反向區域查找:
原理:
in-addr.arpa讓我們可以在擁有主機位址的時候得知該主機的名字。這裏有件重要的事要注意:在in-addr.arpa 這個領域中ip 數字是以反向順序書寫的。如果你有某臺機器的位址:192.168.100.10,那麼named 會以類似prep.ai.ustc.edu 這個例子的方式來處理:找出arpa. 的服務器,找出in-addr.arpa. 的服務器,然後再找出192 .in-addr.arpa .的服務器,找出168.192.i n-addr.arpa. 的服務器,接着找出10 .168 .192 . in-addr.arpa. 的服務器,最後再找出所需的10 . 100 . 168 . 192 . in-addr.arpa. 的記錄。
實例應用:
配置步驟:
[root@localhost ~]# vim /var/named/chroot/etc/named.rfc1912.zones 編輯區域文件
[root@localhost ~]# cd /var/named/chroot/var/named/
[root@localhost named]# cp -p named.local 192.168.10.db 建立本地庫
[root@localhost named]# vim 192.168.10.db
[root@localhost named]# service named start
[root@localhost named]# rndc reload
[root@localhost named]# vim /etc/resolv.conf 編輯服務器指向
進行反向解析測試:
[root@localhost named]# nslookup 192.168.10.10
[root@localhost named]# nslookup 192.168.10.20
[root@localhost named]# dig -x 192.168.10.10
簡單安全配置:
[root@localhost named]# vim /var/named/chroot/etc/named.conf
設置規則:只允許192.168.100.180主機訪問
[root@localhost ~]# nslookup 192.168.10.10
[root@localhost named]# vim /var/named/chroot/etc/named.conf
[root@localhost named]# rndc reload
[root@localhost ~]# nslookup 192.168.10.10
[root@localhost named]# dig txt chaos version.bind @192.168.100.181 查詢服務器版本信息
[root@localhost named]# vim /var/named/chroot/etc/named.conf 設置對外拒絕版本信息
[root@localhost named]# dig txt chaos version.bind @192.168.100.181
bind壓力測試:
安裝bind包:
[root@localhost ~]# tar -zxvf bind-9.7.4.tar.gz -C /usr/src/ 解壓壓力測試包
[root@localhost ~]# cd /usr/src/
[root@localhost src]# cd bind-9.7.4/
[root@localhost bind-9.7.4]# ./configure –help 查詢幫助信息
[root@localhost bind-9.7.4]# cd contrib/
[root@localhost contrib]# cd queryperf/
[root@localhost queryperf]# ./configure 安裝
[root@localhost queryperf]# make 編譯
[root@localhost queryperf]# vim querytest 編輯測試文件
[root@localhost queryperf]# ./queryperf -d querytest 進行測試
[root@localhost ~]# vim /var/named/chroot/etc/named.conf
[root@localhost ~]# vim /var/named/chroot/var/named/abc.com.db
項目實戰:
要求:有一個dns服務器abc.com地址爲192.168.100.181,下面有www,和ftp兩個服務器。
內網主機192.168.100.182能進行內部地址解析,現要求通過防火牆實現外網主機對本地內網
服務器的地址解析。
配置步驟:
linux dns服務器主機配置:
[root@localhost ~]# vim /var/named/chroot/etc/named.conf
[root@localhost ~]# rndc reload
[root@localhost ~]# cd /var/named/chroot/var/named/
[root@localhost named]# cp -p abc.com.db abc.com.db1
[root@localhost named]# vim abc.com.db
linux防火牆主機配置:
[root@localhost ~]# service network restart
[root@localhost ~]# ifconfig
[root@localhost ~]# vim /etc/sysctl.conf
[root@localhost ~]# sysctl –p
[root@localhost ~]# iptables -t nat -A PREROUTING -d 192.168.101.1 -p udp --dport 53 -j DNAT --to 192.168.100.181
編寫nat錶鏈規則允許主機192.168.101.1通過53端口進行nat地址轉換爲192.168.100.181
[root@localhost ~]# iptables -t nat -L 查看鏈規則
配置主機用內網進行驗證:
驗證結果:
配置主機用外網進行驗證:
驗證結果: