RHEL7上配置DNS服务

1.课程目标

 

  • 了解什么是DNSDNS的重要性;

  • 掌握DNS的层次化区分:根域,顶级域,二级域等;

  • 掌握DNS的配置并能熟练运用;

 

2.DNS简介

 

DNS Domain Name Server域名解析服务,使用TCP&UDP53号端口(主从DNS之间用TCP,客户端查询使用UDP)。它可以完成域名与IP地址的互换,可以通过IP地址解析到域名;也可以通过域名解析到IP地址。

 

 

2.1.DNS的层次化

 

  • 根域:根域位于层次化结构的最顶部并用点“.”表示全球有十三个根服务器。一个主根服务器,十二个辅助根服务器。

  • 顶级域:顶级域是按照组织类别或地理位置来划分的,如下:

.gov

政府组织

.com

商业组织

.net

网络中心

.org

非盈利性组织

.edu

教育部门

. cn  .uk  .us

国家国别的代码,cn表示中国,uk表示英国,us表示美国

.com.cn

国内商业机构

.net.cn

国内互联网机构

.org.cn

国内非盈利性组织

注:

  • .com &.netinternic国际组织管理,而以.cn结尾的是由cnnic中国互联网中心管理的。

  • 二级域:有国际域名组织为互联网中的个人或部门制定和登记的二级域(如:baidu.com)

 

 

2.2.DNS的查询方式

 

  • 迭代查询:服务器与服务器之间的查询。本地域名服务器向根域名服务器的查询通常是采用迭代查询(反复查询)。当根域名服务器收到本地域名服务器的迭代查询请求报文时,要么给出所要查询的IP地址,要么告诉本地域名服务器下一步应向那个域名服务器进行查询。然后让本地域名服务器进行后续的查询;

  • 递归查询:客户端与服务器之间的查询。主机向本地域名服务器的查询一般都是采用递归查询。如果主机所询问的本地域名服务器不知道被查询域名的 IP 地址,那么本地域名服务器就以 DNS 客户的身份,向其他根域名服务器继续发出查询请求报文。最后会给客户端一个准确的返回结果,无论是成功与否。

查询举例方式如下:

wKiom1V1qB2zmKJuAAHklivCipc580.jpg

步骤1:当客户端在IE输入www.baidu.com,客户端去请求本地域服务器解析,此过程为发起递归查询;步骤2:本地服务器接到查询请求后,查看区域文件,发现不是自己管制的区域,则发送给根域进行解

       析。此过程为迭代查询;

步骤3:根域服务接收到请求后,查看区域文件,回复请求的主机,

       去找.com域服务器。此过程是迭代查询;

步骤4:本地域服务器,接收到根域服务器的回复后,去找.com域服务器,请求解析。此过程序是迭代

       查询;

步骤5.com服务器接收到请求之后,查看自己的区域文件,回复主机去找baidu.com域服务,此过程是

       迭代查询;

步骤6:本地域服务器,接收到.com域服务器的回复后,去找baidu.com域服务器,请求解析,此过程是

       迭代查询;

步骤7baidu.com域服务器接收到请求后,查看自己的区域文件,发现是自己所管制的区域,然后查看

       区域解析文件,把对应的IP地址发送给请求的服务器,此过程是迭代查询;

步骤8:本地服务器接收到baidu.com域服务器的回复,把FQDN对应IP地址传送给客户端,此过程为递

       归查询。

 

 

2.3.DNS解析类型

 

  • FQDN(Fully Qualified Domain Name) 完全合格域名,由主机+域名组成,如:www.baidu.com

  • 正向解析:由FQDN解析到IP地址;

  • 反向解析:由IP地址解析到FQDN

 

 

2.4./etc/hosts解析

 

默认的,linux的解析是先经过/etc/hosts文件,再经过DNS的解析,此解析方式在/etc/nsswitch.conf文件中是由明确规定的,如下:

