系統:Centos6.7 64位
內核:2.6.32-573.el6.x86_64
軟件:
bind-9.8.2-0.47.rc1.el6_8.2.x86_64
bind-utils-9.8.2-0.47.rc1.el6_8.2.x86_64
bind-libs-9.8.2-0.47.rc1.el6_8.2.x86_64
參考:bind9手冊
軟件簡單介紹:
bind(Berkeley Internet Name Domain)是一種dns協議的實現。bind軟件包含3個部分:dns server、解析庫和檢測dns服務是否正常工作的工具(namd-checkconf,rndc等)。它是dns服務的具體實現,也是bind最核心的軟件
bind-utils包含一些更dns服務有關的輔助工具(dig、nslookup、host等),有助於我們學習dns
bind-libs這是bind server和utis依賴的庫文件
軟件安裝:yum install bind bind-utils bind-libs -y
利用bind搭建一個最簡單的dns服務器:
bind這個軟件最核心的配置文件是/etc/下的namd.conf,所以下面我們簡單介紹一下它。
首先man 5 named.conf 可以看到對它的描述:
named.conf is the configuration file for named. Statements are enclosed
in braces and terminated with a semi-colon. Clauses in the statements
are also semi-colon terminated. The usual comment styles are supported:
C style: /* */
C++ style: // to end of line
Unix style: # to end of line
大意是說這個配置文件的語法可以分爲以下3點:
(1)每個條件語句寫在{}裏面,並且{}後面必須跟;也就是說 {xxx};這種形式
(2)條件語句自身也需要以;結尾,也就是{xxx;};這種形式
(3)註釋可以有3種風格,c、c++、unix風格,分別對應/* */ // #特殊符號註釋
一個bind9的配置包括語句和註釋,語句和註釋是唯一不需要{}括起來的內容,{}的語句我們稱爲子語句,它需要{}括起來(官方說法)
或者我們可以可以把語句看成一個個功能選項,而把子語句看成這個功能選項的參數和值(我的理解..下面全按我的理解來,我把 語句-->功能,子語句-->參數:值),大部分格式類似如下:
功能選項 [..] {
參數:值;
....
};
bind可以使用的功能選項有:
acl:定義一個ip地址列表,用來做訪問控制或者其他
controls:宣告rnde utility使用的控制通道
include:包含某些個文件
key:設置密鑰信息,它應用在通過TSIG進行授權和認證的配置中
logging:設置日誌服務器和日誌信息的發送地
options:全局配置選項和爲其他語句配置默認值
server:在一個單服務器基礎上設置特定的配置選項
trusted-keys:定義新人的dnssed密鑰
view:定義一個視圖
zone:定義一個域
bind的每個功能選項都有很多參數可以使用,比如options有 recursion、directory等參數,logging有channel等參數,因爲太多加上本人很懶,所以下面只解釋比較常用到和自己認爲有必要解釋的參數,(當然,鬼才知道有沒有人看..自己忽悠自己玩^^)
首先我們來定義一個最簡單的dns服務,什麼樣的服務最簡單呢,當然是緩存服務器,一個最簡單的緩存服務器需要以下三點:
(1)服務要監聽在外網地址
(2)根的位置
(3)允許遞歸
所以一個簡單的緩存dns服務器的配置如下:
options{ listen-on {192.168.1.201;}; #監聽的地址,不能使用0.0.0.0,bind9不識別,我的實測..不加這條默認監聽在所有網卡地址 directory "/var/named"; #區域數據庫文件目錄,所有的zone數據庫文件都放在這裏 recursion yes; #是否允許遞歸,默認yes }; zone "." IN { #根域的配置 ,格式zone string optional_class {...;}; type hint; #域的類型,可選的有hint|master|slave|forward等,hint表示根域類型 file "named.ca"; #根的數據庫文件,具體的路徑就是結合上面的目錄/var/named/named.ca };
因爲這些參數都有默認值,listen默認監聽所有網卡,遞歸默認開的,bind的默認配置就是一個緩存服務器的配置,所以其實一個最簡單的dns配置就是沒有配置,可以把named.conf這個文件清空,然後/etc/init.d/named start啓動服務,你會發現可以啓動成功,並且沒有錯誤信息,而且可以通過它轉發dns請求。
增加一個正向解析域:
vi /etc/named.conf
options { directory "/var/named"; listen-on {192.168.1.201;}; }; zone "." IN { type hint; file "named.ca"; }; zone "linzb.com" IN { type master; file "linzb.com.zone"; };
編輯正向解析域的數據庫文件:
$TTL 600 @ IN SOA ns1.linzb.com. admin.linzb.com. ( 2 1H 2W 3D 600 ) IN NS ns1 ns1 IN A 192.168.1.207 www IN A 192.168.1.4 test IN CNAME www
注意:
(1)“@”在bind的配置文件中具有特殊意義,在named.conf裏面定義,這裏是linzb.com.
