RHCE学习<7>DNS、FTP和DHCP服务配置详解

本文涉及的产品
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
云解析 DNS,旗舰版 1个月
简介:

一、DNS服务器

简述:DNS服务器大多数都使用BIND作为服务器,是最早伯克利大学一名学生编写的,最新版本是9,现在由ISC编写和维护。使用TCP、UDP协议,默认53(domain),953(mdc)。

1>.DNS服务器作用

正向解析:根据主机名称(域名)查找对应的IP地址

反向解析:根据IP地址查找对应的主机域名

2>.DNS两种查询方式

递归查询:客户端—>本地DNS服务器--若不能回答,则查询根DNS服务器—>根DNS服务器查询域类型,得到IP直接给客户端。

迭代查询(循环查询):客户端—>本地DNS服务器—>查询根DNS服务器—>根DNS服务器查询域类型得到IP—>再原路返回给客户端。

3>.DNS服务器三种类型

域主DNS服务器(master):保存zone配置文件,保持该域信息

域从DNS服务器(slave):冗余负载使用,从主DNS服务抓取zone配置文件

缓存DNS服务器(caching):负载均衡、访问加速使用

1、域主DNS服务器

DNS服务器:192.168.0.202

DNS客户端:192.168.0.203

1
2
3
4
[root@dns ~] # yum install gcc gcc-c++ bind bind-chroot bind-utils
[root@dns ~] # cp -r /usr/share/doc/bind-9.8.2/sample/etc/named.conf /var/named/chroot/etc/
[root@dns ~] # cp -r /usr/share/doc/bind-9.8.2/sample/var/named/* /var/named/chroot/var/named/
[root@dns ~] # cd /var/named/chroot/var/named/
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
[root@dns named] # vi ../../etc/named.conf
options    #全局配置
{
         directory                "/var/named" ;      #区域文件存储目录
         listen-on port 53       { 192.168.0.202; };   #监听端口,any为所有
         listen-on-v6 port 53    { ::1; };    #ipv6支持
         allow-query             { any; };   #any对所有主机提供查询
         allow-query-cache       { any; };   #开启所有主机查询缓存
         recursion  yes ;   #启动递归查询
};
logging      #定义记录所有查询主机内容、信息日志
{
         channel default_debug {
                 file  "data/named.run" ;
                 severity dynamic;
         };
};
zone  "test.com"  IN {       #正向区域声明
         type  master;
         file  "test.com.zone" ;
         allow-update { none; };   #允许动态更新哪些客户机地址,none 表示全部禁止
         allow-transfer { none; };   #设置允许下载该区域解析记录的从域名服务的地址,一般指定slave地址
};
zone  "0.168.192.in-addr.apra"  IN {    #反向区域声明
         type  master;
         file  "test.com.zone" ;
         allow-update { none; };
         allow-transfer { none; };
};

#创建正反向区域数据文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[root@dns named] # cp named.localhost test.net.zone
[root@dns named] # vi test.net.zone
$TTL 1D
@       IN SOA   test .com. root. test .com. (    #第一个是该DNS区域地址,第二个是邮箱地址
                                         0       ; serial    #更新序列号
                                         1D      ; refresh   #无效地址解析的缓存时间
                                         1H      ; retry     #刷新时间
                                         1W      ; expire    #失效时间
                                         3H )    ; minimum
@       IN      NS      dns. test .com.    #域名服务器记录
dns     IN      A       192.168.0.202
mail    IN      A       192.168.0.203    #MX邮件交换记录
         IN      MX 10   mail. test .com.
www     IN      A       192.168.0.203    #A地址解析记录
203     IN      PTR     mail. test .com.   #PTR

#检测主配置文件和区域数据文件语法正确性

1
2
3
[root@dns ~] # named-checkconf /var/named/chroot/etc/named.conf
[root@dns ~] # named-checkzone test.com /var/named/chroot/var/named/test.net.zone
[root@dns ~] # named-checkzone 0.168.192.in-addr.apra /var/named/chroot/var/named/test.net.zone

#让新配的DNS作为本机首选DNS服务器

1
2
3
4
5
6
7
[root@dns ~] # vi /etc/resolv.conf
nameserver 192.168.0.202
[root@dns ~] # service named start   #启动时一直停在这
Generating  /etc/rndc .key:
[root@dns ~] # rndc-confgen -r /dev/urandom -a  #执行此命令导入KEY,再启动就能启动了
[root@dns ~] # service named start
[root@dns ~] # chkconfig named on

