DNS服务器的高级配置

简介:

             DNS服务器的高级配置

视图的配置

在主配置文件中,可以指定多个view,如果DNS客户端所提交的查询满足第一个view的条件时,就会使用第一个view来进行解析,否则就判断一下view,然后再进行解析。如果所有的view都不满足条件时,BIND将返回Query refuset的消息。设置多个view的作用在于可以根据不同的DNS客户端返回不同的解析结果。如下图所示。BIND在解析www.qq.com时,如果客户端属于内网端时,则返回ip地址为192.168.2.2.如果属于外网时,就返回ip地址为61.130.130.1

1.[root@localhwsm etc]# vim named.rfc1912.zones 编辑区域配置文件增加如下内容:

  zone "qq.com" IN {

          type master;

          file "qq.com.zone1";

          allow-update { none; };

  };

2./var/named/chroot/var/named里新建qq.com.zone qq.com.zone1 

wwwdns服务器是在一台主机上。www服务已配好,怎样配置不在这讲)

3.编辑主配置文件增加红框里的内容:

4.配置防火墙,这里用带有两块网卡的linux(内网vm1 eth0 192.168.2.254   外网vm2 eth1 61.130.130.1)来实现。。。

 

 5.在内网测试

可以解析

6.在外网测试

不能解析,,这时需要在防火墙上配置规则

[root@localhost ~]# iptables -t nat -A PREROUTING -p udp --dport 53 -j DNAT --to 192.168.2.2

解析为不同的ip地址了

TSIG配置

TSIGTransaction Signature,事务签名)使用加密验证DNS信息。TSIG是以MD5加密算法的方式、认证DNS服务器之间的数据传输。

① 首先在主要区域所在的服务器上生成加密证书。

② 传递给辅助区域所在服务器

③ 经过配置后由辅助区域所在服务器以加密方式送往主要区域所在的服务器的区域传输请求。

④ 同时提供加密的DDNS

TSIG功能确认DNS之信息是由某特定DNS服务器提供,并且大多数应用于DNS之间区域传输,确保辅助从主要区域复制得到的数据不是由其他假的DNS服务器提供或被篡改截取。

下面就将位于192.168.2.2上的主要区域zhx.com 与位于192.168.2.254上的辅助区域之间的区域传输使用TSIG,提高其安全性。

1.主要区域配置 

①   使用dnssec-keygen命令创建密钥

       [root@localhwsm chroot]# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST wsm

② dnssec-keygen执行完成后在当前目录下会生成密钥对文件,通过cat查看

③ 修改/var/named/chroot/etc/named.conf文件,增加如下内容

key fuzhutransfer {

         algorithm hmac-md5;     (指定使用的加密算法)

        secret OoKlnmTHoyf3tiLZ8reIdg==;   (指定密码字符串)

};

server 192.168.2.254 {                          (指定辅助区域所在主机ip

           keys { fuzhutransfer; };      (指定辅助区域使用fuzhutranster中所定义的密钥)

           

};

④ 修改/var/named/chroot/etc/named.rfc1912.zones文件,增加如下内容

红框是指定使用fuzhutransfer中所定义的密钥的辅助区域才可以完成区域传输。

⑤ 。两个区域文件内容如下:

⑥  重启named服务。

   2. 辅助区域配置

1) 修改区域全局配置文件,增加如下内容:

key fuzhutransfer{

          algorithm hmac-md5;

          secret OoKlnmTHoyf3tiLZ8reIdg==;

};

server 192.168.2.2 {

    keys { fuzhutransfer; };

};

2) 辅助区域主配置文件,增加如下内容:

3) 重启named服务,可以看到主要区域DNS 的日志如下:

已经传给了指定的辅助DNS

如果不是指定辅助DNS'会用如下结果:

DDNS的配置

前面讲是是手动将A记录(或PRT记录)添加到DNS服务器对应的区域中,但是如果客户端的ip地址不固定(使用DHCP获得的IP地址)或客户端数量巨大,就无法准确地添加A记录(或PRT记录),这里就需要使用DDNS.

