正向解析区域、反向解析区域;主/从;子域;基本安全控制

一、背景:

  DNS服务器所提供的服务是完成将主机名和转换为IP地址的工作。为什么需要将主机名转换为IP地址的工作呢?这是因为,当网络上的一台客户机访问某一服务器上的资源时,用户在浏览器地址栏中输入的是人类便于识记的主机名和域名。而网络上的计算机之间实现连接却是通过每台计算机在网络中拥有的惟一的IP地址来完成的,这样就需要在用户容易记忆的地址和计算机能够识别的地址之间有一个解析,DNS服务器便充当了地址解析的重要角色。

 正向解析就是通过域名解析到IP地址而反向解析就是通过IP能解析到域名。

二、正向解析区域、反向解析区域

 1、配置解析域

  配置解析一个正向区域:

   以magedu.com域为例:

 (1) 定义区域

       在主配置文件中或主配置文件辅助配置文件中实现;

   zone  "ZONE_NAME"  IN  {

     type  {master|slave|hint|forward};

     file  "ZONE_NAME.zone"; 

    };

 注意:区域名字即为域名;

 (2) 建立区域数据文件(主要记录为A或AAAA记录)

    在/var/named目录下建立区域数据文件;

    文件为:/var/named/magedu.com.zone

    $TTL 3600

    $ORIGIN magedu.com.

    @     IN   SOA   ns1.magedu.com. dnsadmin.magedu.com. (

               2017010801

                1H

               10M

               3D

               1D )

    IN      NS      ns1

    IN      MX   10 mx1

    IN      MX   20 mx2

    ns1     IN     A     172.16.100.67

    mx1     IN     A     172.16.100.68

    mx2     IN     A     172.16.100.69

    www     IN     A     172.16.100.67

    web     IN     CNAME   www

    bbs     IN     A    172.16.100.70

    bbs     IN     A    172.16.100.71

   权限及属组修改:

   # chgrp  named  /var/named/magedu.com.zone

   # chmod  o=  /var/named/magedu.com.zone

   检查语法错误:

   # named-checkzone  ZONE_NAME   ZONE_FILE

   # named-checkconf 

 (3) 让服务器重载配置文件和区域数据文件

     # rndc  reload 或

     # systemctl  reload  named.service


  配置解析一个反向区域

 (1) 定义区域

  在主配置文件中或主配置文件辅助配置文件中实现;

     zone  "ZONE_NAME"  IN  {

         type  {master|slave|hint|forward};

         file  "ZONE_NAME.zone"; 

      };

  注意:反向区域的名字

  反写的网段地址.in-addr.arpa 

  100.16.172.in-addr.arpa

 (2) 定义区域解析库文件(主要记录为PTR)

    示例,区域名称为100.16.172.in-addr.arpa;

     $TTL 3600

     $ORIGIN 100.16.172.in-addr.arpa.

    @     IN    SOA   ns1.magedu.com.  nsadmin.magedu.com. (

         2017010801(序列号)

           1H (刷新时间间隔)

           10M (重试时间间隔)

           3D  (否定答案的生存时长)

           12H (过期时长))

      IN    NS    ns1.magedu.com.

     67      IN      PTR     ns1.magedu.com. 

     68      IN      PTR     mx1.magedu.com.

     69      IN      PTR     mx2.magedu.com.

     70      IN      PTR     bbs.magedu.com.

     71      IN      PTR     bbs.magedu.com.

     67      IN      PTR     www.magedu.com.

  权限及属组修改:

   # chgrp  named  /var/named/172.16.100.zone

   # chmod  o=  /var/named/172.16.100.zone

  检查语法错误:

   # named-checkzone  ZONE_NAME   ZONE_FILE

   # named-checkconf 

 (3) 让服务器重载配置文件和区域数据文件

   # rndc  reload 或

   # systemctl  reload  named.service 

三、主,从DNS服务器配置

 

  假设我们以上配置的主机为主DNS服务器,在另一台主机配置从服务器。

  从服务器是区域级别的概念;所以是在zone定义的type为slave;所以可以互为主从,例如一个正向解析的DNS服务器A的从服务器是DNS服务器B。DNS服务器B是反向解析的主服务器,DNS服务器A是反向解析的从服务器;

(1)配置从DNS服务器方