DNS服务器配置:DNS服务器配置:正反解析,主从服务器,子域授权,


DNS服务器配置:正反解析,主从服务器,子域授权,

控制列表,bind view


配置前的设置在172.16.59.1服务器上

安装bind: 配置好yum源后,用 # yum install bind 安装

启用named服务: # 起systemctl start named.service,系统重启后可能需手动启动一次


防火墙设置:

 ~]# iptables -L -n  查看防火墙是启用还是关闭

centos7:

关闭防火墙 # systemctl stop firewalld.service 

禁止防火墙开机启动 # systemctl disable firewalld.service  ---- enable为允许

centos6:

~]# service iptables stop   关闭防火墙

~]# chkconfig iptables off   禁止开机启动 ,----on为允许开机启动


# getenforce 查看SElinux状态,disabled为关闭,此时不关闭也没影响


在主配置文件中:/etc/named.conf


1、在53号端口监听能与外部主机通信的地址,而不是127.0.0.1,修改为如下:

    listen-on port 53 { 172.16.59.1; }; ----即本机ip,即默认用本机ip做dns服务器

    listen-on port 53;这种写法或许也行

2、使用不熟练时,建议关闭dnssec;在

    dnssec-enable no;

    dnssec-validation no;

    dnssec-lookaside no;---若没有这一行就手动加上

3、必须关闭仅允许本地查询,注销掉这一行,否则只允许自己查询,而不允许其他主机查询。方式如下:

        //allow-query  { localhost; };


4、在/etc/resolv.conf文件中修改:重启系统后文件内容会恢复默认,可能需要重新配置

nameserver 172.16.59.1  ----改成自己的主机ip,也是意味着默认用自己主机的ip做dns服务器

如果此文件不修改也可以,只是解析时要指定解析服务器例如dig -t A web.magedu.com @172.16.59.1


修改完一定要检测:# named-checkconf

配置解析一个正向区域

如果未安装bind先安装bind,用yum install bind安装;

 分为三个步骤:定义区域、建立区域数据文件、重载配置文件

 注意:区域名字即为域名


(1) 定义区域

在主配置文件中或主配置文件的辅助配置文件中实现:

主配置文件/etc/named.conf

在/etc/named.rfc1912.zones中加入:

 

zone  "ZONE_NAME"  IN  {

type  {master|slave|hint|forward};主,从,根,转发服务器

file  "ZONE_NAME.zone"; 相对路径则在/var/named目录下

};

 

以magedu.com为例新增一个区域:

zone “magedu.com”  IN {

type master;

file “magedu.com.zone”; 

};

 

 

(2) 建立区域数据文件(主要记录为A或AAAA记录)

在/var/named目录下建立区域数据文件;

文件为:/var/named/magedu.com.zone

文件内容如下:

$TTL 3600   --------宏定义,3600秒,下面未定义TTL时都默认引用这个

$ORIGIN magedu.com.  

@        IN       SOA     ns1.magedu.com.   dnsadmin.magedu.com. (      

             2017010801      -----序列号

                     1H                    -------刷新时间间隔

                     10M               ----------重试时间间隔

             3D              -----------过期时间

             1D )            -------------否定回答的TTL值

             IN      NS      ns1   ----- --IN前面没写,说明和上面一行的一样;NS后面没写全,会自动                                                --------补全$ORIGIN后的内容,注意ns1后无点

        IN      MX   10 mx1   ------邮件服务器,10为优先级,数字越小优先级越高

        IN      MX   20 mx2   -----如果有两个服务器就可以解析两个,没有的话不用写这一行

ns1        IN      A       172.16.59.1  -------每一个NS和MX后的主机名都要有一个A记录,

                                                  -------此为用本机ip  172.16.59.1 做默认DNS服务器

mx1       IN      A       172.16.59.4  

mx2       IN      A       172.16.59.5

www      IN      A       172.16.59.1   -----web服务器,可看出这个ip扮演了两个角色

web       IN      CNAME   www       -------web是www的别名

bbs        IN      A       172.16.59.6  -----一个域名对应两台主机,别人访问时随机分配这两台

                                                      ------主机,降低每台服务器压力

bbs        IN      A       172.16.59.7




@       IN       SOA     ns1.magedu.com.   dnsadmin.magedu.com. (      

语法:name     [TTL]     IN     RR_TYPE     value

name用@替代,

TTL可以不写,从上面继承;

SOA后是一个区域名,可以用@,也可用区域名magedu.com.  ,也用当前区域主DNS服务器的名称ns1.magedu.com.;

dnsadmin.magedu.com.:区域负责人的邮件地址,不能用@,要用点"."