DDNS(DYnamic Domain Name Server,动态域名服务)是客户端动态ip地址映射到一个过顶的DNS服务上。DDNS需要DNSDHCp结合来进行。

一、服务端配置

a.   cd  /var/named/chroot

   dnssec-keygen -a HMAC-MD5 -b 128 -n USER wsmddns

-a 加密算法MD5   -b  密钥长度为128  -n 指定用户名为wsmddns

b.     dnssec-keygen执行完成后在当前目录下会生成密钥对文件,通过cat查看

c. 修改/var/named/chroot/etc/named.conf 增加如下内容:

key wsmddns {

         algorithm hmac-md5;                   指定加密算法

        secret bW0CeuUrGDbysq2WVVLjzg==;    指定密码字符串

};

d. 修改修改/var/named/chroot/etc/named.rfc1912.zones文件,增加如下内容

使用wsmddns作为密钥的客户端提交DDNS请求

e. /var/named/chroot/var/named/里分别建立zhx.com.zone 2.168.192.local 如上面TSIG的配置里的内容。(至少有一条APRT记录)

f. 修改/var/named/chroot/var/named/的所用者和拥有组为named

[root@localhwsm var]# chown -R named.named  named

g. 修改/etc/dhcpd/conf文件。内容如下:

ddns-update-style interim;

ignore client-updates;

key wsmddns {

     algorithm hmac-md5;

     secret bW0CeuUrGDbysq2WVVLjzg==;

}

zone zhx.com. {

     primary 192.168.2.2;

     key wsmddns;

}

zone 2.168.192.in-addr.arpa. {

   primary 192.168.2.2;

   key wsmddns;

}

subnet 192.168.2.0 netmask 255.255.255.0 {

        option domain-name              "zhx.com";

        option domain-name-servers      192.168.2.2;

        option subnet-mask              255.255.255.0;

        option time-offset              -18000;

        range dynamic-bootp 192.168.2.10 192.168.2.100;

        default-lease-time 21600;

        max-lease-time 43200;

}

h. 重启 dhcpd named 服务

二. win客户端配置

Windows客户端配置为DHCP客户端后,执行ipconfig /renew ,在执行ipconfig /registerdns 或单击“修复”或重启来进行DNS注册

三. Liunx客户端配置

linux客户端配置为DHCP客户端后,在/etc目录下建立dhclient.conf 文件并加入如下内容后,可通过dhcpclient 或重启来进行DNS注册。

send fqdn.fqdn "client2";

send fqdn.encoded on;

send fqdn.server-update off;