#测试

1
2
3
4
5
6
7
8
9
10
11
[root@client ~] # nslookup www.test.com  #正向解析,也可以使用host测试
Server:         192.168.0.202
Address:        192.168.0.202 #53
Name:   www. test .com
Address: 192.168.0.203
[root@client ~] # nslookup  #反向解析
> 192.168.0.203
Server:         202.106.0.20
Address:        202.106.0.20 #53
203.0.168.192. in -addr.arpa      name = client.
>

2、域主从DNS服务器

主DNS服务器:192.168.0.202

从DNS服务器:192.168.0.203

主DNS服务器配置与上面配置相同,allow-transfer { none; };修改为allow-transfer { 192.168.0.203; };定义主DNS服务器允许将区域数据文件复制给从DNS服务器

1
2
3
4
5
6
[root@slaves ~] # vi /var/named/chroot/etc/named.conf
zone  "test.com"  IN {
         type  slave;
         file  "test.com.zone" ;
         masters { 192.168.0.202; };
};

3、缓存DNS服务器

可以为DNS指定一个上游DNS服务器地址,当自己无法完成解析,则让上游DNS服务器解析一个好的给客户端

1
2
3
4
5
6
7
[root@slaves ~] # vi /var/named/chroot/etc/named.conf
Options{
Directory “ /var/named/chroot/var/named/etc/ ”;
Forwarders only;     #本DNS服务器不提供解析,将所有请求转发到forwarders列表
forwarders { DNS服务器IP地址;};   #定义转发请求目的ip
allow-query {any;};   #允许所有客户查询
};

二、FTP服务器

1>.FTP:C/S架构服务,使用TCP协议作为底层传输,提供数据传输的可靠性

2>.FTP连接方式

控制连接:标准端口为21,用于发送FTP命令信息

数据连接:标准端口为20,用于上传、下载数据

3>.两种工作模式:

主动模式:客户端向服务端发起请求,服务端收到请求后发起一个指令告诉客户端要打开20端口,服务器主动向20端口发起数据连接。

被动模式:客户端向服务器发起请求,服务端收到请求后随机打开一个端口,告诉客户端我是被动模式,客户端向服务端的随机端口建立数据连接。

4>.Vsftpd相关配置文件:

/etc/vsftpd/vsftp.conf:主配置文件

/etc/vsftpd/ftpusers:黑名单

/etc/vsftpd/user_list:控制名单(由配置文件控制器是白名单还是黑名单)

/var/log/xferlog:默认日志文件

5>.三种类型用户:匿名用户(默认),系统用户,虚拟用户。

6>.常见配置项及含义说明

anonymous_enable=YES        #是否允许匿名用户ftp或anonymous登录

anon_root=/var/ftp          #设置匿名用户的FPT根目录(缺省为/var/ftp)

anon_umask=022              #设置匿名用户所上传文件的默认权限掩码值

anon_world_readable_only=no #允许匿名用户浏览下载文件的权限
anon_upload_enable=YES      #是否允许匿名用户上传文件
anon_mkdir_write_enable=YES #是否允许匿名用户有创建目录的权利

anon_other_write_enable=YES #是否允许匿名用户有其他写入权限,如对文件改名、覆盖、及删除文件。

anon_max_rate               #限制匿名用户的最大传输速率(0为无限制),单位为字节
dirmessage_enable=YES       #是否显示目录说明文件,默认是YES但需要手工创建.message文件

local_enable=YES            #是否允许本地用户登录

local_umask=022             #设置本地用户所上传文件的默认权限掩码值

local_root=/var/ftp         #设置本地用户的FPT根目录(缺省为用户的宿主目录)

local_max_rate              #限制本地用户的最大传输速率(0为无限制),单位为字节

chroot_local_user=yes       #是否将FPT本地用户禁锢在宿主目录中

listen_port  21             #设置监原FTP服务的端口号

write_enable=yes            #启用任何形式的写入权限(如上传、删除文件等)都需要开启此项

download_enable=yes         #是否允许下载文件(建立仅限于浏览、上传的FTP服务器时可将其设为no)
xferlog_enable=YES          #是否记录ftp传输过程,即启用FTP日志,默认记录到/var/log/xferlog文件中

