DNS BIND 搭建域名智能解析DNS服务器之配置

最新推荐文章于 2022-10-08 20:53:33 发布
最新推荐文章于 2022-10-08 20:53:33 发布
阅读量8.1k 收藏 4
点赞数 2
分类专栏: DNS/DHCP DNS BIND学习与应用 文章标签: DNS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhu_tianwei/article/details/45133137
版权
智能 DNS 的原理很简单:在用户解析一个域名的时候,判断一下用户 IP ,然后跟 DNS 服务器内部的 IP 表匹配一下,看看用户是电信还是网通用户,然后给用户返回对应的 IP 地址。目前的域名服务运营商不提供智能 DNS 服务,所以必须自行架设 DNS 服务或者使用网上免费的智能 DNS 服务,如 DNSPOD.
目前智能DNS的实现主要有两种方式,一种是使用F5公司的BIG-IP GTM,另一种是使用bind自带的view来实现。BIG-IP GTM是一款商业产品,功能、性能极为强大,但是由于价格昂贵,中小型企业基本不会考虑花巨资购买此产品,所以只有一些门户网站将此用于核心业务,比如百度、阿里巴巴、金山;bind是一款开源程序,利用其自带的view可轻松实现智能DNS功能,其功能、性能都很好,一台普通配置的服务器,可每秒可处理2-4千查询请求。
使用上一节我们归类的国内IP地址段生成ACL文件,并通过ACL+VIEW实现智能解析。
1.生成ACL文件
根据http://ispip.clangcn.com/提供的运营商IP地址段我们分别生成如下格式的ACL文件: 
acl "chinanet" {
	1.0.1.0/24;
	1.0.2.0/23;
	1.0.8.0/21;
        ......
	223.240.0.0/13;
	223.255.252.0/23;
};
#EOF
生成如下几份ACL文件:
中国电信  /etc/acl/chinanet
中国联通 /etc/acl/unicom
中国移动 /etc/acl/cmcc
中国铁通 /etc/acl/crtc
中国教育网 /etc/acl/cernet
以上包含常见运营商的IP地址段,但当如果用户的IP不在这些地址段里面,如何解析了?所以还需要一个默认的ACL,以上都不匹配的情况下走这个ACL:
默认 /etc/acl/default 
acl "default" {
        any;
};
#EOF
ACL处理完了,下面生成TSIG共享秘钥。
2.TSIG共享秘钥
Transaction signatures (TSIG) 通常是一种确保DNS消息安全,并提供安全的服务器与服务器之间通讯(通常是在主从服务器之间)的机制,T可以保护以下类型的DNS服务器:Zone转换,Notify,动态升级更新,递归查询邮件。我们可以通过TSIG来判断view以更新zone数据库。
使用如下命令来生成密钥:
/home/slim/bind/sbin/dnssec-keygen -a HMAC-MD5 -b 256 -n HOST  testkey
dnssec-keygen:用来生成更新密钥。
-a HMAC-MD5:采用HMAC-MD5加密算法。
-b 128:生成的密钥长度为128位。
-n USER testkey:密钥的用户名为testkey,testkey我们制定为view名称,如:chinanet,unicom
例如:/home/slim/bind/sbin/dnssec-keygen -a HMAC-MD5 -b 256 -n HOST  chinanet
生成Kchinanet.+157+35249.key和Kchinanet.+157+35249.private
cat Kchinanet.+157+35249.private 
Private-key-format: v1.3
Algorithm: 157 (HMAC_MD5)
Key: CY6utSC4XLxG/agUSL5jJcmSH+s5jDNi/uTanl4AJXY=
Bits: AAA=
Created: 20150421131828
Publish: 20150421131828
Activate: 20150421131828
取出里面的Key生成如下TSIG文件:/etc/key/chinanet 
key "chinanet" {
        algorithm       hmac-md5;
        secret "gbfozgBJ38KJomvaTrYaXuCldA7pYM0Hw3XVZM1tR3s=";
};
按照如上方式创建其他viewTSIG文件。
3.配置文件
1)view配置
vi /etc/view.conf 
include "/etc/acl/unicom";
include "/etc/acl/chinanet";
include "/etc/acl/cmcc";
include "/etc/acl/crtc";
include "/etc/acl/cernet";
include "/etc/acl/default";

view unicom {
        match-clients { key unicom; unicom; };
        include "/etc/key/unicom";
        allow-transfer {
                permit_transfer;
        };
        include "/etc/base.conf";
};

view chinanet {
        match-clients { key chinanet; chinanet; };
        include "/etc/key/chinanet";
        allow-transfer {
                permit_transfer;
        };
        include "/etc/base.conf";
};

