16.dns安装、配置文件讲解

16.dns安装、配置文件

主配置文件语法检查

#安装bind
named-checkconf

解析库文件语法检查

#需要安装bind-utils
named-checkzone magedu /var/named/magedu.org.zone 
    zone magedu/IN: loaded serial 1
    OK

配置文件生效

systemctl start named          #第一次启动服务
rndc reload                   #不是第一次启动服务

centos安装

[root@centos7 ~]#yum -y install bind bind-utils;systemctl enable --now named
[root@centos7 ~]#yum list all bind*

bind            服务器
bind-libs	相关库
bind-utils	客户端
bind-chroot	安全包

#bind的相关配置文件
[root@centos7 ~]#rpm -ql bind
/etc/named.conf		        bind主配置文件
/etc/named.rfc1912.zones	bind域名配置文件
/etc/rndc.key
/etc/resolv.conf		生效的dns地址
/var/log/named.log		bind日志文件
/var/named/named.ca		世界根域服务器地址
/var/named/named.localhost	bind域名记录格式

bind主配置文件讲解

#主配置文件
vim /etc/named.conf
// listen-on port 53 { 127.0.0.1; };
	#127.0.0.1只允许本机登录
	#解决方法：
		1、注释掉//  2、改成localhost：允许当前机器的所有ip
// allow-query  { localhost; };
	#localhost：只允许本机查询
	#解决方法：
		1、注释掉//  2、改成any：允许所有	  3、网段
	allow-transfer { 10.0.0.8;};  #指向从节点ip地址
	allow-transfer { none;}; #在从节点配置，#不允许其它主机进行区域传输
	
     #forward
        forwark first|only;  
	forwarders { master-ip;}; 
	
     #安全验证：
        dnssec-enable no;
        dnssec-validation no; 
        #解决方法:改成no；

forward

#必须关闭安全dnssec功能验证
    dnssec-enable no;
    dnssec-validation no;
#全局转发
    Options {
         forward first|only;
         forwarders { ip;};
    };
#特定区域转发，比全局转发优先级高
    zone "ZONE_NAME" IN {
         type forward;
         forward first|only;
         forwarders { 主dns服务器ip;};
    };

first:先转发至指定DNS服务器，如果无法解析查询请求，则本服务器再去根服务器查询
only: 先转发至指定DNS服务器，如果无法解析查询请求，则本服务器将不再去根服务器查询

bind域名配置文件讲解

#示例
/etc/named.rfc1912.zones
    zone "ZONE_NAME" IN {
    	ZONE_NAME:域名
     type {master|slave|hint|forward};
     	解决办法：master:主节点  slave:从节点  forward:转发
     file "ZONE_NAME.zone";
     };	   #ZONE_NAME.zone：存储路径  /var/named/ZONE_NAME.zone
	   file "slaves/magedu.org.slave"; #从节点配置

bind域名记录格式

#示例
/var/named/named.localhost  #named.localhost是存储路径
$TTL 1D
@       IN       SOA      master   admin.magedu.org. (
                   1;
                   1H;
                   10M;
                   3D;
                   12H
);
                  NS      master #主节点
                  NS      slave  #从节点
shanghai          NS      shanghains  #子域
master            A       10.0.0.7
slave             A       10.0.0.8
shanghains        A       10.0.0.38
www               A       10.0.0.17
*                 A       10.0.0.18
@                 A       10.0.0.28
blog   		  A       10.0.0.27
k8s-master        A       10.0.0.37
websrv            A       10.0.0.47
docker            CNAME   websrv

ubuntu安装

[root@ubuntu1804 ~]#apt install -y bind9 bind9utils
[root@ubuntu1804 ~]#apt list bind*
bind9/bionic-security,bionic-updates,now 1:9.11.3+dfsg-1ubuntu1.15 amd64 [installed]
bind9utils/bionic-security,bionic-updates,now 1:9.11.3+dfsg-1ubuntu1.15 amd64 [installed]

bind9:服务器
bind9utils:客户端

端口

ate      Recv-Q Send-Q             Local Address:Port         Peer Address:Port           
LISTEN     0      128              127.0.0.1:953                    *:*         
LISTEN     0      10                10.0.0.7:53                     *:*                  
LISTEN     0      10              172.17.0.1:53                     *:*    
LISTEN     0      10               127.0.0.1:53                     *:*  
LISTEN     0      128                  [::1]:953                 [::]:*                    
LISTEN     0      10                   [::1]:53                  [::]:*                  

端口的使用

tcp 53端口在DNS的主从同步使用
udp 53端口在DNS查询使用,但也影响主从同步
tcp 953:管理端口,不打开953端口，无法使用rndc命令

抓包查询

tcpdump -i eth0 udp port 53 -nn