BIND服务rndc的配置,子域授权,区域转发及acl
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了BIND服务rndc的配置,子域授权,区域转发及acl相关的知识,希望对你有一定的参考价值。
一,rndc(BIND的远程管理工具,监听在tcp 的953 端口上)的配置
rndc的认证密钥:
rndc 持有一半的密钥,保存在/etc/rndc.conf 文件中
bind 持有一半密钥,保存在/etc/named.conf 文件中
PS:默认rpm 包安装rndc 是启用的,如果rndc 不能正常工作,可以尝试使用 rndc-confgen 命令生成 rndc.conf 文件,并且将rndc.conf 文件中的后一部分复制到 /etc/named.conf 文件中按照提示启用即可。
# rndc-confgen > /etc/rndc.conf
查看rndc状态
# rndc status
二,BIND的子域授权
1,在主DNS服务器上编辑正向区域数据库文件,在文件中添加授权的子区域名称,子区域的名称服务器和子区域名称服务器的IP地址。
# vim /var/named/luolinux.com.zone 添加
cheng IN NS dns.cheng.luolinux.com.
dns.cheng.luolinux.com. IN A 192.168.1.121
2,将luolinux.com.zone 文件中的序列号加一再保存
3,检测区域数据库文件是否有语法错误
# named-checkzone "luolinux.com" /var/named/luolinux.com.zone
4,在主机192.168.1.121 上安装bind 并且
# yum -y install bind
# service named start
5,编辑/etc/named.rfc1912.zones 添加内容如下 定义区域
# vim /etc/named.rfc1912.zones
zone "cheng.luolinux.com" IN {
type master;
file "cheng.luolinux.com.zone";
};
6,提供区域数据库文件 /var/named/cheng.luolinux.com.zone
# vim tech.luolinux.com.zone
$TTL 600
@ IN SOA dns.cheng.luolinux.com. dnsadmin.luo.com. (
2016030412
2H
6M
2D
1D)
IN NS dns
IN MX 10 mail
dns IN A 192.168.1.121
www IN A 192.168.1.190
mail IN A 192.168.1.200
7,修改tech.luolinux.com.zone 文件的属主,属组和权限
# chown root:named tech.luolinux.com.zone
# chmod 640 tech.luolinux.com.zone
# service named restart
8,在192.168.1.121 主机上测试是否能解析
# dig -t A www.cheng.luolinux.com @192.168.1.121
9,在父域上测试
# dig -t NS cheng.luolinux.com @192.168.1.118
三,区域转发
DNS服务器的区域转发:解析某主机不负责的区域内的名称时不转发给根,而是转发给指定的主机
格式:
zone "zone_name" IN {
type forward;
forwarders { dns_server; };
forward only|first; #当指定主机不响应时,是否转发给根;first会转发给根,only不会;
};
配置转发的方式(转发必须对方服务器支持递归):
转发非本机负责解析的所有区域
options{
forward only|frist;
forwarders { ip; };
};
转发某特定区域
zone"特定区域" IN{
type forward;
forwarders { ip; };
forward only|frist;
};
1,在192.168.1.118主机上编辑/etc/named.rfc1912.zones 文件 定义区域(该区域不是本主机负责的)
# vim /etc/named.rfc1912.zones
zone "luolinux.com" IN {
type forward;
forwarders { 192.168.1.118; };
}
2,需要将/etc/named.conf 文件的如下内容注释
# include "/etc/named.root.key";
3,重新启动
# service named restart
4,测试
# dig -t A www.luolinux.com @192.168.1.121
PS:仅是转发某个区域就将配置项写到/etc/named.rfc1912.zones 文件中,转发所有非本机负责的区域时将配置项写到/etc/named.conf 文件中的options 选项里。
安全控制选项(可以定义在options中或zone中):
allow-transfer {}; 定义从DNS服务器 ,允许区域传送
allow-query {}; 定义允许查询的客户端
allow-recursion {}; 定义递归白名单
四,ACL(访问控制列表)
访问控制列表只有在定义后才能使用,通常acl定义在named.conf 文件的最上方
BIND有四个内置的acl:
any 任意主机
none 都不
local 本机
localnet 本机所在的网络
example:
acl allowclients {
192.168.1.1/24;
};
options {
allow-recursion { allowclients; };
};
本文出自 “珞辰的博客” 博客,请务必保留此出处http://luochen2015.blog.51cto.com/9772274/1748525
以上是关于BIND服务rndc的配置,子域授权,区域转发及acl的主要内容,如果未能解决你的问题,请参考以下文章