DNS精華,你真的理解DNS了嗎?

原創 小蜗牛耶 2020-06-23 04:11

爲什麼做DNS頻頻報錯?
爲什麼看日誌顯示網絡不可達?
到底是道德的淪喪,還是人性在作怪?

No no no 都不是,是你太馬虎啦!

在總結之前,在說一次做DNS一定要仔細!一定要仔細!一定要仔細
一:什麼是DNS???你真的理解DNS嗎?

1.先放一個百度的理解:
域名系統(英文:Domain Name System,縮寫:DNS)是互聯網的一項服務。它作爲將域名和IP地址相互映射的一個分佈式數據庫,能夠使人更方便地訪問互聯網。

2.在放一個我的理解:
就是把不好記的IP地址自動轉化成易於記憶的字母或者拼音。這樣在上網的時候就比較方便!
詳細說下域名:https://www.csdn.net/
https://:這個是個協議,也被稱爲HTTP超文本傳輸協議,也就是網頁在上網上傳播的協議。後面的s是(secure)安全的意思,是把這個協議加密了就是更安全了。
www:這個是服務器名,沒啥多說的。
csdn.net:這個纔是域名,用來定義網站的獨一無二的名字
www.csdn.net:這個是網站名,由服務器名+域名組成
/:這個是根目錄,也就是通過網站名找到服務器然後在服務器存放網頁的個目錄
https://www.csdn.net/:這是URL,統一資源定位符。用於定位網上資源。

3.既然能把IP地址轉化爲易於記憶的域名那麼肯定可以正着轉也可以反着轉。
(1)DNS正向解析:
由域名轉化爲IP,開始實驗啦!
1.安裝DNS服務需要的包

[root@a ~]# yum install -y bind-chroot bind-utils

2.編輯dns主配置文件修改兩項參數(允許任何IP訪問dns的53端口,允許任何IP的請求)

[root@a ~]# vim /etc/named.conf
listen-on port 53 { any; };
allow-query     { any; };

3.爲區域配置文件添加參數
[root@a ~]# vim /etc/named.rfc1912.zones(這個zone後面的名字和file的後面的可以隨便起但是後文要相對應)

zone "caq.com" IN {
        type master;
        file "caq.test";
        allow-update { none; };

4.創建IP地址和域名解析關係的數據庫文件

[root@a ~]# cd /var/named/ 
[root@a named]# vim caq.test
$TTL 1D
caq.com.       IN SOA  caq.com. root.caq.com. (
                                        0       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
caq.com.           IN NS  ns.caq.com.
ns.caq.com.      IN A    192.168.10.10
www.caq.com.  IN A    192.168.30.10
bbs.caq.com.    IN A    192.168.20.10

5.重啓服務進行正向解析測試

[root@a named]# systemctl restart named
[root@a named]# nslookup www.caq.com
Server:         127.0.0.1
Address:        127.0.0.1#53

Name:   www.caq.com
Address: 192.168.30.10

[root@a named]# nslookup bbs.caq.com
Server:         127.0.0.1
Address:        127.0.0.1#53

Name:   bbs.caq.com
Address: 192.168.20.10

(2)DNS反向解析:
由IP轉化爲域名,開始實驗啦!
1.編輯區域配置文件
[root@a ~]# vim /etc/named.rfc1912.zones(這個zone後面的名字是固定的,意思是解析192.168.30這個網段的IP,file後面的名字也是隨便定的)

zone "30.168.192.in-addr.arpa" IN {
        type master;
        file "caq.test2";
        allow-update { none; };
};

2.創建IP地址和域名解析關係的數據庫文件

[root@a named]# vim caq.test2(這個caq.com.是DNS區域)
$TTL 1D
@       IN SOA  caq.com. root.caq.com. (
                             0       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum

          NS        ns.caq.com.
100    IN PTR ns.caq.com.
10      IN PTR www.caq.com.
20      IN PTR bbs.caq.com.
30      IN PTR mail.caq.com.

3.重啓服務開始測試

[root@a named]# systemctl restart named
[root@a named]# nslookup 192.168.30.10
10.30.168.192.in-addr.arpa      name = www.caq.com.

[root@a named]# nslookup 192.168.30.20
20.30.168.192.in-addr.arpa      name = bbs.caq.com.

[root@a named]# nslookup 192.168.30.30
30.30.168.192.in-addr.arpa      name = mail.caq.com.