view cmcc {
        match-clients { key cmcc; cmcc; };
        include "/etc/key/cmcc";
        allow-transfer {
                permit_transfer;
        };
        include "/etc/base.conf";
};

view crtc {
        match-clients { key crtc; crtc; };
        include "/etc/key/crtc";
        allow-transfer {
                permit_transfer;
        };
        include "/etc/base.conf";
};

view cernet {
        match-clients { key cernet; cernet; };
        include "/etc/key/cernet";
        allow-transfer {
                permit_transfer;
        };
        include "/etc/base.conf";
};

view default {
        match-clients { key default; default; };
        include "/etc/key/default";
        allow-transfer {
                permit_transfer;
        };
        include "/etc/base.conf";
};
配置说明:
* acl过滤至上而下,所以default需要放在最后
* match-clients指定匹配的TSIG key,以及ACL,里面的参数是OR的关系
* allow-transfer 主辅通过限制,其中值为在named.conf 配置的ACL:permit_transfer
* 最后引入 根、localhost的zone配置
其中引入的/etc/base.conf配置: 
zone "." IN {
        type hint;
        file "/var/named/root.zone";
};

zone "localhost" IN {
        type master;
        file "/var/named/localhost.zone";
};   

zone "0.0.127.in-addr.arpa" IN {
        type master;
        file "/var/named/localhost.rev";
};
2)主配置named.conf 
key "rndc-key" {
        algorithm hmac-md5;
        secret "etMaaS+O06WFFUHxKAaTXA==";
};

controls {
        inet 127.0.0.1 port 953
                allow { 127.0.0.1; } keys { "rndc-key"; };
};
options{
        listen-on port 53{
                any;
        };
        version "slimsmart-dns v1.0";
        directory "/var/named";
        pid-file "/var/run/named.pid";
        session-keyfile "/var/run/session.key";
        dump-file "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        recursion yes;
        allow-new-zones yes;
        allow-query{
                any;
        };
        allow-query-cache{
                any;
        };

};

logging {
        channel default_syslog {  
                syslog daemon;
                severity info;
        }; 
        channel default_log {
                file "/var/named/data/named.run";
                severity dynamic;
        };
        category default { 
                default_syslog;
                default_log; 
        };

        channel query_log { 
                file "/var/named/log/query.log" versions 1 size 100m; 
                severity info; 
                print-category yes; 
                print-severity yes; 
                print-time yes; 
        }; 
 
        category queries { 
                query_log; 
        }; 

        channel general_log {
                file "/var/named/log/general_log" versions 1 size 100m;
                severity info;
                print-category yes;
                print-severity yes;
                print-time yes;
        };
        category general { 
                general_log;
        };
 
        channel notify_log { 
                file "/var/named/log/notify.log" versions 1 size 100m; 
                severity info; 
                print-category yes; 
                print-severity yes; 
                print-time yes; 
        }; 
 
        category notify { 
                notify_log; 
        };
        channel xfer_in_log {    
                file "/var/named/log/xfer_in.log" versions 1 size 100m;  
                severity info;  
                print-category yes;  
                print-severity yes;  
                print-time yes;  
        };  
        category xfer-in { 
                xfer_in_log;
        };
        channel xfer_out_log {  
                file "/var/named/log/xfer_out.log" versions 1 size 100m;  
                severity info;  
                print-category yes;  
                print-severity yes;  
                print-time yes;  
        };      
        category xfer-out { 
                xfer_out_log;
        };
        channel update_log {
                file "/var/named/log/update.log" versions 1 size 100m;
                severity info;
                print-category yes;
                print-severity yes;
                print-time yes;
        };
        category update { 
                update_log;
        };
        channel unmatched_log {
                file "/var/named/log/unmatched.log" versions 1 size 100m;
                severity info;
                print-category yes;
                print-severity yes;
                print-time yes;
        };
        category unmatched {  
                unmatched_log;
        };
}; 

acl permit_transfer {
       none;
};

acl permit_allow_update {
        any;
};

