自己动手搭建DNS服务器
前言:
在我们平时上网中,访问的都是域名,那么域名是如何转换为IP地址的呢?进而访问我们的服务器主机的呢?这时候就需要用到DNS服务器了。DNS是由域名解析器和域名服务器组成的,域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。
那么接下就开始搭建DNS服务器吧!
1.首先搭建主DNS服务器,ch1主机配置如下:
[root@ch1 ~]# yum -y install bind ## 安装bind程序 [root@ch1 ~]# ntpdate 172.18.0.1 ## 同步时间服务器 [root@ch1 ~]# vim /etc/named.conf ## 修改DNS服务器配置文件
[root@ch1 ~]# named-checkconf ## 检查配置文件语法错误 [root@ch1 ~]# vim /etc/named.rfc1912.zones ## 在此配置文件中添加区域
[root@ch1 ~]# vim /var/named/test.com.zone ##在/var/named目录下建立区域数据文件
[root@ch1 named]# vim /var/named/172.18.20.zone ## 建立反向解析区域数据文件
[root@ch1 ~]# chown :named /var/named/test.com.zone ## 修改属组为named [root@ch1 ~]# chmod o= /var/named/test.com.zone ## 移除其他的权限 [root@ch1 named]# named-checkzone test.com /var/named/test.com.zone ## 检测区域文件语法错误 [root@ch1 named]# named-checkzone 20.18.172.in-addr.arpa /var/named/172.18.20.zone [root@ch1 named]# service named start ## 启动DNS服务 [root@ch1 named]# dig -t A www.test.com @172.18.20.10 ## 测试DNS服务器172.18.20.10是否能正常解析A记录 [root@ch1 named]# dig -x 172.18.20.11 @172.18.20.10 ## 测试DNS服务器172.18.20.10是否能反向解析172.18.20.11
主DNS服务器搭建完毕
2.搭建从DNS服务器,ch2配置如下
[root@ch2 ~]# yum -y install bind ## 安装bind程序 [root@ch2 ~]# ntpdate 172.18.0.1 ## 同步时间服务器 [root@ch2 ~]# vim /etc/named.rfc1912.zones ## 定义一个从区域
[root@ch2 ~]# named-checkconf ## 检查语法错误 [root@ch2 ~]# service named start ## 启动DNS服务 [root@ch2 slaves]# cat test.com.zone ## 查看区域配置文件是否能够同步
注意:要在主DNS服务器上配置一条指向从DNS服务器的NS记录
3.配置子域
[root@ch3 ~]# yum -y install bind ## 安装bind程序 [root@ch3 ~]# ntpdate 172.18.0.1 ## 同步时间服务器 [root@ch3 ~]# vim /etc/named.conf ## 修改配置文件
[root@ch3 ~]# vim /etc/named.rfc1912.zones ## 建立区域配置
[root@ch3 ~]# vim /var/named/ops.test.com.zone ## 建立区域配置文件
[root@ch3 ~]# named-checkconf ## 检查语法是否错误 [root@ch3 ~]# service named start ## 启动服务 [root@ch3 ~]# dig -t A www.ops.test.com @172.18.20.12 ## 测试子域是否能够正常解析 [root@ch3 ~]# dig -t A www.test.com @172.18.20.12 ## 测试子域是否能够解析父域
注意:子域同样需要主DNS服务器上的授权
总结:
1. DNS是应用层协议,端口号为tcp/53和udp/53
2. DNS查询的过程
(1)客户机将查询www.test.com的信息传递到自己的首选DNS服务器。
(2)DNS客户机的首选DNS服务器检查区域数据库,由于此服务器没有test.com域的授权记 录,因此,它将查询信息传递到根域DNS服务器,请求解析主机名称。
(3)根域DNS服务器把负责解析“com”顶级域的DNS服务器的IP地址返回给DNS客户机的首选 DNS服务器。
(4)首选DNS服务器将请求发送给负责“com”域的DNS服务器。
(5)负责“com”域的服务器根据请求将负责“test.com”域的DNS服务器的IP地址返回给首 选DNS服务器。
(6)首选DNS服务器向负责“test.com”区域的DNS服务器发送请求。
(7)由于此服务器具有www.test.com的记录,因此它将www.test.com 的IP地址返回给首 选DNS 服务器。
(8)客户机的首选DNS服务器将www.test.com的IP 地址发送给客户机。
(9)域名解析成功后,客户机将http请求发送给Web服务器。
(10)Web服务器响应客户机的访问请求,客户机便可以访问目标主机。
3. DNS服务器类型
主DNS服务器:维护所负责解析的域数据库的那台服务器;读写操作均可进行;
从DNS服务器:从主DNS服务器那里或其它的从DNS服务器那里“复制”一份解析库;但 只能进行读操作;
4. DNS区域数据库文件常见类型
SOA:起始授权记录; 一个区域解析库有且只能有一个SOA记录
NS:域名服务记录;一个区域解析库可以有多个NS记录;其中一个为主的;
A: 地址记录,FQDN --> IPv4;
AAAA:地址记录, FQDN --> IPv6;
CNAME:别名记录;
PTR:Pointer,IP --> FQDN
MX:Mail eXchanger,邮件交换器;
5. DNS的配置文件
主配置文件:/etc/named.conf
或包含"include"设定的其它文件;
/etc/named.iscdlv.key
/etc/named.rfc1912.zones
/etc/named.root.key
解析库文件:
/var/named/目录下;
一般名字为:ZONE_NAME.zone
6. DNS测试工具
dig命令:
dig [-t RR_TYPE] name [@SERVER] [query options]
用于测试dns系统,因此其不会查询hosts文件;
查询选项:
+[no]trace:跟踪解析过程;
+[no]recurse:进行递归解析;
反向解析测试: dig -x IP
模拟完全区域传送: dig -t axfr DOMAIN [@server]
7. DNS中的安全相关的配置
访问控制指令:
allow-query { }; 允许查询的主机;白名单;
allow-transfer { }; 允许向哪些主机做区域传送;默认为向所有主机;
allow-recursion { }; 允许哪此主机向当前DNS服务器发起递归查询请求;
allow-update { }; DDNS,允许动态更新区域数据库文件中内容;
