BIND服务rndc的配置,子域授权,区域转发及acl

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了BIND服务rndc的配置,子域授权,区域转发及acl相关的知识,希望对你有一定的参考价值。

一,rndc(BIND的远程管理工具,监听在tcp 的953 端口上)的配置

       rndc的认证密钥:

                                 rndc 持有一半的密钥,保存在/etc/rndc.conf  文件中

                                 bind 持有一半密钥,保存在/etc/named.conf 文件中

PS:默认rpm 包安装rndc 是启用的,如果rndc 不能正常工作,可以尝试使用 rndc-confgen 命令生成 rndc.conf 文件,并且将rndc.conf 文件中的后一部分复制到 /etc/named.conf 文件中按照提示启用即可。

# rndc-confgen > /etc/rndc.conf

查看rndc状态

# rndc status

二,BIND的子域授权

1,在主DNS服务器上编辑正向区域数据库文件,在文件中添加授权的子区域名称,子区域的名称服务器和子区域名称服务器的IP地址。

# vim /var/named/luolinux.com.zone  添加

cheng        IN        NS        dns.cheng.luolinux.com.

dns.cheng.luolinux.com.        IN        A        192.168.1.121

2,将luolinux.com.zone 文件中的序列号加一再保存

3,检测区域数据库文件是否有语法错误

# named-checkzone "luolinux.com" /var/named/luolinux.com.zone

4,在主机192.168.1.121 上安装bind 并且

# yum -y install bind 

# service named start

5,编辑/etc/named.rfc1912.zones 添加内容如下 定义区域

# vim /etc/named.rfc1912.zones

          zone "cheng.luolinux.com" IN {

                     type master;

                     file "cheng.luolinux.com.zone";

          };

6,提供区域数据库文件 /var/named/cheng.luolinux.com.zone

# vim tech.luolinux.com.zone

             $TTL 600

             @        IN        SOA        dns.cheng.luolinux.com.    dnsadmin.luo.com. (

                                                    2016030412

                                                    2H

                                                    6M

                                    2D

                                    1D)

                        IN        NS           dns

                        IN        MX   10   mail

               dns IN     A             192.168.1.121

               www IN     A             192.168.1.190

               mail IN     A             192.168.1.200

7,修改tech.luolinux.com.zone 文件的属主,属组和权限

# chown root:named tech.luolinux.com.zone

# chmod 640 tech.luolinux.com.zone

# service named restart

8,在192.168.1.121 主机上测试是否能解析

# dig -t A www.cheng.luolinux.com @192.168.1.121

9,在父域上测试

# dig -t NS cheng.luolinux.com @192.168.1.118

三,区域转发

DNS服务器的区域转发:解析某主机不负责的区域内的名称时不转发给根,而是转发给指定的主机

格式:

            zone "zone_name" IN {

                                type forward;

                                forwarders { dns_server; };

                                forward only|first;   #当指定主机不响应时,是否转发给根;first会转发给根,only不会;

                };

配置转发的方式(转发必须对方服务器支持递归):

             转发非本机负责解析的所有区域

                      options{

                             forward only|frist;

                             forwarders { ip; };

                        };

              转发某特定区域

                       zone"特定区域" IN{

                              type forward;

                              forwarders { ip; };

                              forward only|frist;

                        };

1,在192.168.1.118主机上编辑/etc/named.rfc1912.zones 文件 定义区域(该区域不是本主机负责的)

# vim /etc/named.rfc1912.zones

          zone "luolinux.com" IN {

                    type forward;

                    forwarders  { 192.168.1.118; };

           }

2,需要将/etc/named.conf 文件的如下内容注释

      # include "/etc/named.root.key";

3,重新启动

# service named restart

4,测试

# dig -t A  www.luolinux.com  @192.168.1.121

PS:仅是转发某个区域就将配置项写到/etc/named.rfc1912.zones 文件中,转发所有非本机负责的区域时将配置项写到/etc/named.conf  文件中的options 选项里。

安全控制选项(可以定义在options中或zone中):

        allow-transfer {};    定义从DNS服务器 ,允许区域传送

        allow-query {};       定义允许查询的客户端

        allow-recursion {}; 定义递归白名单

四,ACL(访问控制列表)

访问控制列表只有在定义后才能使用,通常acl定义在named.conf 文件的最上方

      BIND有四个内置的acl:

                          any     任意主机

                          none    都不 

                          local   本机

                          localnet  本机所在的网络

example:

      acl allowclients {

               192.168.1.1/24;

        };

      options {

               allow-recursion { allowclients; };

        };






本文出自 “珞辰的博客” 博客,请务必保留此出处http://luochen2015.blog.51cto.com/9772274/1748525

以上是关于BIND服务rndc的配置,子域授权,区域转发及acl的主要内容,如果未能解决你的问题,请参考以下文章

DNS主从复制子域授权和转发及智能解析

+++++++子域授权与编译安装

DNS转发器及子域授权

Linux-dns基础知识和BIND的简单配置-3(主从DNS服务器及转发)

BIND主从复制及子域授权

BIND主从复制及子域授权