16.dns安裝、配置文件講解

16.dns安裝、配置文件

主配置文件語法檢查

#安裝bind
named-checkconf

解析庫文件語法檢查

#需要安裝bind-utils
named-checkzone magedu /var/named/magedu.org.zone 
    zone magedu/IN: loaded serial 1
    OK

配置文件生效

systemctl start named          #第一次啟動服務
rndc reload                   #不是第一次啟動服務

centos安裝

[root@centos7 ~]#yum -y install bind bind-utils;systemctl enable --now named
[root@centos7 ~]#yum list all bind*

bind            服務器
bind-libs	相關庫
bind-utils	客戶端
bind-chroot	安全包

#bind的相關配置文件
[root@centos7 ~]#rpm -ql bind
/etc/named.conf		        bind主配置文件
/etc/named.rfc1912.zones	bind域名配置文件
/etc/rndc.key
/etc/resolv.conf		生效的dns地址
/var/log/named.log		bind日志文件
/var/named/named.ca		世界根域服務器地址
/var/named/named.localhost	bind域名記錄格式

bind主配置文件講解

#主配置文件
vim /etc/named.conf
// listen-on port 53 { 127.0.0.1; };
	#127.0.0.1只允許本機登錄
	#解決方法：
		1、注釋掉//  2、改成localhost：允許當前機器的所有ip
// allow-query  { localhost; };
	#localhost：只允許本機查詢
	#解決方法：
		1、注釋掉//  2、改成any：允許所有	  3、網段
	allow-transfer { 10.0.0.8;};  #指向從節點ip地址
	allow-transfer { none;}; #在從節點配置，#不允許其它主機進行區域傳輸
	
     #forward
        forwark first|only;  
	forwarders { master-ip;}; 
	
     #安全驗證：
        dnssec-enable no;
        dnssec-validation no; 
        #解決方法:改成no；

forward

#必須關閉安全dnssec功能驗證
    dnssec-enable no;
    dnssec-validation no;
#全局轉發
    Options {
         forward first|only;
         forwarders { ip;};
    };
#特定區域轉發，比全局轉發優先級高
    zone "ZONE_NAME" IN {
         type forward;
         forward first|only;
         forwarders { 主dns服務器ip;};
    };

first:先轉發至指定DNS服務器，如果無法解析查詢請求，則本服務器再去根服務器查詢
only: 先轉發至指定DNS服務器，如果無法解析查詢請求，則本服務器將不再去根服務器查詢

bind域名配置文件講解

#示例
/etc/named.rfc1912.zones
    zone "ZONE_NAME" IN {
    	ZONE_NAME:域名
     type {master|slave|hint|forward};
     	解決辦法：master:主節點  slave:從節點  forward:轉發
     file "ZONE_NAME.zone";
     };	   #ZONE_NAME.zone：存儲路徑  /var/named/ZONE_NAME.zone
	   file "slaves/magedu.org.slave"; #從節點配置

bind域名記錄格式

#示例
/var/named/named.localhost  #named.localhost是存儲路徑
$TTL 1D
@       IN       SOA      master   admin.magedu.org. (
                   1;
                   1H;
                   10M;
                   3D;
                   12H
);
                  NS      master #主節點
                  NS      slave  #從節點
shanghai          NS      shanghains  #子域
master            A       10.0.0.7
slave             A       10.0.0.8
shanghains        A       10.0.0.38
www               A       10.0.0.17
*                 A       10.0.0.18
@                 A       10.0.0.28
blog   		  A       10.0.0.27
k8s-master        A       10.0.0.37
websrv            A       10.0.0.47
docker            CNAME   websrv

ubuntu安裝

[root@ubuntu1804 ~]#apt install -y bind9 bind9utils
[root@ubuntu1804 ~]#apt list bind*
bind9/bionic-security,bionic-updates,now 1:9.11.3+dfsg-1ubuntu1.15 amd64 [installed]
bind9utils/bionic-security,bionic-updates,now 1:9.11.3+dfsg-1ubuntu1.15 amd64 [installed]

bind9:服務器
bind9utils:客戶端

端口

ate      Recv-Q Send-Q             Local Address:Port         Peer Address:Port           
LISTEN     0      128              127.0.0.1:953                    *:*         
LISTEN     0      10                10.0.0.7:53                     *:*                  
LISTEN     0      10              172.17.0.1:53                     *:*    
LISTEN     0      10               127.0.0.1:53                     *:*  
LISTEN     0      128                  [::1]:953                 [::]:*                    
LISTEN     0      10                   [::1]:53                  [::]:*                  

端口的使用

tcp 53端口在DNS的主從同步使用
udp 53端口在DNS查詢使用,但也影響主從同步
tcp 953:管理端口,不打開953端口，無法使用rndc命令

抓包查詢

tcpdump -i eth0 udp port 53 -nn