[root@freeit ~]# vim /etc/nsswitch.conf

……

passwd:     files sss

shadow:     files sss

group:      files sss

#initgroups: files

 

#hosts:     db files nisplus nis dns

hosts:      files dns

……

/etc/hosts文件中填写对192.168.10.10的解析

---------------------------------------填写之前首先验证下--------------------------

[root@gyh ~]# ping freeit.example.com

ping: unknown host freeit.example.com

---------------------------------------填写之后验证-------------------------------------

[root@gyh ~]# echo 192.168.10.10    freeit.example.com >> /etc/hosts

[root@gyh ~]# cat /etc/hosts

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4

::1         localhost localhost.localdomain localhost6 localhost6.localdomain6

192.168.10.10 freeit.example.com

 

[root@gyh ~]# ping freeit.example.com                              

PING freeit.example.com (192.168.10.10) 56(84) bytes of data.

64 bytes from freeit.example.com (192.168.10.10): icmp_seq=1 ttl=64 time=3.89 ms

64 bytes from freeit.example.com (192.168.10.10): icmp_seq=2 ttl=64 time=0.307 ms

64 bytes from freeit.example.com (192.168.10.10): icmp_seq=3 ttl=64 time=0.442 ms

^B64 bytes from freeit.example.com (192.168.10.10): icmp_seq=4 ttl=64 time=0.426 ms

64 bytes from freeit.example.com (192.168.10.10): icmp_seq=5 ttl=64 time=0.635 ms

如上:/etc/hosts这个文件同样能实现解析的目的。但是没有DNS的功能强大。下面我们就来介绍DNS的强大之处。

 

 

 

3.DNS相关配置

 

 

3.1.安装DNS

 

我们知道,RHEL5.x&6.x之前的DNS软件包名为bind。但是在RHEL7中,DNS名字有所改变,为:unbound。下面我们就来其安装。

[root@freeit ~]# yum -y install unbound

Loaded plugins: langpacks, product-id, subscription-manager

This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register.

Resolving Dependencies

--> Running transaction check

---> Package unbound.x86_64 0:1.4.20-19.el7 will be installed

--> Finished Dependency Resolution

 

Dependencies Resolved

……

----------------------------------------------启动服务---------------------------------------------

[root@freeit ~]# systemctl restart unbound

//启动DNS服务

[root@freeit ~]# systemctl enable unbound   

ln -s '/usr/lib/systemd/system/unbound.service' '/etc/systemd/system/multi-user.target.wants/unbound.service'

//下次系统重启自动启动DNS服务

 

 

 

3.2.配置文件修改

 

说到服务,就离不开配置文件的描述。Unbound安装好之后,缺省配置文件在/etc/unbound/ unbound.conf.

1:修改端口监听地址

----------------------------------------------查看默认监听地址-----------------------------------------

[root@freeit ~]# netstat -tunlp |grep unbound

tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      3333/unbound       

tcp        0      0 127.0.0.1:8953          0.0.0.0:*               LISTEN      3333/unbound       

tcp6       0      0 ::1:53                  :::*                    LISTEN      3333/unbound       

tcp6       0      0 ::1:8953                :::*                    LISTEN      3333/unbound       

udp        0      0 127.0.0.1:53            0.0.0.0:*                           3333/unbound       

udp6       0      0 ::1:53                  :::*                                3333/unbound       

//默认监听本地回环地址,也就是现在只有自己能访问DNS服务,其它主机不能访问本机的DNS服务

-------------------------------------------修改监听地址----------------------------------------

[root@freeit ~]# vim /etc/unbound/unbound.conf

……

38         # interface: 0.0.0.0

39         interface: 0.0.0.0

……

//找到38行,yy复制并p粘贴到下面一行,去掉注释行,打开监听全网功能。

------------------------------------------重启服务查看-----------------------------------------