xferlog_std_format=yes      #启用标准的xferlog日志格式,若禁用此项,将使用vsftpd自已的日志格式

connect_from_port_20=YES    #是否确信端口传输来自20(ftp-data)

chown_upload=YES            #是否改变上传文件的属主
chown_username=username     #将属主改为那个用户

pasv_enable=yes             #允许被动模式连接

pasv_max_port=24600         #设置用于被动模式的服务器最大端口号

pasv_min_port=24500         #设置用于被动模式的服务器最小端口号

pam_service_name=vsftpd     #设置用于用户认证的PAM文件位置(/etc/pam.d目录中对应的文件名)

userlist_enable=yes         #是否启用user_list用户列表文件

userlist_deny=yes           #是否禁止user_list列表文件中的用户账号

max_clients=0               #最多允许多少个客户端同进连接FTP服务器(0为无限制)

max_per_ip=0                #对来自相同IP地址的客户端,最多允许多少个并发连接(0为无限制)

tcp_wrappers=yes            #是否启用tcp_wrappers访问控制

idle_session_timeout=600    #设置默认的断开不活跃session的时间 
data_connection_timeout=120 #设置数据传输超时时间,将数据连接空闲2分钟断

accept_timeout=60(秒) #将客户端空闲1分钟后断

1、安装Vsftpd并配置用户认证访问

1
2
3
4
5
6
7
8
9
10
11
12
13
[root@ ftp  ~] # yum install vsftpd -y
[root@ ftp  ~] # mkdir /data
[root@ ftp  ~] # vi /etc/vsftpd/vsftpd.conf #末尾添加如下
anonymous_enable=no   #禁用匿名登陆
local_root= /data      #FTP根目录
chroot_local_user= yes   #锁定宿主目录
pasv_enable=YES      #启动被动模式连接
pasv_min_port=6001   #最小端口号
pasv_max_port=6100   #最大端口号
[root@ ftp  ~] # service vsftpd start
[root@ ftp  ~] # useradd ftpadmin    #创建登陆FTP用户并设置密码
[root@ ftp  ~] # passwd ftpadmin
[root@ ftp  ~] # chown ftpadmin:ftpadmin /data/ -R

#添加防火墙允许

1
2
[root@ ftp  ~] # iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
[root@ ftp  ~] # iptables -A INPUT -p tcp --dport 6001:6100 -j ACCEPT

2、Vsftpd虚拟用户配置

请参考http://going.blog.51cto.com/7876557/1294765

3、Vsftpd+SSL实现加密传输

 #生成证书(包含个人密钥和证书)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
[root@ ftp  vsftpd] # openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem
Generating a 2048 bit RSA private key
...........+++
...........................................+++
writing new private key to  'vsftpd.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter  '.' , the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:beijing
Locality Name (eg, city) [Default City]: test
Organization Name (eg, company) [Default Company Ltd]: test
Organizational Unit Name (eg, section) []: test .com
Common Name (eg, your name or your server's  hostname ) []:
Email Address []:
1
[root@ ftp  vsftpd] # chmod 400 vsftpd.pem

#vsftpd配置SSL支持

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[root@ ftp  ~] # vi /etc/vsftpd/vsftpd.conf  #末尾添加如下
anonymous_enable=no  #关闭匿名访问
local_root= /ftp  #指定宿主目录
chroot_local_user=YES  #锁定宿主目录
ssl_enable=YES
ssl_sslv2=YES
ssl_sslv3=YES
ssl_tlsv1=YES
force_local_logins_ssl=YES  #登录使用ssl认证
force_local_data_ssl=YES  #数据传输使用ssl认证
force_anon_logins_ssl=YES  #匿名登录使用ssl认证
force_anon_data_ssl=YES
rsa_cert_file= /etc/vsftpd/vsftpd .pem  #设置证书位置
[root@ ftp  ~] # service vsftpd restart
[root@ ftp  ~] # chkconfig vsftpd on

