为什么做DNS频频报错?
为什么看日志显示网络不可达?
到底是道德的沦丧,还是人性在作怪?
No no no 都不是,是你太马虎啦!
在总结之前,在说一次做DNS一定要仔细!一定要仔细!一定要仔细
一:什么是DNS???你真的理解DNS吗?
1.先放一个百度的理解:
域名系统(英文:Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。
2.在放一个我的理解:
就是把不好记的IP地址自动转化成易于记忆的字母或者拼音。这样在上网的时候就比较方便!
详细说下域名:https://www.csdn.net/
https://:这个是个协议,也被称为HTTP超文本传输协议,也就是网页在上网上传播的协议。后面的s是(secure)安全的意思,是把这个协议加密了就是更安全了。
www:这个是服务器名,没啥多说的。
csdn.net:这个才是域名,用来定义网站的独一无二的名字
www.csdn.net:这个是网站名,由服务器名+域名组成
/:这个是根目录,也就是通过网站名找到服务器然后在服务器存放网页的个目录
https://www.csdn.net/:这是URL,统一资源定位符。用于定位网上资源。
3.既然能把IP地址转化为易于记忆的域名那么肯定可以正着转也可以反着转。
(1)DNS正向解析:
由域名转化为IP,开始实验啦!
1.安装DNS服务需要的包
[root@a ~]# yum install -y bind-chroot bind-utils
2.编辑dns主配置文件修改两项参数(允许任何IP访问dns的53端口,允许任何IP的请求)
[root@a ~]# vim /etc/named.conf listen-on port 53 { any; }; allow-query { any; };
3.为区域配置文件添加参数
[root@a ~]# vim /etc/named.rfc1912.zones(这个zone后面的名字和file的后面的可以随便起但是后文要相对应)
zone "caq.com" IN { type master; file "caq.test"; allow-update { none; };
4.创建IP地址和域名解析关系的数据库文件
[root@a ~]# cd /var/named/ [root@a named]# vim caq.test $TTL 1D caq.com. IN SOA caq.com. root.caq.com. ( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum caq.com. IN NS ns.caq.com. ns.caq.com. IN A 192.168.10.10 www.caq.com. IN A 192.168.30.10 bbs.caq.com. IN A 192.168.20.10
5.重启服务进行正向解析测试
[root@a named]# systemctl restart named [root@a named]# nslookup www.caq.com Server: 127.0.0.1 Address: 127.0.0.1#53 Name: www.caq.com Address: 192.168.30.10 [root@a named]# nslookup bbs.caq.com Server: 127.0.0.1 Address: 127.0.0.1#53 Name: bbs.caq.com Address: 192.168.20.10
(2)DNS反向解析:
由IP转化为域名,开始实验啦!
1.编辑区域配置文件
[root@a ~]# vim /etc/named.rfc1912.zones(这个zone后面的名字是固定的,意思是解析192.168.30这个网段的IP,file后面的名字也是随便定的)
zone "30.168.192.in-addr.arpa" IN { type master; file "caq.test2"; allow-update { none; }; };
2.创建IP地址和域名解析关系的数据库文件
[root@a named]# vim caq.test2(这个caq.com.是DNS区域) $TTL 1D @ IN SOA caq.com. root.caq.com. ( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum NS ns.caq.com. 100 IN PTR ns.caq.com. 10 IN PTR www.caq.com. 20 IN PTR bbs.caq.com. 30 IN PTR mail.caq.com.
3.重启服务开始测试
[root@a named]# systemctl restart named [root@a named]# nslookup 192.168.30.10 10.30.168.192.in-addr.arpa name = www.caq.com. [root@a named]# nslookup 192.168.30.20 20.30.168.192.in-addr.arpa name = bbs.caq.com. [root@a named]# nslookup 192.168.30.30 30.30.168.192.in-addr.arpa name = mail.caq.com.
二:DNS主从服务器
实验需要两台虚拟机一台为主服务器一台为从服务器,需要在同一网段,能互相ping通
1.修改主服务器区域配置文件
[root@a ~]# vim /etc/named.rfc1912.zones zone "caq.com" IN { type master; file "caq.test"; allow-update { 192.168.10.11; }; zone "30.168.192.in-addr.arpa" IN { type master; file "caq.test2"; allow-update { 192.168.10.11; }; };
2.修改从服务器区域配置文件
[root@b ~]# yum install -y bind-chroot bind-utils [root@b ~]# vim /etc/named.rfc1912.zones zone "caq.com" IN { type slave; file "slaves/caq.test"; masters { 192.168.10.10; }; zone "30.168.192.in-addr.arpa" IN { type slave; file "slaves/caq.test2"; masters { 192.168.10.10; }; };
3.重启服务,在/var/named/slaves里有我们正反解析的文件。
[root@b ~]# systemctl restart named [root@b ~]# cd /var/named/slaves [root@b slaves]# ls caq.test caq.test2
三:TSIG
关闭防火墙!关闭selinux!
做这个实验之前首先要把之前在从服务器生成的文件删掉
[root@b ~]# rm -rf /var/named/slaves/*
1.在主服务器中生成密钥。dnssec-keygen命令用于生成安全的DNS服务密钥,其格式为“dnssec-keygen [参数]”,
[root@a ~]# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST master Kmaster.+157+27327
2.查看私钥并记录key值
[root@a ~]# cat Kmaster.+157+27327.private Private-key-format: v1.3 Algorithm: 157 (HMAC_MD5) Key: LHViEY9SzJ8m+Sq16DBAyg== Bits: AAA= Created: 20200317211737 Publish: 20200317211737 Activate: 20200317211737
3.在主服务器中创建密钥验证文件
[root@a ~]# cd /var/named/chroot/etc/ [root@a etc]# vim transfer.key key "master" { algorithm hmac-md5; secret "1XEEL3tG5DNLOw+1WHfE3Q=="; }; [root@a etc]# chown root:named transfer.key [root@a etc]# chmod 640 transfer.key [root@linuxprobe etc]# ln transfer.key /etc/transfer.key
4.开启并加载Bind服务的密钥验证功能。
[root@a ~]# vim /etc/named.conf include "/etc/transfer.key"; allow-transfer { key master; }; [root@b ~]# systemctl restart named
这个时候主服务器的密钥验证功能已经开启,重启服务无法自动获得配置文件了
1.现在要配置从服务器 ,步骤和主服务器配置差不多
[root@b ~]# cd /var/named/chroot/etc [root@b etc]# vim transfer.key key "master" { algorithm hmac-md5; secret "1XEEL3tG5DNLOw+1WHfE3Q=="; }; [root@b etc]# chown root:named transfer.key [root@b etc]# chmod 640 transfer.key [root@b etc]# ln transfer.key /etc/transfer.key
2.开启并加载从服务器的密钥验证功能
[root@b etc]# vim /etc/named.conf include "/etc/transfer.key"; ... server 192.168.10.10 { keys { master; }; };
3.再次重启服务就可以看到配置文件又回来了
[root@b ~]# systemctl restart named [root@b ~]# ls /var/named/slaves/ caq.test caq.test2
完成啦!!!
