DNS协议与DNS服务器搭建(bind)
写在前面:
博客书写牢记5W1H法则:What,Why,When,Where,Who,How。
本篇主要内容:
● tcp/ip回顾
● DNS协议/DNS服务相关概念
● bind安装配置
正向解析区域
反向解析区域
主从服务器
子域配置
转发配置
● bind安全设置
acl访问控制列表
● bind view智能DNS
相关概念回顾:
tcp/ip
通信子网--->内核中实现
传输层:
添加源端口与目标端口等信息。
由于发送方与接收方的速率可能不同,这样可能会导致数据丢失,所以在传输层的tcp首部信息中设置有“window”(窗口)大小设置。
裸套接字:
应用层进程的报文自己有控制功能,不通过TCP和UDP支撑,直接调用互联网层的IP报文,这类报文称为裸套接字报文。
TCP:Transmission Control Protocol
面向连接的协议,双方通信之前需要实现建立虚连接。
UDP:User Datagram Protocol
用户数据报协议,双方通信之前无需建立虚连接。
sctp等其他协议
互联网层
添加IP等信息,完成网络通讯
物理层
添加MAC地址等信息,万层本地通讯,转发、中继
应用层
请求信息数据,包或包组
应用程序来实现各种协议
如:http/ftp/邮件发送smtp/邮件接收pop3/
tcp/ip协议中基于sockets的通讯一般为C/S结构的。
Server端需要时刻监听(listen)在IP:Port上,Client同样需要一组IP:Port信息与Server通信。
DNS:Domain Name Service,应用层协议
相关概念:
将域名与IP地址进行相互转换的协议。
C/S结构
默认端口为:53/udp、53/tcp
域名:FQDN(Full Qualified Domain Name)
层级结构:
根域:.
记录顶级域服务器信息,全球目前有13个根
顶级域:top level domain(tld)
记录二级域服务器信息
组织域:
.com商业机构 .net网络组织 .org非盈利组织 .gov政府部门 .edu教育机构 .mil军工部门
国家/行政区域:
.cn中国 .iq伊拉克 .tw台湾 .hk香港 .jp日本
二级域:
记录三级域服务器信息以及本地域主机信息
baidu.com域 magedu.com域 com.cn域等
...
DNS查询方式:
(1)递归查询
客户端向本地DNS查询记录,当本地DNS中没有对应条目时,DNS服务器去网络中查询,并将结果返回给客户端。
客户端-->本地DNS
|-->根域
|-->顶级域 tld
|-->二级域
|...
(2)迭代查询
客户端向本地DNS查询记录,当本地DNS中没有对应条目时,DNS返回根域地址给客户端,客户端依次去查询。
客户端-->本地DNS
|-->根域
|-->顶级域 tld
|-->二级域
|...
DNS名称解析方式:
以下两种解析方式,不是同一个名称空间、不是同一个目录树、也不是同一个解析库。
正向解析:FQDN-->IP
反向解析:IP-->FQDN
域名注册方式:
万网(国内,需备案)、godaddy(国外站点,无需备案)等代理注册站点。
注意,一般注册的是二级域名,如baidu.com,而www.baidu.com只是域中的一台主机。
DNS服务器类型:
不负责解析域名:
缓存名称服务器
负责解析至少一个域(也会缓存条目)
主域名解析服务器
从域名解析服务器
服务器返回的解析答案类型:
肯定答案:
否定答案:
不存在查询的键,因此,不存在预期查询的键对应的值。
权威答案:
返回本DNS服务器直接维护的条目,使用dig命令会有"aa"标识。
非权威答案:
非本机维护的条目(缓存或转发)
主-辅DNS服务器:
主DNS服务器:维护所负责解析的域数据库的那台服务器;读写操作均可进行;
从DNS服务器:从主DNS服务器或其它从DNS服务器那里“复制”一份解析库;但只能进行读操作;(注意“复制”操作是以区域zone为单位的)
主从服务器协调属性:
序列号:serial
也即是数据库的版本号;主服务器数据库内容发生变化时,手动设置其版本号递增;
刷新时间间隔:refresh
从服务器每多久到主服务器检查序列号更新状况;
重试时间间隔:retry
从服务器从主服务器请求同步解析库失败时,再次发起尝试请求的时间间隔;
过期时长:expire
从服务器始终联系不到主服务器时,多久之后放弃从主服务器同步数据;停止提供服务;
否定答案的缓存时长:
注意:时长对应的单位可以是M、H、D、W,对应分钟、小时、天、星期
另外,当主服务器数据变动时,主服务器会"主动通知"从服务器更新数据;
区域传送:
全量传送:axfr, 传送整个数据库;一般第一次同步时使用。
增量传送:ixfr, 仅传送变动的数据;
区域(zone)和域(domain):
区域:
正向解析或反向解析的功能与数据库的集合。
域:
如baidu.com这个二级域,包含了正向解析和反向解析区域。
区域数据库文件zone格式:
资源记录Resource Record(rr)
语法:
name [TTL] IN RR_TYPE value
记录类型(RR_TYPE):
SOA
起始授权记录,必须为第一条,有且只能有一条。
name:当前区域名称
如“fredme.com.”或“4.3.2.in-addr.arpa.”
