高级DNS:主从+视图+密钥

最新推荐文章于 2021-07-10 04:21:49 发布
最新推荐文章于 2021-07-10 04:21:49 发布
阅读量974 收藏 1
点赞数
分类专栏: LINUX 运维 文章标签: 高级DNS 主从 密钥 视图
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carlow_chu/article/details/81144060
版权

什么是DNS?

DNS 是域名系统 (Domain Name System) 的缩写,靠它把你要访问的网址找到然后把信息送到你电脑上。

参考资料:https://baike.baidu.com/item/dns/427444

项目实施:

硬件要求:两台或以上物理机/虚拟机(一台作为主master,一台作为从slave)

OS环境:REHL /CentOS 5.0、5.5、5.9、6.4、7、7.5

软件:bind、bind-chroot

方案:master配置好一切,slave只需要配置主配置named.conf

作用

1.访问控制(不同IP段,访问结果是不一样的)

2.slave分担master压力,不同地域配置slave服务器,能够快速的响应客户端的请求

3.如果master挂掉,slave会马上接管master的服务请求

比如是不同网段,访问www.carlow.com得到的是A网页

访问www.carlow.com得到的却是B网页

软件介绍:

BIND服务器的软件包是bind,为了加强其安全性,最好安装bind-chroot软件包。使用了chroot机制之后,BIND会将“/var/named/chroot”认作是根目录。这样,即使BIND出现漏洞被非法入侵,入侵者获得的目录只是“/var/named/chroot”目录,而无法进入到系统的其它目录,从而加强了系统的安全性。

安装软件(master和slave都需要安装)

1.第一种安装方式    yum
# yum -y install bind bind-chroot        //使用yum安装很方便,替我们解决了依赖关系

2.第二种安装方式    rpm            //不会配置yum的请使用rpm方式安装
# rpm -ivh bind-9.3.6-4.P1.el5_4.2.i386.rpm
# rpm -ivh bind-chroot-9.3.6-4.P1.el5_4.2.i386.rpm

一.配置master

1.生成密钥

# cd /var/named/chroot/etc/			//要在这个目录下生成密钥
# dnssec-keygen	--help				//相关帮助
Usage:
    dnssec-keygen -a alg -b bits -n type [options] name

Version: 9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2
Required options:
    -a algorithm: RSA | RSAMD5 | DH | DSA | RSASHA1 | HMAC-MD5
    -b key size, in bits:
        RSAMD5:         [512..4096]
        RSASHA1:        	 [512..4096]
        DH:              [128..4096]
        DSA:             [512..1024] and divisible by 64
        HMAC-MD5:       [1..512]
    -n nametype: ZONE | HOST | ENTITY | USER | OTHER
    name: owner of the key
Other options:
    -c <class> (default: IN)
    -e use large exponent (RSAMD5/RSASHA1 only)
    -f keyflag: KSK
    -g <generator> use specified generator (DH only)
    -t <type>: AUTHCONF | NOAUTHCONF | NOAUTH | NOCONF (default: AUTHCONF)
    -p <protocol>: default: 3 [dnssec]
    -s <strength> strength value this key signs DNS records with (default: 0)
    -r <randomdev>: a file containing random data
    -v <verbose level>
    -k : generate a TYPE=KEY key
Output:
     K<name>+<alg>+<id>.key, K<name>+<alg>+<id>.private
# dnssec-keygen -a hmac-md5 -b 128 -n host 7k			//生成密钥
K7k.+157+29709
# cat K7k.+157+29709.key                   //查看密钥
7k. IN KEY 512 3 157 DnNjNXxpHlNg8csb6V4dYA==			//记好或复制密钥