[root@freeit ~]# systemctl restart unbound         

[root@freeit ~]# netstat -tunlp |grep unbound 

tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN      3461/unbound       

tcp        0      0 127.0.0.1:8953          0.0.0.0:*               LISTEN      3461/unbound       

tcp6       0      0 ::1:8953                :::*                    LISTEN      3461/unbound        

udp        0      0 0.0.0.0:53              0.0.0.0:*                           3461/unbound

//如上,现在53号端口监听的是0.0.0.0,即所有网段。

53号端口监听全网,相当于RHEL6配置文件中的:listen-on port 53 { any; };

 

2:修改允许查询的范围

RHEL6中,DNS配置文件中有这样一句:allow-query     { localhost; };。此句定义的是允许向本机查询(迭代&递归)的主机范围,localhost代表只有本机可以向本机查询。而在配置中,经常改localhostany,让所有主机能够向本机查询DNS。所以,在RHEL7中,也要做这样的修改,只不过修改内容不同而已,如下:

[root@freeit ~]# vim /etc/unbound/unbound.conf

……

177         # access-control: 0.0.0.0/0 refuse

178         access-control: 0.0.0.0/0 allow

179         # access-control: 127.0.0.0/8 allow

……

找到配置文件/etc/unbound/unbound.conf的第177行,缺省为注释行,且内容为拒绝访问。复制本行内容到下面一行,去掉注释“#“,改refuseallow。然后保存退出,重启服务即可。

 

3:去除IPV6

实际生产环境中,使用IPV6的公司很少,基本没有(当然不排除有)。所以,DNS监听Ipv6是没有必要的,这里,我们可以去除IPV6的监听(如果公司环境中有IPV6环境,可忽略此部分实验)

---------------------------------------修改前查看监听内容----------------------------------

[root@freeit ~]# netstat -tunlp |grep unbound

tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN      3461/unbound       

tcp        0      0 127.0.0.1:8953          0.0.0.0:*               LISTEN      3461/unbound       

tcp6       0      0 ::1:8953                :::*                    LISTEN      3461/unbound       

udp        0      0 0.0.0.0:53              0.0.0.0:*                           3461/unbound

//IPV6的监听内容

---------------------------------------------去除对Ipv6监听-----------------------------------------

152         # do-ip4: yes

153         

154         # Enable IPv6, "yes" or "no".

155         # do-ip6: yes

156          do-ip6: no

//找到155行内容,在其下复制一行并去除注释,改yesno,重启服务即可去除对Ipv6的监听

-----------------------------------------验证-------------------------------------------------------

[root@freeit ~]# systemctl restart unbound    

[root@freeit ~]# netstat -tunlp |grep unbound

tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN      3986/unbound       

tcp        0      0 127.0.0.1:8953          0.0.0.0:*               LISTEN      3986/unbound       

udp        0      0 0.0.0.0:53              0.0.0.0:*                           3986/unbound   

//没有了对IPV6的监听。   

注:

  • 缺省情况下,53号端口即监听IPV4也监听IPV6,要去除对IPV6的监听,需设置对IPV6的监听参数yesno;

  • 通过去掉对IPV4监听的注释“#“来移除对IPV6监听的办法不能生效。

 

 

 

3.3.创建解析文件

 

RHEL5.x&6.x系统中,DNS的解析文件分正向和反向两个解析文件,并且有解析文件的模板文件。但是在RHEL7中,正反向解析文件合并为一个,并且无模板文件,需自己创建,路径可以在主配置文件中查看:

[root@freeit ~]# vim /etc/unbound/unbound.conf

……

453         # You can add locally served data with

454         # local-zone: "local." static

455         # local-data: "mycomputer.local. IN A 192.0.2.51"

//正向解析可参考语法

456         # local-data: 'mytext.local TXT "content of text record"'

457         #

458         # You can override certain queries with

459         # local-data: "adserver.example.com A 127.0.0.1"

460         #

461         # You can redirect a domain to a fixed address with

462         # (this makes example.com, www.example.com, etc, all go to 192.0.2.3)

463         # local-zone: "example.com" redirect

464         # local-data: "example.com A 192.0.2.3"

465         #

466         # Shorthand to make PTR records, "IPv4 name" or "IPv6 name".