四. 检查DDNS配置是否成功

在配置完成DDNS后,会在/named中生成两个.jnl文件,

当客户端完成DDNS注册后,过一段时间(一般为15分钟)或重启named服务后,在区域配置文件中会生成对应的记录。。。。



本文转自 abc16810 51CTO博客,原文链接:http://blog.51cto.com/abc16810/1032972


相关文章
|
10小时前
|
域名解析 缓存 监控
【域名解析 DNS 专栏】解析失败的 DNS 重试策略与配置优化
【5月更文挑战第28天】DNS解析在数字化时代关键但常遇失败,可能由网络、服务器或域名错误引起。实施智能重试策略(如指数级增长的重试间隔)和配置优化(如选用可靠DNS服务器、设置缓存、监控预警)能提高成功率和系统稳定性。示例代码展示基本DNS重试函数,强调需按业务需求调整策略并配合监控以保证高效稳定的DNS解析。
|
1天前
|
域名解析 监控 负载均衡
【域名解析DNS专栏】智能DNS解析:自动选择最快服务器的奥秘
【5月更文挑战第27天】智能DNS解析是动态根据用户网络环境和服务器负载,选择最佳服务器的技术,提升用户体验。它通过实时监控服务器负载、网络延迟,运用负载均衡算法、地理位置识别和实时测试,自动选择最快服务器。伪代码展示了其基本工作流程,包括获取用户位置、计算服务器权重并选择最佳服务器进行域名解析。智能DNS解析优化了网络服务的稳定性和效率。
|
2天前
|
域名解析 网络协议 Ubuntu
【域名解析DNS专栏】搭建私有DNS服务器:从BIND到CoreDNS的选择
【5月更文挑战第26天】本文对比了两种流行的DNS服务器软件BIND和CoreDNS。BIND以其稳定性及丰富功能著称,广泛兼容各类平台,适合复杂环境;CoreDNS则以其高性能、模块化设计和易用性脱颖而出。根据需求、资源和技术水平,用户可选择适合自己的DNS服务器。安装示例包括BIND在Ubuntu上的apt安装及基本配置,以及CoreDNS的snap安装和YAML配置。
|
4天前
|
存储 弹性计算 人工智能
【阿里云弹性计算】深度解析阿里云ECS弹性裸金属服务器:性能与弹性的完美平衡
【5月更文挑战第24天】阿里云ECS弹性裸金属服务器融合物理机高性能与云服务弹性,提供计算、存储及网络优势。支持秒级伸缩、自动扩展,适用于高性能计算、游戏、企业应用及AI场景。示例代码展示如何通过CLI创建实例,是高需求场景的理想选择。
40 0
|
4天前
|
域名解析 缓存 网络协议
【域名解析DNS专栏】深入理解DNS根服务器与顶级域服务器
【5月更文挑战第24天】DNS的根服务器和顶级域服务器在域名解析中起关键作用。根服务器是核心,负责提供顶级域服务器引用,维护顶级域列表;顶级域服务器管理如.com的域名,处理二级域名解析和管理。这两者影响解析速度、可靠性和安全性。了解它们有助于优化DNS配置和提升网站访问体验。
【域名解析DNS专栏】深入理解DNS根服务器与顶级域服务器
|
5天前
|
SQL 关系型数据库 MySQL
实时计算 Flink版操作报错之遇到MySQL服务器的时区偏移量(比UTC晚18000秒)与配置的亚洲/上海时区不匹配,如何解决
在使用实时计算Flink版过程中,可能会遇到各种错误,了解这些错误的原因及解决方法对于高效排错至关重要。针对具体问题,查看Flink的日志是关键,它们通常会提供更详细的错误信息和堆栈跟踪,有助于定位问题。此外,Flink社区文档和官方论坛也是寻求帮助的好去处。以下是一些常见的操作报错及其可能的原因与解决策略。
|
6天前
|
存储 固态存储 安全
租用阿里云服务器2核8G、4核16G、8核32G配置可选实例规格及价格参考
在租用阿里云服务器时,一般通用型实例规格的云服务器处理器与内存配比为1:4,而2核8G、4核16G、8核32G配置就是用户选择较多的配置,这些配置的云服务器一般可用于中小型数据库系统、缓存和各种Web应用,目前在阿里云的活动中经济型e、通用算力型u1、通用型g7、通用型g7a等实例2核8G、4核16G、8核32G配置有优惠,本文为大家介绍这些配置在阿里云目前的活动中可选的实例规格及具体价格和收费标准情况,以供参考。
租用阿里云服务器2核8G、4核16G、8核32G配置可选实例规格及价格参考
|
6天前
|
弹性计算 数据挖掘 应用服务中间件
阿里云服务器通用算力型U1实例解析,实例性能、适用场景及常见问题参考
在阿里云服务器的所有实例规格中,通用算力型u1实例主打的是高性价比,通用算力型U1实例云服务器自推出以来,就受到了广大用户的关注,也是目前阿里云的活动中比较热门的云服务器实例,这个实例规格的性能要好于经济型e等共享型实例,价格又比计算型c7、通用型g7等其他企业级实例要低一些。本文将深入解析通用算力型U1实例的特点、适用场景以及价格优势,帮助用户更好地了解该云服务器实例。
阿里云服务器通用算力型U1实例解析,实例性能、适用场景及常见问题参考
|
6天前
|
域名解析 存储 缓存
【域名解析DNS专栏】动手实践:手动配置DNS解析记录
【5月更文挑战第22天】本文介绍了DNS解析记录的概念及其手动配置步骤。DNS解析记录是将域名映射到IP地址的数据,常见类型包括A(IPv4)、AAAA(IPv6)和CNAME(别名)。配置步骤包括登录DNS管理平台,添加记录,选择记录类型,填写主机记录和记录值,设置TTL值,并保存。以阿里云为例的A记录配置示例也提供了具体操作。了解这些有助于更好地管理域名。
【域名解析DNS专栏】动手实践:手动配置DNS解析记录
|
6天前
|
Linux 数据库
ntp如何配置同步服务器
【5月更文挑战第19天】ntp如何配置同步服务器
30 2

相关产品

  • 云解析DNS
  • 推荐镜像

    更多