二:DNS主從服務器
實驗需要兩臺虛擬機一臺爲主服務器一臺爲從服務器,需要在同一網段,能互相ping通

1.修改主服務器區域配置文件

[root@a ~]# vim /etc/named.rfc1912.zones
zone "caq.com" IN {
       type master;
       file "caq.test";
       allow-update { 192.168.10.11; };
zone "30.168.192.in-addr.arpa" IN {
        type master;
        file "caq.test2";
        allow-update { 192.168.10.11; };
};

2.修改從服務器區域配置文件

[root@b ~]# yum install -y bind-chroot bind-utils
[root@b ~]# vim /etc/named.rfc1912.zones
zone "caq.com" IN {
       type slave;
       file "slaves/caq.test";
       masters { 192.168.10.10; };
zone "30.168.192.in-addr.arpa" IN {
        type slave;
        file "slaves/caq.test2";
        masters { 192.168.10.10; };
};

3.重啓服務,在/var/named/slaves裏有我們正反解析的文件。

[root@b ~]# systemctl restart named
[root@b ~]# cd /var/named/slaves
[root@b slaves]# ls
 caq.test caq.test2

三:TSIG
關閉防火牆!關閉selinux!
做這個實驗之前首先要把之前在從服務器生成的文件刪掉

[root@b ~]# rm -rf /var/named/slaves/*

1.在主服務器中生成密鑰。dnssec-keygen命令用於生成安全的DNS服務密鑰,其格式爲“dnssec-keygen [參數]”,

[root@a ~]# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST master
Kmaster.+157+27327

2.查看私鑰並記錄key值

[root@a ~]# cat Kmaster.+157+27327.private
Private-key-format: v1.3
Algorithm: 157 (HMAC_MD5)
Key: LHViEY9SzJ8m+Sq16DBAyg==
Bits: AAA=
Created: 20200317211737
Publish: 20200317211737
Activate: 20200317211737

3.在主服務器中創建密鑰驗證文件

[root@a ~]# cd /var/named/chroot/etc/
[root@a etc]# vim transfer.key
key  "master" {
algorithm hmac-md5;
secret "1XEEL3tG5DNLOw+1WHfE3Q=="; 
}; 
[root@a etc]# chown root:named transfer.key 
[root@a etc]# chmod 640 transfer.key
[root@linuxprobe etc]# ln transfer.key /etc/transfer.key

4.開啓並加載Bind服務的密鑰驗證功能。

[root@a ~]# vim /etc/named.conf 
include "/etc/transfer.key"; 
allow-transfer { key master; }; 
[root@b ~]# systemctl restart named

這個時候主服務器的密鑰驗證功能已經開啓,重啓服務無法自動獲得配置文件了

1.現在要配置從服務器 ,步驟和主服務器配置差不多

[root@b ~]# cd /var/named/chroot/etc
[root@b etc]# vim transfer.key 
key  "master" { 
algorithm hmac-md5;
secret "1XEEL3tG5DNLOw+1WHfE3Q=="; 
}; 
[root@b etc]# chown root:named transfer.key
[root@b etc]# chmod 640 transfer.key
[root@b etc]# ln transfer.key /etc/transfer.key

2.開啓並加載從服務器的密鑰驗證功能

[root@b etc]# vim /etc/named.conf 
include "/etc/transfer.key"; 
...
server 192.168.10.10
{
keys { master; }; 
};

3.再次重啓服務就可以看到配置文件又回來了

[root@b ~]# systemctl restart named
[root@b ~]# ls /var/named/slaves/
 caq.test caq.test2

完成啦!!!

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

用DolphinScheduler輕鬆實現Flume數據採集任務自動化!

轉載自天地風雷水火山澤 目的 因爲我們的數倉數據源是Kafka,離線數倉需要用Flume採集Kafka中的數據到HDFS中。 在實際項目中,我們不可能一直在Xshell中啓動Flume任務,一是因爲項目的Flume任務很多,二是一旦Xsh

原創 2024-04-24 21:18:09

告別手動調度,海豚調度器 3.1.x 集羣部署讓你輕鬆管理多機!

轉載自第一片心意 1 前言 由於海豚調度器官網的集羣部署文檔寫的較亂,安裝過程中需要跳轉到很多地方進行操作,所以自己總結了一篇可以直接跟着從頭到尾進行操作的文檔,以方便後續的部署、升級、新增節點、減少節點的相關操作。 2. 提前準備 2.