  

检查语法错误:

[root@yph7s ~]# named-checkconf     检查主配置文件是否语法错误

[root@yph7s ~]# named-checkzone magedu.com /var/named/magedu.com.zone

zone magedu.com/IN: loaded serial 2017010901

OK---------------------------结果看到OK就没问题


 权限及属组修改:

[root@yph7s ~]# chgrp named /var/named/magedu.com.zone

[root@yph7s ~]# chmod o= /var/named/magedu.com.zone

[root@yph7s ~]# ll /var/named/magedu.com.zone

-rw-r-----. 1 root named 343 Jan  9 08:45 /var/named/magedu.com.zone

 

 

 

(3) 让服务器重载配置文件和区域数据文件

#rndc status  查看一下当前状态

如果为禁用状态用 # systemctl start named.service开启服务

# rndc  reload 或 # systemctl  reload  named.service  重新加载配置文件或区域数据文件

再rndc status查看一下,看有什么变化

 

 

解析看一下配置后的效果

dig -t A www.magedu.com  [@172.16.59.1]通过@后这个服务器解析,可省略不写,因为上面已经定义过了

[root@yph7 ~]# dig -t A www.magedu.com
; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7_2.1 <<>> -t A www.magedu.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50669
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2-----aa表示权威答案
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:   ------自己提交问题
;  A
;; ANSWER SECTION:    ------反馈回的答案
  3600  IN  A  172.16.59.1
;; AUTHORITY SECTION:    ------权威解答,自己定义的ns1.magedu.com竟然成为权威了
magedu.com.3600  IN  NS  ns1.magedu.com.
;; ADDITIONAL SECTION:   ------自己定义的DNS服务器的ip地址
ns1.magedu.com. 3600  IN  A  172.16.59.1
;; Query time: 28 msec     ----查询时长
;; SERVER: 172.16.59.1#53(172.16.59.1)  ----帮你解析的服务器是哪个
;; WHEN: 日 1月 10 20:09:29 CST 2016
;; MSG SIZE  rcvd: 93

上面结果如果flags有aa则是服务器自己解析的权威答案;否则无aa是通过转发或迭代得到的,就不是权威

[root@yph7 ~]# dig -t A www.magedu.com @172.16.0.1 ---不用我们自己配置好的默认的DNS服务器解析,而是自己指定其他的服务器,看到结果并不是我们配置的,而是我们用@指定的服务器从根服务器迭代获得的

;; ANSWER SECTION:

www.magedu.com.102INA101.200.188.230

;; AUTHORITY SECTION:

magedu.com.164901INNSv2s1.xundns.com.

magedu.com.164901INNSv2s2.xundns.com.



[root@yph7 ~]# dig -t A web.magedu.com  

;; ANSWER SECTION: -----查询结果

web.magedu.com.3600INCNAMEwww.magedu.com.----web只是www的一个别名

www.magedu.com.3600INA172.16.59.1  



 

dig -t A bbs.magedu.com这个多试几次,会看到解析到的主机顺序一致在变,因为是在那两个主机中随机选的,防止某个服务器压力过大。

host -t A bbs.magedu.com 也可以查看

 

dig -t NS magedu.com 查看定义的默认DNS服务器是哪个,看到是我们定义的ns1

 

dig -t MX magedu.com 查看邮件服务器有哪些,看到有两个MX

host -t MX magedu.com 也可以查看,两个地址大致是轮循的

 

 

 

配置解析一个反向区域

(1) 定义区域

在主配置文件中或主配置文件辅助配置文件中实现;格式同于正向解析


示例,区域名称为59.16.172.in-addr.arpa;

zone “59.16.172.in-addr.arpa” IN {

type master;

file “172.16.59.zone”;

};

 

注意:反写的网段地址

59.16.172.in-addr.arpa  正常172网段是两段的,写三位也没错

 


(2) 定义区域解析库文件(主要记录为PTR)

 

新建文件  /var/named/172.16.59.zone

内容如下:


$TTL 3600

$ORIGIN 59.16.172.in-addr.arpa.

@      IN       SOA     ns1.magedu.com.  dnsadmin.magedu.com. (

2017010801

1H

10M

3D

12H )

IN      NS      ns1.magedu.com.    ----不能省,因为补的不是这个

1      IN      PTR     ns1.magedu.com.    ----会自动补全为1.59.16.172

4      IN      PTR     mx1.magedu.com.

5      IN      PTR     mx2.magedu.com.

6      IN      PTR     bbs.magedu.com.

7      IN      PTR     bbs.magedu.com.

1      IN      PTR     www.magedu.com.

 

检查语法错误:


[root@yph7s ~]# named-checkconf  先检查主配置文件

[root@yph7s ~]# named-checkzone 59.16.172.in-addr.arpa  /var/named/172.16.59.zone

zone 59.16.172.in-addr.arpa/IN: loaded serial 2017010901  ----再检查区域文件

OK


 权限及属组修改:

[root@yph7s ~]# chgrp named /var/named/172.16.59.zone

[root@yph7s ~]# chmod o= /var/named/172.16.59.zone

[root@yph7s ~]# ll /var/named/172.16.59.zone

-rw-r-----. 1 root named 356 Jan  9 10:05 /var/named/172.16.59.zone

 

 (3) 让服务器重载配置文件和区域数据文件

# rndc  reload 或 # systemctl  reload  named.service

 

测试下配置后的结果:

[root@yph7 named]# dig -x 172.16.59.1--看主机名是什么,结果有两个ns1和www

;; ANSWER SECTION:

1.59.16.172.in-addr.arpa. 3600INPTRns1.magedu.com.

1.59.16.172.in-addr.arpa. 3600INPTRweb.magedu.com.


主从DNS服务器配置:

 

一台主机上某一个区域的从服务器上,只有这个区域的复本 ,不包括其他区域的内容,所以,从服务器是区域级别的概念;从服务器的区域数据文件无需手动编写,只需从主服务器同步过来。也可以给从服务器在再配一个从服务器。


比如A,B两台服务器,A是正向的主服务器,B是正向的从服务器;反过来B是反向的主服务器,A是反向的从服务器。

如果一个请求不是自己主机负责的域,如果你的主机帮它去根服务器请求,叫做递归,但相当消耗资源,一般只允许为本地客户端提供递归服务。


对于本地客户端的请求,把本地客户端群分为两半,一半请求时以主服务器为主响应,另一半则用从服务器响应。

对于网络客户端的请求,你要告诉上级你有两台服务器,上级把请求分给你时,轮循分给主和从服务器。

named程序是以named用户身份运行的,/var/named目录属主为root,属组无写权限,所以不能在/var/nemad下建文件;而/var/named/slaves目录属主为named,所以文件放在此目录下。


配置一个从区域On Slave

安装前配置:在172.16.59.3从服务器上

安装bind,启用named服务,修改/etc/resolv.conf,修改主配置文件。

这些配置与文章首部的安装前配置几乎完全一致。除了主配置文件/etc/named.conf中对53号端口的监听略有区别;因为要能监听在外部地址上,加一个新地址172.16.59.3,如下:

     listen-on port 53 { 127.0.0.1; 172.16.59.3;};


主从服务器要间要同步,

同步时间命令:ntpdate命令



注意:本次配置172.16.59.1为主服务器,172.16.59.3为从服务器

(1) 在从服务器上定义一个从区域,172.16.59.3


zone "ZONE_NAME"  IN {

type  slave;   ---------------------指明这是从服务器

file  "slaves/ZONE_NAME.zone"; 文件名,此为相对路径,在/var/named/下

masters  { MASTER_IP; };  ------指明谁是主区域

};

 

在/etc/named.rfc1912.zones  中添加如下内容:

zone "magedu.com" IN  {

        type slave;

        file "slaves/magedu.com.zone";

        masters { 172.16.59.1;  };

};


配置文件语法检查:

 [root@yph7s named]# named-checkconf


重载配置

# rndc  reload

# systemctl  reload  named.service

 

(2)On Master:172.16.59.1

确保区域数据文件中为每个从服务配置NS记录,并且在正向区域文件需要每个从服务器的NS记录的主机名配置一个A记录,且此A后面的地址为真正的从服务器的IP地址;

 [root@yph7s named]# vim /var/named/magedu.com.zone 

添加下面两行

     IN  NS  ns2

ns2  IN  A   172.16.59.3    ------新增解析指向从服务器的ip地址


检测文件语法错误:

[root@yph7 named]# named-checkzone magedu.com /var/named/magedu.com.zone

zone magedu.com/IN: loaded serial 2017011001

OK


重新加载:

[root@yph7 named]# rndc reload

server reload successful


on slave:172.16.59.3
从服务器重载配置文件,并查看状态

[root@yph7s named]# systemctl reload named.service

[root@yph7s named]# systemctl status named.service

.............. running

................Reloaded Berkeley Internet Name Domain (DNS).