value:
(1)当前区域名称(也可以使用主DNS服务器名称)
(2)当前区域管理员邮箱,其中"@"用"."代替
(3)主从服务器协调属性定义,放入()内
(4)“;”后为注释信息
例:
magedu.com. 86400 IN SOA magedu.com. admin.magedu.com. ( 2017010801 ; serial 2H ; refresh 10M ; retry 1W ; expire 1D ; negative answer ttl )
NS
域名服务器条目
name:当前区域名称
value:当前区域某DNS服务器FQDN名,如ns1.fredme.com
例:
fredme.com. 86400 IN NS ns1.fredme.com.
MX
邮件服务器条目
name:当前区域名称
优先级:0-99,数字越小,优先级越高,即使只有一个mx服务器,也需要设置优先级
value:当前区域某邮件交换器的FQDN名
例:
fredme.com. IN MX 10 mx1.fredme.com.
A
IPv4-->FQDN条目
name:FQDN
value:IPv4地址
例:
www.fredme.com. IN A 1.1.1.1
AAAA
IPv6地址条目
name:FQDN
value:IPv6
CNAME
FQDN别名
name:FQDN格式的别名
value:FQDN正式名称
例:
web.fredme.com. IN CNAME www.fredme.com.
PTR
FQDN-->IPv4条目
仅反向区域文件中配置
例:
23 IN PTR www.gredme.com.
注意:
(1)TTL可以全局继承。如头部定义$TTL 3600
(2)@表示当前区域名称
(3)相邻两条记录name相同时,后者可以省略name项
(4)正向解析区域文件中,各MX、NS记录中的FQDN应该有对应的A记录
bind安装配置:
BIND:
Berkeley Internet Name Domain,ISC.org
是DNS协议的一种实现软件程序,其主程序名称为named。
程序包:
bind-libs:被bind和bind-utils包中的程序共同用到的库文件;
bind-utils:bind客户端程序集,例如dig, host, nslookup等;
bind:提供的dns server程序、以及几个常用的测试程序;
bind-chroot:选装,让named运行于jail模式下;
配置文件:
主配置文件:/etc/named.conf
或包含进来其它文件;
/etc/named.iscdlv.key
/etc/named.rfc1912.zones
/etc/named.root.key
文件格式:
全局配置段:
options { ... };
日志配置段:
logging { ... };
区域配置段:
zone { ... };
定义那些由本机负责解析的区域,或转发的区域;
注意:每个配置语句必须以分号结尾;
解析库文件:
/var/named/目录下;
一般名字为:ZONE_NAME.zone
注意:
(1) 一台DNS服务器可同时为多个区域提供解析;
(2) 必须要有根区域解析库文件: named.ca;
(3) 还应该有两个区域解析库文件:localhost和127.0.0.1的正反向解析库;
正向:named.localhost
反向:named.loopback
rndc:remote name domain contoller
远程管理bind程序的软件
953/tcp,但默认监听于127.0.0.1地址,因此默认仅允许本地使用;
命令:
用于named服务控制
rndc status
查看named服务状态
rndc stats
查看统计信息
rndc reload/stop/restart
重读配置文件/停止服务/重启服务
rndc flush
清空named缓存
缓存名称服务器的配置:
bind程序安装完成之后,默认即可做缓存名称服务器使用,即没有专门负责解析的区域,直接启动服务;
监听地址配置:
修改为外卡IP,以供能够访问此IP的客户端访问DNS服务。
listen-on port 53;
listen-on port 53 { 172.16.100.67; };
关闭dnssec
初学者建议关闭dnssec
dnssec-enable no;