include "/etc/view.conf";
到此配置已经完毕。接下来我们可以通过rndc 添加、删除zone和nsupdate添加删除解析记录。
slimina
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ubuntu16.4中dns服务器搭建
01-09
dns服务器搭建 在Internet上域名与IP地址之间是一对一(或者多对一)的,机器之间只能互相认识IP地址,域名与IP地址的转换工作称为域名解析DNS是进行域名解析的服务器,域名解析需要由专门的域名解析服务来完成...
什么是DNS智能解析,什么是NS,更换NS多久生效?
weixin_53018687的博客
09-09 398
DNS智能解析其实就是域名智能解析,是域名解析服务器根据访问者的IP类型对同一域名执行不同的解析。使用中科三方智能解析系统修改解析记录,最终生效时间取决于各地运营商的DNS服务器缓存时间,一般情况下于您设置解析时的TTL值。提供稳定、安全、极速的域名解析能力,支持域名海外IP解析,有效减少DNS递归过程,大幅提升解析速度和解析生效成功率。全球有很多DNS服务节点,在设置完解析记录后,会将此结果同步至全球各个DNS服务节点,这一过程所需要的时间即为解析生效的时间。(3)修改DNS解析生效时间。
服务器域名智能dns系统以及dns教程
weixin_33676492的博客
05-21 171
近期一直在研究服务器域名之类的问题,现在正好有机会和大家分享一下.     分析一款收费智能dns系统,以及关于dns的相干问题,供大家学习应用。     wddns是一套可通过web在线管理的智能DNS系统,基于bind+mysql构建开发,安装方便,快速,让你可在最短时间内架构一套DNS/智能DNS系统.目前支持电信/网通/教肓网/挪动/铁通/广电/按省分解析(31个省市)/搜索引擎蜘蛛等...
2-7-搭建DNS服务器实现域名解析
aigao3209的博客
10-12 2578
学习服务的方法: 了解服务的作用:名称,功能,特点 安装服务 配置文件的位置,端口 服务开启和关闭的脚本 修改配置文件(实战举例) 排错(从上到下,从内到外) ---------------------------------------- 大纲: DNS服务器常见概念 DNS服务器安装及相关配置 实战:配置DNS服务器解析 实战:使用DNS支持递归查询. 实战:搭建DNS转发服务器...
bind搭建智能DNS
落叶先生
07-07 2171
小生不才,明知文拙脑蠢,却喜挥笔泼墨,畅叙幽情。才疏学浅,未能熟读圣贤之书,以至学识浅薄,明然众人也,有何不足处望不吝赐教。 DNS域名解析服务(DomainNameSystem)是用于解析域名与IP地址对应关系的服务,功能可以分为正向解析与反向解析:  正向解析:根据主机名(域名)查找对应的IP地址。  反向解析:根据IP地址查找对应的主机名(域名)。 nslookup命令用于...
DNS服务搭建
LEBRON_LAKERS的博客
03-25 4102
DNS简介 DNS的功能 DNS 域名系统(Domain Name System) 的缩写,它的功能是将域名解析成ip。我们日常上网浏览网页时,在浏览器(如:IE)的地址栏中常输入的是网站的网址,其实网址这个概念在专业的角度称为域名。即:网址=域名DNS命名空间 DNS可以负责全球网络的域名解析工作,那么全球的网络必然或有一套严谨的命名规范,那就是DNS命名空间的功能。 DNS解析原理 客户端解析顺序 Windows/Linux:本地hosts文件--.
智能DNS服务器搭建
weixin_30437481的博客
08-22 949
前期准备 查看IP [root@localhost ~]# ip a | grep ens 2: ens32: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 inet 192.168.200.111/24 brd...
关于CDN和DNS技术的解析以及搭建智能DNS的方法
m0_65187145的博客
10-08 1728
DNS解析智能DNS的实现
搭建并实现智能DNS
一直在努力学习的菜鸟
01-24 3454
利用view实现智能DNS 环境要求: 需要五台主机 DNS主服务器和web服务器1:10.0.0.8/24,172.16.0.8/16 web服务器2:10.0.0.7/24 web服务器3:172.16.0.7/16 DNS客户端1:10.0.0.6/24 DNS客户端2:172.16.0.6/16 前提准备 关闭SElinux 关闭防火墙 时间同步 实现步骤: 1、DNS 服务器的网卡配置 #配置两个IP地址 #eth0:10.0.0.8/24 #eth1: 172.16.0.8..
详解Linux搭建DNS服务器
01-10
1.DNS服务器概念 在互联网上通信需要借助于IP地址,但人类对于数字的记忆能力远不如文字,那么将IP地址转换成容易记忆的文字是个好办法,可是计算机只能识别0、1代码,这时就需要一种机制来解决IP地址与主机名的转换...
使用bind构建高可用智能dns服务器
04-19
目前智能DNS的实现主要有两种方式,一种是使用F5公司的BIG-IP GTM,另一种是使用bind自带的view来实现。BIG-IP GTM是一款商业产品,功能、性能极为强大,但是由于价格昂贵,中小型企业基本不会考虑花巨资购买此产品,所以只有一些门户网站将此用于核心业务,比如百度、阿里巴巴、金山;bind是一款开源程序,利用其自带的view可轻松实现智能DNS功能,其功能、性能都很好,一台普通配置的服务器,可每秒可处理2-4千查询请求。下面我们看一下利用bind的view功能是如何实现智能DNS的。
DNS智能解析搭建配置