测试:我们使用flashfxp软件测试看到传输过程中采用ssl进行通信

三、DHCP服务器

1、安装 dhcp

1
yum install -y dhcp

2、主配置文件修改

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
cp /usr/share/doc/dhcp-4 .1.1 /dhcpd .conf.sample  /etc/dhcp/dhcpd .conf  #默认配置文件是空的,复制dhcpd.conf模板
vi /etc/dhcp/dhcpd .conf
ddns-update-style interim;  #设置dhcp互动更新模式
ignore client-updates;      #忽略客户端更新
shared-network  test {       #这个段是一个作用域,不同子网配置多个作用域
subnet 192.168.1.0 netmask 255.255.255.0{  #子网声明
option routers 192.168.1.1;          #客户端默认获取网关
option subnet-mask 255.255.255.0;    #客户端默认获取子网掩码
option domain-name  "test.com" ;       #DNS域
option domain-name-servers 8.8.8.8;  #DNS服务器地址
range 192.168.1.200 192.168.1.202;   #分配地址池
default-lease-time3600;             #默认租期,单位秒
max-lease-time7200;                 #最长租期,单位秒
可选:
#host print {                          #设置静态分配主机
#hardware ethernet 00:0C:29:7E:52:64; #静态分配主机MAC
#fixed-address 192.168.1.200;         #静态分配的IP
# }
}
}

3、启动dhcp

1
2
service dhcpd start
chkconfig dhcpd on

4、启动失败几种可能性

1>.内容不符合语法结构,例如,少个分号;

2>.声明的子网和子网掩码不符合;

3>.主机IP地址和声明的子网不在同一网段。

4>.主机没有配置IP地址。

5>.配置文件路径出问题,比如在RHEL6以下的版本中,配置文件保存在了/etc/dhcpd.conf,但是在

rhel6及以上版本中,却保存在了/etc/dhcp/dhcpd.conf。



本文转自 李振良OK 51CTO博客,原文链接:http://blog.51cto.com/lizhenliang/1331472,如需转载请自行联系原作者

相关文章
|
1月前
|
存储 缓存 算法
分布式锁服务深度解析:以Apache Flink的Checkpointing机制为例
【10月更文挑战第7天】在分布式系统中,多个进程或节点可能需要同时访问和操作共享资源。为了确保数据的一致性和系统的稳定性,我们需要一种机制来协调这些进程或节点的访问,避免并发冲突和竞态条件。分布式锁服务正是为此而生的一种解决方案。它通过在网络环境中实现锁机制,确保同一时间只有一个进程或节点能够访问和操作共享资源。
68 3
|
5天前
|
存储 网络协议 安全
30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场
本文精选了 30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场。
17 2
|
17天前
|
域名解析 缓存 网络协议
浏览器中输入URL返回页面过程(超级详细)、DNS域名解析服务,TCP三次握手、四次挥手
浏览器中输入URL返回页面过程(超级详细)、DNS域名解析服务,TCP三次握手、四次挥手
|
18天前
|
安全 测试技术 数据安全/隐私保护
原生鸿蒙应用市场开发者服务的技术解析:从集成到应用发布的完整体验
原生鸿蒙应用市场开发者服务的技术解析:从集成到应用发布的完整体验
|
2月前
|
自然语言处理 数据可视化 BI
文档解析(大模型版)服务体验评测
体验文档解析(大模型版)服务时,清晰的入门指南、操作手册和FAQ至关重要。若存在不足,需增加直观的操作流程说明(如动画演示)、深化高级功能文档,并提供实时在线支持,帮助用户快速解决问题。
|
2月前
|
弹性计算 自然语言处理 数据可视化
|
1月前
|
网络安全 Docker 容器
【Bug修复】秒杀服务器异常,轻松恢复网站访问--从防火墙到Docker服务的全面解析
【Bug修复】秒杀服务器异常,轻松恢复网站访问--从防火墙到Docker服务的全面解析
25 0
|
1月前
|
存储 缓存 网络协议
搭建dns服务常见报错--查看/etc/named.conf没有错误日志信息却显示出错(/etc/named.conf:49: missing ‘;‘ before ‘include‘)及dns介绍
搭建dns服务常见报错--查看/etc/named.conf没有错误日志信息却显示出错(/etc/named.conf:49: missing ‘;‘ before ‘include‘)及dns介绍
111 0
|
1月前
|
安全 网络协议 网络安全
Cisco-DHCP配置
Cisco-DHCP配置
|
1月前
|
安全 小程序 网络安全
Cisco-DHCP中继配置
Cisco-DHCP中继配置

相关产品

  • 云解析DNS
  • 推荐镜像

    更多