................zone magedu.com/IN: Transfer started.   ---------------------从服务器开始同步数据

................transfer of 'magedu.com/IN' from 172.16.59.1#53: connected using 172.16.59.3#51981

............... zone magedu.com/IN: transferred serial 2017011001  ---------------------序列号

............... transfer of 'magedu.com/IN' from 172.16.59.1#53: Transfer completed: 1 messages, 1...es/sec)   ----------------------------------------------------------------同步数据完成

............... zone magedu.com/IN: sending notifies (serial 2017011001)

Hint: Some lines were ellipsized, use -l to show in full.


[root@yph7s named]# ls /var/named/slaves

magedu.com.zone        ---------------------已经自动新建了文件,说明已经把数据同步过来了


测试一下:看来已经成功了

[root@yph7s named]# dig -t A www.magedu.com  @172.16.59.3 ----@自己,为了方便观察


;; ANSWER SECTION:

www.magedu.com.3600INA172.16.59.1

;; AUTHORITY SECTION:

magedu.com.3600INNSns2.magedu.com.

magedu.com.3600INNSns1.magedu.com.

;; ADDITIONAL SECTION:

ns1.magedu.com.3600INA172.16.59.1

ns2.magedu.com.3600INA172.16.59.3



(3)on master:172.16.59.1

[root@yph7 named]# vim magedu.com.zone 

新增一个解析

pop3 IN  A       172.16.59.8

并且一定要把序列号加1


[root@yph7 named]# named-checkconf -----检测语法错误

[root@yph7 named]# rndc reload     -------重载

server reload successful


[root@yph7 named]# systemctl status named.service -----查看状态

.........reloading zones succeeded --重载成功

........ zone magedu.com/IN: loaded serial 2017011002 ----发现了序列号增1

.........zone magedu.com/IN: sending notifies (serial 2017011002) --向slave发送更新信号

........ all zones loaded

........ running


on slave:172.16.59.3

不用重载,直接查看状态,测试

第一次测试时有时候能自动同步有时不能,后来关闭防火墙,dnssec手动添加第三项,还不行,就重启系统。重启后修改resolve.conf 和named.service用start开启,就能自动同步了。


[root@yph7s ~]# systemctl status named.service 

......... Started Berkeley Internet Name Domain (DNS).

...........zone magedu.com/IN: Transfer started.   ----------传送开始


......... zone magedu.com/IN: transferred serial 2017011003 ----序列号

.......... transfer of 'magedu.com/IN' from 172.16.59.1#53: Transfer completed: 1 messages, 1...es/sec)  -------------传送完成

....... zone magedu.com/IN: sending notifies (serial 2017011003) -----发送传送结束信号


测试:

[root@yph7s ~]# dig -t A world.magedu.com @172.16.59.3 ---@本机测试一下

;world.magedu.com. IN A


;; ANSWER SECTION: -------回答 world只是www的一个别名

world.magedu.com.3600  IN  CNAME  www.magedu.com.

www.magedu.com.3600  IN  A  172.16.59.1


;; AUTHORITY SECTION: ----权威DNS解析服务器

magedu.com.3600INNSns2.magedu.com.

magedu.com.3600INNSns1.magedu.com.





增量传送:

主服务器:

[root@yph7 named]# dig -t axfr magedu.com @172.16.59.1


从服务器:@主服务器

[root@yph7s ~]# dig -t A axfr magedu.com @172.16.59.1

[root@yph7s ~]# dig -t A axfr 59.16.172.in-addr.arpa  @172.16.59.1






反向解析:



从服务器;172.16.59.3

[root@yph7s ~]# vim /etc/named.rfc1912.zones  ---新增一个反向解析域


zone “59.16.172.in-addr.arpa” IN {

type slave;

file “slaves/172.1.59.zone”;

masters  {  172.16.59.67;  };

};

 检测语法

[root@yph7s ~]# named-checkconf


主服务器:172.16.59.1新增两行指向从服务器的反解析记录,并立即把序列号加1;如下:

[root@yph7 named]# vim /var/named/172.16.59.zone 

    IN  NS  ns2.magedu.com.

3   IN  PTR ns2.magedu.com.

然后序列号加1


检测语法:

[root@yph7 named]# named-checkzone 59.16.172.in-addr.arpa /var/named/172.16.59.zone 


主服务器先重载,从服务器再重载

然后从服务器下已经同步过来文件了,如下:

[root@yph7s slaves]# ls

172.16.59.zone  magedu.com.zone


测试:

[root@yph7s slaves]# dig -x 172.16.59.1 @172.16.59.3

;; ANSWER SECTION:

1.59.16.172.in-addr.arpa. 3600INPTRns1.magedu.com.