05-21
想要了解DNS智能解析如何搭建配置的,可以选择该文档哦,不错的介绍
DNS WEB管理系统源代码下载
01-21
简介: bind_mysql_dlz 的web管理界面 整合了《利用Bind DLZ MySQL 构建智能DNS V2》 并做了适当修改,增加了禁用启用记录的功能 优化了部分配置
详解如何在 CentOS7.0 上搭建DNS 服务器
01-10
BIND也叫做NAMED,是现今互联网上使用最为广泛的DNS 服务器程序。这篇文章将要讲述如何在 chroot 监牢中运行 BIND,这样它就无法访问文件系统中除“监牢”以外的其它部分。 例如,在这篇文章中,我会将BIND的运行根...
DNS自主搭建域名解析
01-07
1.自主搭建域名解析服务器 a.下载bindbind-chroot软件包 yum -y install bind-chroot bind b.启动DNS服务并开机自启 systemctl restart named systemctl enable named 可以用systemctl status named查看状态 2....
DNS BIND之forwarder转发
热门推荐
任何技能都是从模仿开始,逐步升华。
04-15 3万+
转发功能可以用来在一些服务器上产生一个大的缓存,从而减少到外部服务器链路上的流量。它可以使用在和internet没有直接连接的内部域名服务器上,用来提供对外部域名的查询。只有当服务器是非授权的,并且缓存中没有相关记录时,才会进行转发。
DNS BINDdnssec安全介绍
任何技能都是从模仿开始,逐步升华。
04-16 2万+
Domain Name System Security Extensions (DNSSEC)DNS安全扩展,是由IETF提供的一系列DNS安全认证的机制(可参考RFC2535)。它提供了一种来源鉴定和数据完整性的扩展,但不去保障可用性、加密性和证实域名不存在。DNSSEC是为解决DNS欺骗和缓存污染而设计的一种安全机制。
DNS BIND之log日志
任何技能都是从模仿开始,逐步升华。
04-17 2万+
bind中我们可以通过配置logging来记录日志信息,以便以后对服务器的分析及问题的跟踪。logging语句为域名服务器设定了一个多样性的logging选项。它的channel短语对应于输出方式、格式选项和分类级别,它的名称可以与category短语一起定义多样的日志信息。
DNS BIND之rndc介绍及使用
任何技能都是从模仿开始,逐步升华。
04-19 2万+
rndc(Remote Name Domain Controllerr)是一个远程管理bind的工具,通过这个工具可以在本地或者远程了解当前服务器的运行状况,也可以对服务器进行关闭、重载、刷新缓存等操作。
ubuntu搭建dns服务器配置正反向解析
最新发布
06-01
好的,我可以为您提供大致的步骤。具体细节因环境不同而异,请您根据自己的实际情况适当调整。 1. 安装 DNS 服务器 在 Ubuntu 上安装 DNS 服务器可以使用 BIND9 工具,可以使用以下命令进行安装: ``` sudo apt-get update sudo apt-get install bind9 ``` 2. 配置正向解析 正向解析是指将域名解析为 IP 地址,可以通过以下步骤进行配置: - 编辑 /etc/bind/named.conf.local 文件,添加以下内容: ``` zone "example.com" { type master; file "/etc/bind/db.example.com"; }; ``` - 创建 /etc/bind/db.example.com 文件,添加以下内容: ``` $TTL 604800 @ IN SOA ns1.example.com. admin.example.com. ( 3 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; @ IN NS ns1.example.com. @ IN A 192.168.0.100 ``` 其中,example.com 是您的域名,192.168.0.100 是您的 IP 地址,可以根据实际情况进行修改。 - 重启 BIND9 服务: ``` sudo systemctl restart bind9 ``` 3. 配置反向解析 反向解析是指将 IP 地址解析域名,可以通过以下步骤进行配置: - 编辑 /etc/bind/named.conf.local 文件,添加以下内容: ``` zone "0.168.192.in-addr.arpa" { type master; file "/etc/bind/db.192"; }; ``` - 创建 /etc/bind/db.192 文件,添加以下内容: ``` $TTL 604800 @ IN SOA ns1.example.com. admin.example.com. ( 2 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; @ IN NS ns1.example.com. 100 IN PTR example.com. ``` 其中,example.com 是您的域名,100 是您的 IP 地址的最后一段数字,可以根据实际情况进行修改。 - 重启 BIND9 服务: ``` sudo systemctl restart bind9 ``` 完成以上步骤后,您的 DNS 服务器就可以进行正反向解析了。您可以通过在其他主机上配置 DNS 服务器为您的 Ubuntu 服务器的 IP 地址,然后在命令行中使用 nslookup 命令进行测试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值