(2)在區域文件中的記錄可以只寫主機名,bind會根據$ORIGIN的內容自動補齊,比如這裏ns1=ns1.linzb.com. 注意,ns1不能跟.,否則就不是主機,而是一個fqdn。
(3)$ORIGIN是bind的內置變量,可以多次定義,比如說,上述正向區域文件可以改寫成這樣:
$ORIGIN . $TTL 600 ; 10 minutes linzb.com IN SOA ns1.linzb.com. admin.linzb.com. ( 2 ; serial 3600 ; refresh (1 hour) 1209600 ; retry (2 weeks) 259200 ; expire (3 days) 600 ; minimum (10 minutes) ) NS ns1.linzb.com. $ORIGIN linzb.com. ns1 A 192.168.1.207 test CNAME www www A 192.168.1.4
named-checkconf #檢查named.conf是否語法錯誤
named-checkzone linzb.com /var/named/linzb.com.zone#檢查linzb.com.zone是否語法錯誤,它的使用格式是:
named-checkzone zonename filename
測試命令:dig
語法:dig [@server] [-b address] [-c class] [-f filename] [-k filename] [-m]
[-p port#] [-q name] [-t type] [-x addr] [-y [hmac:]name:key] [-4]
[-6] [name] [type] [class] [queryopt...]
-t:指定查詢類型,類型有A,SOA等,比較特殊的兩個類型:
axfr:完全區域傳送
ixfr=n:增量區域傳送,n表示序列號,表示傳送自n序列號以後的更新
-x:反向解析
@:指定解析的dns服務器
例子:
dig -t A www.linzb.com @192.168.1.201
增加一個反向解析域:
vi /etc/named.conf
options { directory "/var/named"; listen-on {192.168.1.201;}; }; zone "." IN { type hint; file "named.ca"; }; zone "linzb.com" IN { type master; file "linzb.com.zone"; }; zone "1.168.192.in-addr.arpa" IN { type master; file "192.168.1.zone"; };
編輯反向區域文件:
vi /var/named/192.168.1.zone
$TTL 600 @ IN SOA ns1.linzb.com. admin.linzb.com ( 2 1H 2W 3D 600 ) IN NS ns1.linzb.com. 201 IN PTR ns1.linzb.com. 4 IN PTR www.linzb.com.