dnssec-validation no;
dnssec-lookaside no;
关闭仅允许本地查询:
//allow-query { localhost; };
注意:
(1)"{}"左右有空格
(2)C语言格式的注释信息,单行注释//,多行注释/* */
检查配置文件语法错误:
named-checkconf [/etc/named.conf]
测试工具:
dig
用来测试DNS系统,所以不会查询hosts文件中的记录。
正向解析测试:
dig [-t RR_TYPE] name [@NS_IP] [query options]
query options:
+[no]trace:跟踪解析过程;
+[no]recurse:进行递归解析;
反向解析测试:
dig -x IP [@server]
模拟完全区域传送:
dig -t axfr DOMAIN [@server]
host
host [-t RR_TYPE] name SERVER_IP
nslookup
nslookup [-options] [name] [server]
交互式模式:
nslookup>
server IP:以指定的IP为DNS服务器进行查询;
set q=RR_TYPE:要查询的资源记录类型;
name:要查询的FQDN;
正向解析区域配置:
(1)修改主配置文件/etc/named.conf
options部分:
listen-on
修改监听IP地址,此地址为客户端能够访问的地址
allow-query
设定允许查询的主机。注释掉,不做限制
dnssec-enable
dnssec-validation
dnssec相关配置,关闭,设置为no
(2)根据主配置文件的include项,修改/etc/named.rfc1912.zones
一般自定义zone配置都写入到此文件
新建自定义zone条目:
zone "ZONE_NAME" IN {
type {master|slave|hint|forward};
file "ZONE_NAME.zone";
};
注意:区域名字即为域名;
(3)根据上步骤,新建zone文件
根据上步配置,假设指明的zone文件为grub2.com.zone,在/var/named/目录新建此文件,内容为:
$TTL 3600 ;单位为秒
$ORIGIN grub2.com. ;设定域名
@ IN SOA ns1.grub2.com. admin.grub2.com. (
2016041001 ;标识符
10M ;同步时间
1H ;重试时间
1D ;过期时间
1D ;否定回答的过期时间
)
IN NS ns1
IN MX 10 mx1 ;注意MX记录有优先级值
ns1 IN A 192.18.31.7
mx1 IN A 192.18.31.6
www IN A 192.168.31.7
IN A 192.168.31.6 ;定义多个相同FQDN条目时,客户端每次访问显示顺序不同,相当于进行了负载均衡。省略FQDN表示与上一条目相同。
web IN CNAME www
注意:需要修改权限信息以保证数据安全:
chgrp named grub2.com.zone
chmod o= grub2.com.zone
(4)检查配置文件与zone文件,重读配置文件
named-checkconf
named-checkzone grub2.com. /var/named/grub2.com.zone
rndc reload
反向解析区域配置:
(1)修改/etc/named.rfc1912.zones文件
自定义zone条目:
zone "ZONE_NAME" IN {
type master|slave|hint|forward;
file "FILE.zone";
};
补充:
ZONE_NAME:
反写的网段地址.in-addr.arpa
31.18.172.in-addr.arpa
FILE.zone:
网段.zone即可
172.18.31.zone
(2)定义zone文件
假设为:172.18.31.zone
内容为:
$TTL 36000
$ORIGIN 31.18.172.in-addr-arpa
@ IN SOA ns1.grub2.com. admin.grub2.com. (
2016041001
10M
1H
1D
1D
)
IN NS ns1.grub2.com.
