) [ port ; ]; ... };
dialup ;;
forward ( first | only );
forwarders [ port ; ] { ( ; | ; )
[ port ; ]; ... };
maintain-ixfr-base ;; // obsolete
max-ixfr-log-size ;; // obsolete
transfer-source ( ; | * ) [ port ( ; | * ) ];
transfer-source-v6 ( ; | * ) [ port ( ; | * ) ];
max-transfer-time-in ;;
max-transfer-time-out ;;
max-transfer-idle-in ;;
max-transfer-idle-out ;;
max-retry-time ;;
min-retry-time ;;
max-refresh-time ;;
min-refresh-time ;;
sig-validity-interval ;;
zone-statistics ;;
};
其中match-clients,指的是view对应的源地址,match-destinations指的是view对应的目的地址, match-recursive-only指的是view对应是否仅仅是递归请求.
BIND在收到DNS的解析请求后,会首先判断该请求包的源地址和目标地址,然后根据视区里面的“match-clients”和”match-destinations”和” match-recursive-only”,判断是否属于第一个视区,符合的话就用第一个视区来进行解析,否则就判断下一个视区.然后再进行解析.如果所有的视区都不能对应,则DNS将返回Query refused的消息
这样在防火墙的情况下,就有一个很好的解决办法了,比如一个典型的网络结构下,DMZ区全部在防火墙外网口上做的地址映射(DNAT),当DMZ区要访问本地网络的时候,单纯用传统的域名解析的话,是无法达到要求的,因为防火墙无法同时又做SNAT和DNAT,比如DMZ地址192.168.0.14映射到外部地址202.196.160.14,而域名服务器解析WWW.YOURDOMAIN.COM到202.196.160.14,则192.168.0.0/24的网络将无法访问www.yourdomain.com,但是当用了VIEW后,你可以对来自该网络的解析请求将WWW.YOURDOMAIN.COM直接解析到192.168.0.14,这样就可以访问了.
View里面可以包含zone,优先级是zone>;view>;options,zone里面的选项好多和options里面一样,不过它只是对本zone一样,同样view里面的选项也只是对本view有效.
Zone是bind的一个重要选项,不过关于zone网上的文章很多,在这里只是补充几点小技巧:
如何将域名直接解析为www服务器的地址,比如像freshmeat.net那样直接解析freshmeat.net为www.freshmeat.net,这里可以在域的数据文件里面增加一个这样的地址记录:
@ IN A 202.196.160.14
这样的主机记录就可以实现了,202.196.160.14为WWW服务器的ip地址.
常见故障释疑
1在用nslookup查询域的时候出现如下错误
*** Can't find server name for address *.*.*.*: Non-existent domain
这种情况是没有对域名服务器本身做反向地址解析造成的,给域名服务器增加一条反向地址解析就可以了.
2在用nslookup时出现如下错误:
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
这种情况一般是在DNS进行递归查询的时候,超时造成的,可能是由于网络速度问题,也可能是路由等其他问题,或者对方域名服务器没有响应造成的.
3在用nslookup时出现如下错误:
*** dns.cbchen.com can't find www.ite.com: Non-existent domain
这种情况一般是域中没有该地址记录或没有别名记录.
4 在用nslookup时出现如下错误:
***.server failed
一般是配置问题,请检测配置,或者是辅助域无法从主域中得到数据,再请求辅助域的时候会出现这种故障.
BIND的有用的网站:
http://www.isc.org/products/BIND/
http://www.isc.org/products/BIND/
强烈推荐BIND9解压目录下的/doc/arm管理员手册
其他第三方DNS服务器软件:
MaraDNS,安全的嵌入式DNS. http://www.maradns.org/
Oak DNS 用python写的,和bind的区域文件和cache兼容,地址:
http://www.digitallumber.com/oak
PowerDNS 一个仅支持认证的DNS,http://www.powerdns.org/
MYDNS以mysql作为后台的认证DNS,http://mydns.bboy.net/