反向區域文件的ip順序是倒過來寫的加上in-addr.arpa. 結尾,剩下的就是把正向區域文件的name和value的值反過來寫。
named-checkconf
named-checkzone 1.168.192.in-addr.arpa /var/named/192.168.1.zone
/etc/init.d/named restart
測試:
dns的主從配置:
主:192.168.1.201
從:192.168.1.202
主服務器的named.conf配置:
options { directory "/var/named"; listen-on {192.168.1.201;}; }; zone "." IN { type hint; file "named.ca"; }; zone "linzb.com" IN { type master; file "linzb.com.zone"; allow-transfer {192.168.1.202;}; }; zone "1.168.192.in-addr.arpa" IN { type master; file "192.168.1.zone"; allow-transfer {192.168.1.202;}; };
增加了allow-transfer參數,這個參數代表允許哪些主機傳輸區域文件,可以單獨加個某個zone,也可以加在options裏面代表默認。不加的話默認是允許所有的主機,這很不安全
正向區域數據文件:
$TTL 600 @ IN SOA ns1.linzb.com. admin.linzb.com. ( 2 1H 2W 3D 600 ) IN NS ns1 IN NS ns2 ns1 IN A 192.168.1.207 ns2 IN A 192.168.1.202 www IN A 192.168.1.4 test IN CNAME www
注意:這裏必須增加從服務器的dns服務器(ns2)位置,否則主dns服務更新時不能通知給從服務器,此時只有等待refresh時間到才能更新
反向區域文件:
$TTL 600 @ IN SOA ns1.linzb.com. admin.linzb.com ( 4 1H 2W 3D 600 ) IN NS ns1.linzb.com. IN NS ns2.linzb.com. 201 IN PTR ns1.linzb.com. 201 IN PTR ns2.linzb.com. 4 IN PTR www.linzb.com.
從服務器的named.conf配置:
options { listen-on { 192.168.1.202;}; directory "/var/named"; }; zone "linzb.com" IN { type slave; file "slaves/linzb.com.zone"; masters { 192.168.1.201; }; }; zone "1.168.192.in-addr.arpa" IN { type slave; file "slaves/192.168.1.zone"; masters { 192.168.1.201; }; };
從的配置文件中每個zone都必須指明自己的master是誰,且type爲slave
注意:之所以把file放在slaves下並不是個人的惡趣味,而是因爲 /var/named下的屬主是root,而從服務器的區域數據文件是從主服務器cp過來的,是需要寫權限的,/var/named/slaves的屬主是named,且具有寫權限。當然,也可以自定義
啓動即可看到slaves下有主的區域文件,如果沒有,可以根據messages日誌進行排查。
測試注意點:
測試更新主dns數據的時候,記得修改serial 值,因爲主從更新是根據這個值的不同來的,而且記得reload服務。
rndc工具的使用:
rndc是一款dns的遠程控制軟件,它的配置非常簡單:
rndc-confgen > rndc.conf #這個命令會生成rndc的配置文件,並保存在rndc.conf裏面,內容如下:
# Start of rndc.conf key "rndc-key" { algorithm hmac-md5; secret "m7nOOKs/GoLwAbDLPEXRGw=="; }; options { default-key "rndc-key"; default-server 127.0.0.1; default-port 953; }; # End of rndc.conf # Use with the following in named.conf, adjusting the allow list as needed: # key "rndc-key" { # algorithm hmac-md5; # secret "m7nOOKs/GoLwAbDLPEXRGw=="; # }; # # controls { # inet 127.0.0.1 port 953 # allow { 127.0.0.1; } keys { "rndc-key"; }; # }; # End of named.conf
把key "rndc-key"下面的內容複製到named.conf,並reload named服務,named.conf的內容如下:
options { directory "/var/named"; listen-on {192.168.1.201;}; allow-transfer {192.168.1.202;}; }; zone "." IN { type hint; file "named.ca"; }; zone "linzb.com" IN { type master; file "linzb.com.zone"; }; zone "1.168.192.in-addr.arpa" IN { type master; file "192.168.1.zone"; }; key "rndc-key" { algorithm hmac-md5; #加密算法 secret "Y5IFaDF+1lu6jDdbVCUHoQ==";#密鑰,可自定義,但是必須和rndc.conf保持一致 }; controls { inet 127.0.0.1 port 953 #監聽端口 allow { 127.0.0.1; } keys { "rndc-key"; }; #允許哪些主機使用 };
使用:
Usage: rndc [-b address] [-c config] [-s server] [-p port]
[-k key-file ] [-y key] [-V] command
h:查看幫助
-c:指定配置文件,默認/etc/rndc.conf
command:有reload,stop等
例子:
[root@indexer named]# rndc reload
server reload successful