DNS 子域授权和高级应用

DNS 基础主从部分 http://www.178linux.com/12395

实验环境:

    系统环境:Centos 6.7

    关闭SELINUX:setenforce 0 #立即生效   (实际是宽容模式)

    配置防火墙:iptables -F(清除防火墙规则)或者是关闭iptables

    DNS父域服务器的IP:192.168.1.7

    子域DNS服务器:192.168.1.5

    安装好bind:yum -y install bind 

一 子域授权

    1.配置父域DNS主配置文件:/etc/named.conf  

    blob.png

    service named start 

    2.配置区域文件:/etc/named.rfc1912.zones

      在最后添加下面几行   

        zone "test.com" IN {

          type master;

          file "test.com.zone";

        };

    blob.png

    3.配置区域解析库文件:/var/named/test.com.zone  

        $TTL 86400

        $ORIGIN test.com.

        @       IN      SOA     ns1.test.com.   admin.test.com. (

                                2016030901

                                1H

                                5M

                                7D

                                1D )

                IN      NS      ns1

                IN      NS      ns2

        ns1     IN      A       192.168.1.7 

        ns2     IN      A       192.168.1.198

        www     IN      A       192.168.1.7

        *       IN      A       192.168.1.7  

    4.修改区域解析库文件的权限并测试文件的语法有没有错误

    cd /var/named/

    chmod 640 test.come.zone

    chown :named test.come.zone

    named-checkzone "test.com" /var/named/test.com.zone 

    blob.png

    5.启动服务,测试解析是否正常

    service named start

    dig -t A www.test.com @192.168.1.7

    blob.png

    6.子域授权,在区域解析库中添加子域的NS记录和A记录

    /var/named/test.com.zone

    最后添加2行    

    ops     IN      NS       ns1.ops

    ns1.ops IN      A       192.168.1.5

    添加完后重载

    rndc  reload

    rndc status

    blob.png

    7.配置子域的主配置文件:/etc/named.conf

      跟父域配置是一样的

    blob.png

    8.配置子域区域文件:/etc/named.rfc1912.zones

        在最后添加下面几行

        zone "ops.test.com" IN {

          type master;

          file "ops.test.com.zone";

        };

    9.配置子域区域解析库文件:/var/named/ops.test.com.zone

        $TTL 86400

        $ORIGIN ops.test.com.

        @        IN      SOA     ns1.ops.test.com.   admin.ops.test.com. (

                                2016030901

                                1H

                                5M

                                7D

                                1D )

                IN      NS      ns1

                IN      NS      ns2

        ns1     IN      A       192.168.1.5

        ns2     IN      A       192.168.1.198

        www     IN      A       192.168.1.199

        *       IN      A       192.168.1.199

    10.启动服务,并测试

    service named start (如果已经启动过服务,直接rndc reload重载就可以了)

    dig -t A www.ops.test.com @192.168.1.5

    blob.png

    11.在父域DNS上测试

     dig -t A www.ops.test.com @192.168.1.7

    blob.png

    12. 在子域上定义转发区域

        在区域文件上配置:vi /etc/named.rfc1912.zones      

        zone "test.com" IN {

                type forward;

                forward only;

                forwarders { 192.168.1.7; };

        };

    13.重载服务,在子域上测试

    rndc reload

    blob.png

二 bind中基础的安全相关的配置

    acl: 把一个或多个地址归并为一个集合,并通过一个统一的名称调用;

    语法格式:

     acl acl_name {

     ip;

     ip;

     net/prelen;

     };

    

    bind有四个内置的acl:

     none: 没有一个主机;

     any: 任意主机;

     local: 本机;

     localnet: 本机的IP同掩码运算后得到的网络地址;

    

    注意:只能先定义,后使用;因此,其一般定义在配置文件中options的前面;

    

    访问控制的指令:

     allow-query {}: 允许查询的主机;白名单;

     allow-transfer {}:允许区域传送的主机;白名单;

     allow-recursion {}: 允许递归的主机;

     allow-update {}: 允许更新区域数据库中的内容;

    1.定义acl,编辑/etc/named.conf,修改内容

     在options上添加全局配置    

    acl slaves {

            192.168.1.7;

            127.0.0.1;

    };

    blob.png

    2.编辑/etc/named.rfc1912.zones,将acl应用到test.com域,并测试

    在test.com域中添加 allow-query { 127.0.0.1;};

    rndc reload

    blob.png

    blob.png

    3.编辑/etc/named.rfc1912.zones,讲acl应用到test.com域,并测试

    在test.com域中添加 allow-transfer { 127.0.0.1;};

    rndc reload

    dig -t AXFR test.com @192.168.1.7

    blob.png            

    blob.png

三 bind view

  1.配置主配置文件:/etc/named.conf

  blob.png   

    blob.png

    2.配置区域文件:/etc/named.rfc1912.zones 

    blob.png

    3.创建test.com.tencent解析库文件

     直接复制test.com.zone,文件名字是test.com.tencent,并且做修改

     cp -a test.com.zone test.com.tencent

     blob.png

    4.重载服务,并且在192.168.1.0的网络做测试 

     service named reload 

    dig -t A www.test.com @192.168.1.7

    blob.png 

    5.在其他的网络做测试,验证智能DNS是否成功.

    blob.png

    

                

    

原创文章,作者:liangkai,如若转载,请注明出处:http://www.178linux.com/12542