使用BIND架设DNS服务器完全日记（三）

 

(2).配置开始：

 

进入DNS服务器工作的虚拟根目录/var/named/chroot/下,然后开始我们的配置工作：

cd  /var/named/chroot/

 

a).由于安装了caching-nameserver，caching-nameserver包提供的功能有：

 

I)named.caching-server.conf文件，该文件可以作为named.conf的模板文件；

II).named.ca 提供了root server "hints"；

III).能够缓存本地主机名和ip地址，加快本地查询效率；

 

cd  etc/

cp named.caching-nameserver.conf name.conf

chown root:named name.conf 或者单纯地：chgrp named name.conf

 

这样我们就可以方便地编辑主配置文件name.conf了；

 

b). 主DNS的基本配置：

 

定义ACL：

 

 

要注意主机访问控制列表的格式：{  Match-Address-Lists;  } ,支持的格式有：

 

IP地址：192.168.68.129

子网号：192.168.0.

CIDR规范：192.168.68.0/24

使用！来禁止：!192.168.1.0/24

 

定义主机访问控制列表时格式非常非常严格，一个错误都不可以出现，必须注意空格，例如一个正确例子：

 

{  192.168.0.1;  192.168.0.;  !192.168.1.0/24;  }

 

错误写法一：{192.168.0.1;} 正确改为：{  192.168.0.1;  }    

——"{" 后面和"}"前面有空格

错误写法二：{ 192.168.0.1;192.168.0.0; } 正确写法：{  192.168.0.1;  192.168.0.0;  }   

  ——不同地址以一个空格隔开

 

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 

PS: 通常所有的acl都要放到named.conf的最开头部分，以便可以让整个配置文件都可以方便地引用这些acl定义的match list！同在模板named.conf中你会看到：

 

listen-on port 53 { localhost;};

 

但你却找不到有关localhost这个acl的定义，其实这是Bind内建的ACL，内建的ACL还有：

 

none           ——没有ip地址匹配

any            ——所有ip地址都匹配

localhost      ——在这个DNS服务器的所有ip都匹配

localnets      ——与DNS服务器同一网段的所有ip地址都匹配

 

这样你会发现我定义的"myAddresses"和"localhost"的区别了，localhost代表了这个DNS服务器上所有网卡上的任何ipv4和ipv6的ip地址；myAddress更为精确，只有本地回环接口127.0.0.1与eth0的ip地址192.168.68.128；

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 

 

定义可以访问DNS服务器的主机列表：

 

listen-on port 53 { match-list; };        

 ——不要忘记了最后的";"号,整个配置文件的每行都是以";"结束的；

listen-on-v6 port 53 { ::1; };    

         ——ipv6地址的监听端口

如果你没有定义选项 listen-on ,那么Bind默认会监听所有的网卡接口；

 

我的配置如下：

 

          

 

控制允许可以向DNS服务器提出查询请求的主机：

 

allow-query { myAddresses; trusted; };

 

如果你没有定义选项 allow-query ;那么Bind默认会允许所有的来访者都可以查询这个DNS服务器，相当于：

 

allow-query { any; };

 

控制允许可以进行迭代解析或查询的主机列表：

 

allow-recursion { match-list; };

 

如果你没有定义选项 allow-recursion ; 那么Bind默认会允许所有可以访问DNS的来访者都可以进行迭代查询

 

定义可以与主DNS服务器进行数据交流的辅助DNS服务器的ip地址：

 

allow-transfer { match-list; };

 

允许这些match-list中的辅助DNS与主DNS服务器进行数据的交流与传送。

 

例如：我的主DNS服务器192.168.68.128；辅助DNS服务器192.168.68.2，允许它们进行数据交流：

 

allow-transfer { 192.168.68.2; };:

 

如果你没有定义选项 allow-transfer ;那么Bind默认会允许所有的辅助DNS服务器与主DNS服务器进行数据交流

 

定义主DNS服务器的对客户的请求查询失败时的行为：

 

forwarders { match-list; };

forward first | only;

 

 

选项forwarders定义了当DNS服务器应答失败时，就将客户端的请求转发到match-list中的其他服务器；

 

选项forward 定义DNS服务的转发类型：first 是优先转发上述定义的DNS服务器；only是只会转发到上述定义的DNS服务器；

 

如果你没有定义选项 forwarders的选项 ;那么Bind默认不做任何转发动作。

 

主DNS的基本配置到此结束，运行命令：

bind-chroot-admin –e 启用chroot功能

bind-chroot-admin –s 同步虚拟目录与实际目录的文件

service named configtest 检查一下到目前为止的配置是否出错

service named start 启动DNS服务