原創 2024-04-23 21:18:20

iTOP-3588S開發板瑞芯微RK3588S處理器主頻2.4GHz算力6T

核心板參數: 尺寸: 55mm*45mm 連接器高度: 1.5mm CPU: RK3588S 主頻: 四核 Cortex-A55, Quad-core ARM Cortex-A76,Neon and FPU, 2.4GHZ 內存:

原創 2024-04-22 22:54:04

Create 2024 分論壇:百度大模型安全解決方案護航開發者一起創造未來

4月16日,百度Create AI開發者大會在深圳國際會展中心(寶安)舉行,大會以“創造未來”爲主題,匯聚了當前科技和產業革命中的開發者先鋒力量。自去年3月16日發佈知識增強大語言模型文心一言以來,百度不斷推動文心大模型的升級迭代,每一次版

百度安全 2024-04-19 21:33:25

Qt/C++音視頻開發70-無感切換通道/無縫切換播放視頻/多通道流暢切換/不同視頻打開無縫切換

一、前言 之前就寫過這個方案,當時做的是ffmpeg內核版本,由於ffmpeg內核解析都是代碼實現,所以無縫切換非常完美,看不到絲毫的中間切換過程,看起來就像是在一個通道畫面中。其實這種切換隻能說是取巧辦法,最佳的辦法應該是公用一個open

原創 2024-04-18 10:40:53

RK3568驅動指南|第二篇 字符設備基礎-第16章 一個驅動兼容不同設備實驗

瑞芯微RK3568芯片是一款定位中高端的通用型SOC,採用22nm製程工藝,搭載一顆四核Cortex-A55處理器和Mali G52 2EE 圖形處理器。RK3568 支持4K 解碼和 1080P 編碼,支持SATA/PCIE/USB3.0

原創 2024-04-17 22:54:26

Linux 安裝達夢數據庫

1.參考官網地址: https://eco.dameng.com/document/dm/zh-cn/start/install-dm-linux-prepare.html 2.圖形化可以不安裝。 3.安裝過程中修改端口等配置 初始登錄:

原創 2024-04-17 22:50:09

KCD上海站免費報名丨賞玉蘭花開,暢聊雲原生技術

Kubernetes Community Days(KCD) 上海2024 現已開放報名通道! 這是一場大型的面向開發者的技術交流會 在現場,你可以 與各路技術社區達人交流 battle 共同探討雲原生技術的最新進展 現場感受AI/操作

Zabbix中國 2024-04-17 22:13:22

「Qt Widget中文示例指南」如何實現行編輯功能

Qt 是目前最先進、最完整的跨平臺C++開發工具。它不僅完全實現了一次編寫,所有平臺無差別運行,更提供了幾乎所有開發過程中需要用到的工具。如今,Qt已被運用於超過70個行業、數千家企業,支持數百萬設備及應用。 Line Edits(行編輯)

原創 2024-04-17 11:37:05

MQTT 5.0 報文解析 05:DISCONNECT

歡迎閱讀 MQTT 5.0 報文系列 的第五篇文章。在上一篇中,我們已經介紹了 MQTT 5.0 的 PINGREQ 和 PINGRESP 報文。現在,我們將介紹下一個控制報文:DISCONNECT。 在 MQTT 中,客戶端和服務端可以在

原創 2024-04-16 21:56:02

Centos清空歷史命令

在Linux(centos)中,在終端中運行的所有命令都會存儲在主目錄中名爲 .bash_history 的文本文件中。這個時候可以通過使用 history 命令來顯示系統自您啓動會話以來輸入的所有命令的列表。出於某種原因,有時候想要從Li

原創 2024-04-16 21:52:56

翱途O2OA開發平臺新手上路-服務器下載及私有云部署

本篇主要簡要描述從官網下載服務器,進行部署,啓動的過程,並且描述在部署過程中常見的問題與報錯以及雲服務器安全策略配置和O2OA服務器端口修改的方式。 O2OA部署的服務器要求不高,一般使用4C8G以上的服務器均可正常運行。   一、檢

原創 2024-04-16 10:25:20

Linux 運維高級指令05

Linux編輯器之神~vim編輯器 簡介 vi 編輯器是所有 Unix 及 Linux 系統下標準的編輯器,類似於 windows 系統下的 notepad(記事本)編輯器,由於在 Unix 及 Linux 系統的任何版本,vi編輯器

原創 2024-04-15 22:53:08

擁抱開源,擁抱未來 | vivo 積極支持並參與 The 2nd OSPO Summit

2024年3月28日-29日,第二屆 OSPO Summit 在深圳市南山區科興科學園會議中心成功舉辦。vivo 作爲本次大會的贊助商和籌備組成員之一,積極支持並參與了本次會議。 OSPO(Open Source Pro

vivo互聯網技術 2024-04-12 23:26:19

Linux 運維高級指令04

Linux 運維高級指令04 du -sh指令(重點) 作用: 查看目錄的大小。 語法格式:du  -sh  目錄路徑 選項含義: -s: 只顯示彙總的大小 表示以高可讀性的形式進行顯示。 案例1: find 指令(重點)

原創 2024-04-12 22:51:31