467         # You can also add PTR records using local-data directly, but then

468         # you need to do the reverse notation yourself.

469         # local-data-ptr: "192.0.2.3 www.example.com"

//反向解析参考语法

470

471         include: /etc/unbound/local.d/*.conf

472

473         # service clients over SSL (on the TCP sockets), with plain DNS inside

……

如上:471行加粗字体,此句规定了解析文件的位置在/etc/unbound/local.d下,并且必须以“.conf“结尾。

 

解析文件的创建,也并不是没有一点可用的模板,主配置文件中可以在454行找到语法格式,复制到创建的解析文件然后自己补充完善即可(此解析文件建议参考RHEL6的解析文件理解)

--------------------------------------------查看本机FQDN------------------------------------

[root@freeit ~]# hostname

freeit.example.com

//由此可知,域名为example.com

-------------------------------------------创建解析文件--------------------------------------------

[root@freeit ~]# vim /etc/unbound/local.d/example.conf

local-zone: "example.com." static

local-data: "example.com. 86400 IN SOA ns.example.com. root 1 1D 1H 1W 1H"

local-data: "ns.example.com.            IN A 192.168.10.10"

local-data: "freeit.example.com.         IN A 192.168.10.10"

local-data: "gyh.example.com.           IN A 192.168.10.11"

local-data-ptr: "192.168.10.10           ns.example.com."

local-data-ptr: "192.168.10.10           freeit.example.com."

local-data-ptr: "192.168.10.11           gyh.example.com."

----------------------------------------查看RHEL6上解析文件以作对比--------------------

[root@freeit ~]# vim /var/named/named.localhost

$TTL 1D

@       IN SOA  @ rname.invalid. (

                                        0       ; serial

                                        1D      ; refresh

                                        1H      ; retry

                                        1W      ; expire

                                        3H )    ; minimum

        NS      @

        A       127.0.0.1

        AAAA    ::1

说明:

  • 第一行内容定义静态的域名为:example.com

  • 第二行:定义example.com相当于RHEL6中的@,即FQDN

                       定义86400相当于$TTL 1D

                       定义的SOA记录一致;

  定义的root相当于@ rname.invalid,而RHEL6中,rname.invalid我们经常改为root,即邮件发给那个用户;

 Root后面内容与RHEL6中的serialrefreshretryexporeminimum对应。

  • 第三、四、五行为正向解析记录;

  • 第六、七、八行为反向解析记录。

 

 

 

3.4.禁用服务用户

 

每个服务都是有其专用的服务用户。而DNS的服务用户为unbound,配置文件中默认是启用了此用户。而实际情况下,此用户是没有必要启用的。所以,这里要清除此用户,即禁用服务用户。

[root@freeit ~]# vim /etc/unbound/unbound.conf

…….

211         # if given, user privileges are dropped (after binding port),

212         # and the given username is assumed. Default is user "unbound".

213         # If you give "" no privileges are dropped.

214         username: "unbound"

215

216         # the working directory. The relative files in this config

……

如上,找到配置文件的第214行,删除unbound即可,删除后为:【username  ” “】。

 

 

 

3.5.验证

 

3.5.1.验证DNS配置

 

[root@freeit ~]# unbound-checkconf

unbound-checkconf: no errors in /etc/unbound/unbound.conf

验证无配置问题,即可重启服务

[root@freeit ~]# systemctl restart unbound

 

 

3.5.2.localhost验证

 

-----------------------------------------------修改本机DNS-------------------------------------------------

[root@freeit ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0

HWADDR=00:0C:29:70:F0:64

TYPE=Ethernet

BOOTPROTO=static

IPADDR="192.168.10.10"

PREFIX="24"

GATEWAY="192.168.10.1"