7 IN PTR ns1.grub2.com.
6 IN PTR mx1.grub2.com.
7 IN PTR www.grub2.com.
6 IN PTR www.grub2.com.
补充:
反向解析区域zone文件也可以设置CNAME条目,但与正向解析zone不同,应该填写IP
主从服务器:
从服务器是区域(zone)级别的同步。
其他从服务器仍然可以从从服务器同步,即级联。
负载均衡:
即多台DNS服务器都发挥作用为客户端提供服务的实现。
(1)将本地客户端的DNS顺序修改一下,一部分将主服务器设置为主DNS,一部分将从服务器设置为主DNS
(2)由上级完成,告知上级DNS服务器有多台服务器,由上级分发到不同服务器上。
服务器原则:
(1)只给本地客户端递归查询
(2)非本地客户端只提供本地管理的域名的查询
从DNS配置方法:
(1)定义区域
指名类型为从服务器(slave)
zone "ZONE_NAME" IN {
type slave;
file "slave/ZONE_NAME.zone";
masters { MASTER_IP; };
};
注意:之所以将zone文件指定到salve目录下,是为了安全,默认/var/named/目录对named组没有写权限,而修改权限势必会有安全隐患,所以选择在salve子目录是非常明智的。
(2)检查配置文件,重载配置或重启服务
named-checkconf
rndc reload
注意:
a.需要确保主服务器的区域数据文件中为此从服务器配置了NS记录以及对应的A或PTR记录,修改区域文件后记得序列号修改一下。
b.主服务器应该设置访问控制,只允许从DNS进行区域传送。
c.需要注意系统时间需要同步,这样才能保证后续同步操作。
ntpdate命令。
子域配置:
(1)正向解析区域授权子域:
只需要在上级域中添加子域的NS记录以及对应的A记录即可。
子域名称 IN NS 子域域名服务器的FQDN
子域服务器FQDN IN A NS_IP
例:
ops.grub2.com. IN NS ns1.ops.grub2.com.
ns1.ops.grub2.com. IN A 172.18.31.9
注意:如果子域有主从等多台服务器,需要在上级域中记录多条。
(2)子域服务器配置
正常配置属于此子域的主机或其子域即可。
定义转发:
当客户端从子域DNS服务器查询父域中定义的域名条目时,由于子域中没有相关记录,所以子域DNS默认会去根域服务器递归查询,而这样做显然没有必要。比如,客户端向ops.grub2.com的域服务器请求"www.grub2.com"域名对应IP地址。
当本地查询不到条目时,设置转发到其他特定服务器。
注意!只有允许递归查询的客户端请求才会被转发。参照下面访问控制指令。
区域转发
仅转发某特定区域的解析请求
zone "ZONE_NAME" IN {
type forward;
forward first|only;
forwarders { SEREVER_IP; ... };
};
first:首先转发。服务器不响应时,再去迭代查询
only:只转发。
全局转发
凡本地未定义区域,全部转发给其他服务器。
在/etc/named.conf配置文件的开头options {}中添加
forward only|first;
forwarders { SERVER_IP; ... };
bind安全相关配置:
acl:
访问控制列表
将1个或多个地址归并为一个集合,通过集合对集合中所有地址进行统一调用。
由于acl只能先定义再使用,所以建议放到配置文件最前端。
在主配置文件/etc/named.conf最前端定义:
acl ACL_NAME {
IP;
NET/PRELEN;
};
注意:网段只支持"/数字"的格式
如:
acl localnet {
172.18.31.0/24;
127.0.0.0/8;
172.18.30.7;
};
内置acl:
none:空
any:任意
local:本机
localnet:本机IP所属的网路
访问控制指令:
在主配置文件中options { };中进行配置。
allow-query { };
允许查询的主机,白名单
allow-transfer { };
允许向哪些主机做区域传送,默认为所有主机,建议设置为仅允许从DNS服务器。
allow-recursion { };
允许哪些主机可以向当前DNS服务器发起递归查询请求,默认允许所有主机。
使用时记得先注销掉options{};中"recursion yes;"条目,此条目表示为所有主机发起递归查询。
allow-update { };
DDNS,允许动态更新区域数据库文件内容。
bind view
智能DNS。对不同来源的客户端解析为不同的IP地址。CDN就是利用这种原理。
view VIEW_NAME {
zone
zone
...
};
如:
view internal {
match-clients { 172.18.0.0/8; };
zone "grub2.com" IN {
type master;
file "grub2.com/internal";
};
};
view external {
match-clients { any; };
zone "grub2.com" IN {
type master;
file grub2.com/external";
};
};
注意:view条目是从上到下匹配的,所以,应该将小范围view放到前面。