8.配置DNS反向解析解析
vim /etc/named.rfc1912.zones
vim /var/named/172.18.251.219.zone
named-checkzone "172.18.251.219.zone" /var/named/172.18.251.219.zone
检查没语法问题之后,重新加载zone,rndc reload
然后测试
9.配置bind-chroot环境
DNS在历史上饱受攻击,故而为了系统安全,不影响其他进程和服务,需要将named服务单独放在一个比较深的目录里,以目录挂载目录实现。
yum -y install bind-chroot
ll
10.补充
dig [-t type] name [@SERVER] [query options] (dig只用于测试dns系统,不会查询hosts文件进行解析 )
查询选项: +[no]trace:跟踪解析过程 : dig +trace heiye.com
+[no]recurse:进行递归解析
测试反向解析: dig -x IP = dig –t ptr reverseip.in-addr.arpa
模拟区域传送: dig -t axfr ZONE_NAME @SERVER
dig -t axfr heiye.com @10.10.10.11
dig –t axfr 100.1.10.in-addr.arpa @172.16.1.1
dig -t NS . @114.114.114.114
dig -t NS . @a.root-servers.net
dig -t ns heiye.com @172.18.251.219 (查指定域的记录)
dig -t ns . 查根域的A记录
邮件服务器:
其中10为邮件服务器优先级,数字越小优先级越高!
host命令:
host [-t type] name [SERVER]
host –t NS heiye.com 172.16.0.1
host –t soa heiye.com
host –t mx heiye.com
host –t axfr heiye.com
host 1.2.3.4
nslookup命令:
交互式模式:
nslookup>
server IP: 指明使用哪个DNS server进行查询
set q=RR_TYPE: 指明查询的资源记录类型
NAME: 要查询的名称
nslookup在window中和linux中用法相同!
rndc reload 重新加载view的zone
允许动态更新:指定的zone语句块中:Allow-update {any;};
chmod 770 /var/named
setsebool -P named_write_master_zones on (selinux为启用状态时)
nsupdate
>server 172.18.251.219
>zone heiye.com
>update add |delete ftp.heiye.com 86400 IN A 8.8.8.8
>send
测试:dig ftp.heiye.com @127.0.0.1
ll /var/named/heiye.com.zone.jnl
cat /var/named/heiye.com.zone
DNS主从数据库更新的标志是版本号的更改!
DNS默认端口是53的TCP和UPD,UDP是供用户查询的,主从复制用TCP和UDP的53端口都用。
BIND的ACL:bind有四个内置的acl:
none: 没有一个主机
any: 任意主机
localhost: 本机
localnet: 本机的IP同掩码运算后得到的网络地址段
注意:只能先定义,后使用;因此一般定义在配置文件中, 处于options的前面,当然也可自定义如下
acl lan{
192.168.25.0/24
} ;
访问控制:
访问控制的指令: allow-query {}: 允许查询的主机;白名单
allow-transfer {}:允许区域传送的主机;(白名单,一般用于主从)
allow-recursion {}: 允许递归的主机,建议全局使用
allow-update {}: 允许更新区域数据库中的内容