DNS1=192.168.10.10

DEFRUTE=yesPEERNS=yes

PEEROUTES=yes

IPV4_FAILURE_FATAL=no

IPV6INIT=yes

IPV6_AUTOCONF=yes

IPV6_DEFROUTE=yes

IPV6_PEERDNS=yes

IPV6_PEERROUTES=yes

IPV6_FAILURE_FATAL=no

NAME=eth0

UUID=4765ab39-581e-4412-8642-af58cbf93140

ONBOOT=no

 

[root@freeit ~]# systemctl restart network

----------------------------------------------------nslookup验证--------------------------------------------

[root@freeit ~]# nslookup

> 192.168.10.10

Server:         127.0.0.1

Address:        127.0.0.1#53

 

10.10.168.192.in-addr.arpa      name = ns.example.com.

10.10.168.192.in-addr.arpa      name = freeit.example.com.

> 192.168.10.11

Server:         127.0.0.1

Address:        127.0.0.1#53

 

11.10.168.192.in-addr.arpa      name = gyh.example.com.

> gyh.example.com

Server:         127.0.0.1

Address:        127.0.0.1#53

 

Name:   gyh.example.com

Address: 192.168.10.11

> freeit.example.com

Server:         127.0.0.1

Address:        127.0.0.1#53

 

Name:   freeit.example.com

Address: 192.168.10.10

//验证通过,无问题

 

 

3.5.3.登录远程主机11验证

 

修改DNS

[root@gyh ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0

TYPE=Ethernet

BOOTPROTO=none

DNS1=192.168.10.10

DEFROUTE=no

IPV4_FAILURE_FATAL=no

IPV6INIT=yes

IPV6_AUTOCONF=yes

IPV6_DEFROUTE=yes

IPV6_FAILURE_FATAL=no

NAME=eth0

UUID=210db2a8-848e-46e2-83c2-23f0c30e227f

ONBOOT=yes

IPADDR0=192.168.10.11

PREFIX0=24

GATEWAY0=192.168.10.1

HWADDR=00:0C:29:02:1C:E7

IPV6_PEERDNS=yes

IPV6_PEERROUTES=yes

 

[root@gyh ~]# systemctl restart network

 

Nslookup验证

[root@gyh ~]# nslookup

> freeit.example.com

;; connection timed out; trying next origin

;; connection timed out; no servers could be reached

验证失败,这是为什么呢?

回想前面的Firewall,缺省区域为public,缺省services策略进允许sshipv6-client。而Firewall除了这些缺省勾选的服务允许外,其他一律拒绝。所以可知,解析请求是被DNS服务器的Firewall阻挡。

 

DNS服务器上开放DNS服务

[root@freeit ~]# ifconfig eth0 | grep "netmask" | cut -d " " -f10

192.168.10.10

[root@freeit ~]# firewall-cmd --add-service=dns --permanent

success

[root@freeit ~]# firewall-cmd --reload

success

[root@freeit ~]# firewall-cmd --list-all

public (default, active)

  interfaces: eth0

  sources:

  services: dhcpv6-client dns ssh

  ports:

  masquerade: no

  forward-ports:

  icmp-blocks:

  rich rules:

//DNS服务器上Firewall开放DNS访问

 

再次验证

[root@gyh ~]# ifconfig eth0 |grep "netmask" |cut -d " " -f10

192.168.10.11

[root@gyh ~]# nslookup

> freeit.example.com

Server:         192.168.10.10

Address:        192.168.10.10#53

 

Name:   freeit.example.com

Address: 192.168.10.10

> gyh.example.com

Server:         192.168.10.10

Address:        192.168.10.10#53

 

Name:   gyh.example.com

Address: 192.168.10.11

> 192.168.10.10

Server:         192.168.10.10

Address:        192.168.10.10#53

 

10.10.168.192.in-addr.arpa      name = ns.example.com.

10.10.168.192.in-addr.arpa      name = freeit.example.com.

验证通过。DNS Server设置成功。

 


 

你可能感兴趣的:(服务器,dns,rhel7)