dns服务器在企业中的应用（二）

反向区域查找：

原理：

in-addr.arpa让我们可以在拥有主机位址的时候得知该主机的名字。这里有件重要的事要注意：在in-addr.arpa 这个领域中ip 数字是以反向顺序书写的。如果你有某台机器的位址:192.168.100.10，那么named 会以类似prep.ai.ustc.edu 这个例子的方式来处理：找出arpa. 的服务器，找出in-addr.arpa. 的服务器，然后再找出192 .in-addr.arpa .的服务器，找出168.192.i n-addr.arpa. 的服务器，接着找出10 .168 .192 . in-addr.arpa. 的服务器，最后再找出所需的10 . 100 . 168 . 192 . in-addr.arpa. 的记录。

实例应用：

配置步骤：

[root@localhost ~]# vim /var/named/chroot/etc/named.rfc1912.zones  编辑区域文件

[root@localhost ~]# cd /var/named/chroot/var/named/

[root@localhost named]# cp -p named.local 192.168.10.db   建立本地库

[root@localhost named]# vim 192.168.10.db 

[root@localhost named]# service named start

[root@localhost named]# rndc reload

[root@localhost named]# vim /etc/resolv.conf   编辑服务器指向

 

进行反向解析测试：

[root@localhost named]# nslookup 192.168.10.10

 [root@localhost named]# nslookup 192.168.10.20

[root@localhost named]# dig -x 192.168.10.10

 

简单安全配置：

[root@localhost named]# vim /var/named/chroot/etc/named.conf

设置规则：只允许192.168.100.180主机访问

[root@localhost ~]# nslookup 192.168.10.10

[root@localhost named]# vim /var/named/chroot/etc/named.conf

[root@localhost named]# rndc reload

[root@localhost ~]# nslookup 192.168.10.10

[root@localhost named]# dig txt chaos version.bind @192.168.100.181 查询服务器版本信息

[root@localhost named]# vim /var/named/chroot/etc/named.conf 设置对外拒绝版本信息

[root@localhost named]# dig txt chaos version.bind @192.168.100.181

 

 bind压力测试：

安装bind包：

[root@localhost ~]# tar -zxvf bind-9.7.4.tar.gz -C /usr/src/ 解压压力测试包

[root@localhost ~]# cd /usr/src/

[root@localhost src]# cd bind-9.7.4/

[root@localhost bind-9.7.4]# ./configure –help 查询帮助信息

[root@localhost bind-9.7.4]# cd contrib/

[root@localhost contrib]# cd queryperf/

[root@localhost queryperf]# ./configure 安装

[root@localhost queryperf]# make 编译

[root@localhost queryperf]# vim querytest 编辑测试文件

[root@localhost queryperf]# ./queryperf -d querytest 进行测试

[root@localhost ~]# vim /var/named/chroot/etc/named.conf

[root@localhost ~]# vim /var/named/chroot/var/named/abc.com.db

 

项目实战：

要求：有一个dns服务器abc.com地址为192.168.100.181,下面有www，和ftp两个服务器。

内网主机192.168.100.182能进行内部地址解析，现要求通过防火墙实现外网主机对本地内网

服务器的地址解析。

配置步骤：

linux dns服务器主机配置：

[root@localhost ~]# vim /var/named/chroot/etc/named.conf

[root@localhost ~]# rndc reload

[root@localhost ~]# cd /var/named/chroot/var/named/

[root@localhost named]# cp -p abc.com.db abc.com.db1

[root@localhost named]# vim abc.com.db

linux防火墙主机配置：

[root@localhost ~]# service network restart

[root@localhost ~]# ifconfig

[root@localhost ~]# vim /etc/sysctl.conf

[root@localhost ~]# sysctl –p

[root@localhost ~]# iptables -t nat -A PREROUTING -d 192.168.101.1 -p udp --dport 53 -j DNAT --to 192.168.100.181

编写nat表链规则允许主机192.168.101.1通过53端口进行nat地址转换为192.168.100.181

[root@localhost ~]# iptables -t nat -L 查看链规则

配置主机用内网进行验证：

验证结果：

 

配置主机用外网进行验证：

验证结果：