1.59.16.172.in-addr.arpa. 3600INPTRweb.magedu.com.


;; AUTHORITY SECTION:

59.16.172.in-addr.arpa.3600INNSns2.magedu.com.

59.16.172.in-addr.arpa.3600INNSns1.magedu.com.


;; ADDITIONAL SECTION:

ns1.magedu.com.3600INA172.16.59.1

ns2.magedu.com.3600INA172.16.59.3


类似于正向解析在主服务器上新增解析记录,序列号加1,检测,重载;然后用重服务器测试,仍能成功。


子域授权

子服务器:172.16.59.2

用centos6主机172.16.59.2做子域服务器

文件配置方式与文章开头几乎一致,只是下面的这点不同:

 listen-on port 53 { 127.0.0.1; 172.16.59.2; };


[root@yph6 yum.repos.d]# netstat -tunlp | grep named ------53端口已经被named监听
tcp        0      0 127.0.0.1:53                0.0.0.0:*                   LISTEN      2337/named          
tcp        0      0 127.0.0.1:953               0.0.0.0:*                   LISTEN      2337/named          
tcp        0      0 ::1:53                      :::*                        LISTEN      2337/named          
tcp        0      0 ::1:953                     :::*                        LISTEN      2337/named          
udp        0      0 127.0.0.1:53                0.0.0.0:*                               2337/named
[root@yph7 named]# ss -tunl ----53端口已经被172.16.59.2监听,若没有则重启服务
Netid State     Recv-Q Send-       Local Address:Port            Peer Address:Port 
tcp  UNCONN      0       0           172.16.59.2:53

 

假如公司运维部子域ops.magedu.com,此为三级域名为之配置子服务器       

父服务器:172.16.59.1

正向解析区域授权子域的方法:

ops.magedu.com.  IN  NS   ns1.ops.magedu.com.

ns1.ops.magedu.com.  IN  A  IP.AD.DR.ESS


父配置文件添加指向子服务器的解析,序列号加1

[root@yph7 named]# vim /var/named/magedu.com.zone

ops     IN  NS  ns1.ops

ns1.ops IN  A   172.16.59.2




子服务器

[root@yph6 yum.repos.d]# vim /etc/named.rfc1912.zones      ----添加域                          

zone "ops.magedu.com" IN {

        type master;

        file "ops.magedu.com.zone";


[root@yph6 named]# vim /var/named/ops.magedu.com.zone  ----创建区域配置文件

$TTL 3600

$ORIGIN ops.magedu.com.

@       IN      SOA     ns1.ops.magedu.com      nsadmin.ops.magedu.com (

                2017011101

                1H

                10M

                1D

                2H)

          IN      NS      ns1

ns1     IN      A       172.16.59.2


[root@yph6 yum.repos.d]# named-checkconf ---检测文件语法错误

[root@yph6 named]# named-checkzone ops.magedu.com /var/named/ops.magedu.com.zone 

zone ops.magedu.com/IN: loaded serial 2017011101

OK


修改文件权限

[root@yph6 named]# chgrp named ops.magedu.com.zone 

[root@yph6 named]# chmod o= ops.magedu.com.zone 

[root@yph6 named]# ll ops.magedu.com.zone 

-rw-r----- 1 root named 175 Jan 11 22:10 ops.magedu.com.zone


[root@yph6 named]# rndc reload ----重新加载

server reload successful


在从服务器上测试:

[root@yph6 named]# dig -t A www.ops.magedu.com @172.16.59.2

;; ANSWER SECTION:

www.ops.magedu.com.3600INA172.16.59.2


;; AUTHORITY SECTION:

ops.magedu.com.3600INNSns1.ops.magedu.com.


;; ADDITIONAL SECTION:

ns1.ops.magedu.com.3600INA172.16.59.2


[root@yph6 named]# dig -t A world.magedu.com @172.16.59.2--通过自己解析父服务器上的服务

;; ANSWER SECTION:

world.magedu.com.3600INCNAMEwww.magedu.com.

www.magedu.com.3600INA172.16.59.1


;; AUTHORITY SECTION:

magedu.com.3600INNSns2.magedu.com.

magedu.com.3600INNSns1.magedu.com.




定义转发


注意:被转发的服务器必须允许为当前服务做递归;


 区域转发:仅转发对某特定区域的解析请求;

子服务器上:

    zone  "ZONE_NAME"  IN {    ---------父域名字

        type  forward;     ----------类型为转发

        forward  {first|only};

        forwarders  { SERVER_IP; };  ------转发器

    };

first:首先转发;转发器不响应时,自行去迭代查询;

only:只转发;


[root@yph6 named]# vim /etc/named.rfc1912.zones ---添加如下内容

zone "magedu.com" IN {

        type forward;

        forward only;

        forwarders { 172.16.59.1; 172.16.59.3;  };

};


[root@yph6 named]# named-checkconf ----检查语法错误

[root@yph6 named]# rndc reload -----重载

server reload successful


小技巧:如果自己不能访问互联网,而172.16.100.67可以上互联网,用它解析接可以让它帮你找根,前提是它没有禁止帮你做迭代


全局转发

在zone中定义的就按zone的标准,对于zone没有定义的就按全局标准

options {

    ... ...

    forward  {only|first};

    forwarders  { SERVER_IP; };

    .. ...

};


在/etec/named.conf主配置文件中,被注销掉的行 //allow-query     { localhost; };上方添加两行:

forward only;

forwarders { 172.16.59.1;  };-----表示zone中没定义的都通过这个ip解析

 

下面解析中,@的是自己,但自己并没有答案中的解析;答案是全局定义中的172.16.59.1转发的。      

[root@yph6 named]# dig -t A www.baidu.com @172.16.59.2

;; ANSWER SECTION:

www.baidu.com.1200INCNAMEwww.a.shifen.com.

www.a.shifen.com.300INA61.135.169.121

www.a.shifen.com.300INA61.135.169.125


bind中的安全相关的配置

acl:访问控制列表;

把一个或多个地址归并一个命名的集合,随后通过此名称即可对此集全内的所有主机实现统一调用;

acl  acl_name  {

ip;

net/prelen;

};

示例:

acl  mynet {

172.16.0.0/16;

127.0.0.0/8;

};


bind有四个内置的acl

none:所有主机都不允许;

any:任意主机;

local:本机;

localnet:本机所在的IP所属的网络;


访问控制指令

allow-query  {};  仅允许查询的主机;白名单;就是我们文章首部注销掉的那个

allow-transfer {};  允许为哪些主机做区域传送;默认为向所有主机;应该配置仅允许从服务器;

    在主服务器上:

    

    只为指定主机提供递归迭代服务:

    [root@yph7 named]# vim /etc/named.rfc1912.zones 

    在zone "magedu.com" IN 下面添加一行

     allow-transfer { slaves;  };

     再在主配置文件/etc/named.cong第一个options上方添加:

    acl slaves {

        172.16.59.3;

        172.16.59.2;

    };
172.16.59.2虽不是从服务器,但只要添加到这里面就把你加入白名单,给你做递归服务,否则不给。

    在从服务器或子服务器dig -x axfr magedu.com @172.16.59.1

    

    为自己传送:

    如果添加了127.0.0.1,使用主服务器才可以传送否则不能为自己传送,但必须

    dig -x axfr magedu.com @127.0.0.1,并且下面的listen on port行加上127.0.0.1;



allow-recursion {}; 允许哪此主机向当前DNS服务器发起递归查询请求; 


    主配置文件/etc/named.conf中的recursion yes;表明为所有主机递归,这样不合理

    在第一个options上添加

    acl mynet {

        172.16.0.0/16

       127.0.0.0/8

    };

    

    

    把recursion yes;改为

    allow-recursion  { mynet;  };



allow-update {}; DDNS,允许动态更新区域数据库文件中内容;

一般都是none,参见系统定义的/etc/named.rfc1912.zones 中zone域的定义

这样服务器才安全。





bind view

例如一个主机有内网ip和外网ip,内网的主机进行解析时解析成一个地址,外网的主机解析时解析成另一个地址,来自联通的用户解析到联通上,来自电信的解析到电信上

视图:

view  VIEW_NAME {

    zone

    zone

    zone

};


view internal  { ----面向内网

    match-clients { 172.16.0.0/8; }; ----这个网段的用户解析到内网

    zone "magedu.com"  IN {

        type master;

        file  "magedu.com/internal";

    };

};


view external {  --------外网的用户

    match-clients { any; }; ----这些用户解析到外网

    zone "magecdu.com" IN {

        type master;

        file magedu.com/external";

    };

};






你可能感兴趣的:(服务器,配置,dns)