2.配置named.conf

# vim /var/named/chroot/etc/named.conf
options {
        directory "/var/named";
};

key 7k {                //定义密钥的名字为“7K”
        algorithm hmac-md5;            //定义密钥的算法为“hmac_md5”
        secret "DnNjNXxpHlNg8csb6V4dYA==";
};
acl ab_client {        //定义访问控制列表名为“ab_client”
        192.168.1.41;    //定义访问控制的IP
        192.168.2.0/24;
};

view "ab" {        //定义视图名为“ab”
        match-clients { ab_client; };    //选择控制列表
        recursion yes;            //是否允许客户端缓存数据:yes允许,no不允许
        zone "carlow.com.zone" {        //完全自定义zone文件名
                type master;        //类型:master
                file "carlow.com.zone";
                allow-transfer { key 7k; };        //只有拿到密钥才能同步
        };
};
view "all" {
        match-clients { any; };        //必须是"any"
        recursion yes;
        zone "carlow.com" {
                type master;
                file "carlow.com.all";
                allow-transfer { key 7k; };
        };
};

3.区配置

# pwd
/var/named/chroot/var/named
# cp /usr/share/doc/bind-9.3.6/sample/var/named/localhost.zone carlow.com.zone
# cp carlow.com.zone carlow.com.all
# vim carlow.com.zone
$TTL    86400
@               IN SOA  ns.carlow.com.       root (
                                        42              ; serial (d. adams)
                                        3H              ; refresh
                                        15M             ; retry
                                        1W              ; expiry
                                        1D )            ; minimum
                IN NS           ns.carlow.com.
ns              IN A            192.168.1.46		//服务器的IP;ns即nameserver
www             IN A            192.168.1.48		//www.carlow.com 的IP地址为 192.168.1.48
study           IN A            192.168.1.49		//study.carlow.com 的IP地址为 192.168.1.49
# vim carlow.com.all
$TTL    86400
@               IN SOA  ns.carlow.com.       root (
                                        42              ; serial (d. adams)
                                        3H              ; refresh
                                        15M             ; retry
                                        1W              ; expiry
                                        1D )            ; minimum

                IN NS           ns.carlow.com.
ns              IN A            192.168.1.46
www             IN A            192.168.1.100
study           IN A            192.168.1.200

master配置完成

3.开启服务

#service named start
Starting named:                                            [  OK  ]

二.配置slave

# pwd
/var/named/chroot/etc
# vim named.conf 
options {
        directory "/var/named/slaves";
};

key 7k {
        algorithm hmac-md5;
        secret "DnNjNXxpHlNg8csb6V4dYA==";        //密钥
};
acl ab_client {
        192.168.1.41;
        192.168.2.0/24;
};

view "ab" {
        match-clients { ab_client; };
        recursion yes;
        zone "carlow.com.zone" {
                type slave;
                file "carlow.com.zone";
                masters { 192.168.1.46 key 7k; };    //指定master的IP和密钥
        };
};
view "all" {
        match-clients { any; };
        recursion yes;
        zone "carlow.com.all" {
                type slave;
                file "carlow.com.all";
                masters { 192.168.1.46 key 7k; };
        };
};

slave配置完成

开启服务

# pwd
/var/named/chroot/var/named/slaves
# /etc/init.d/named start
Starting named:                                            [  OK  ]
# ls
carlow.com.all  carlow.com.zone				//看到master的区配置文件,表示成功

client端测试

一.网段一IP         192.168.1.41  

1.指定dns服务器IP

# vim /etc/resolv.conf 
search domain.org
nameserver 192.168.1.46		//亦可是slave的IP

2.测试

# nslookup www.carlow.com        //nslookup命令查询域名IP
Server:         192.168.1.46
Address:        192.168.1.46#53

Name:   www.carlow.com
Address: 192.168.1.48

# nslookup study.carlow.com
Server:         192.168.1.46
Address:        192.168.1.46#53
Name:   study.carlow.com
Address: 192.168.1.49

二.网段二IP      192.168.2.49

1.指定dns服务器,同上

2.测试

# nslookup www.carlow.com
Server:         192.168.1.46
Address:        192.168.1.46#53

Name:   www.carlow.com
Address: 192.168.1.100
# nslookup study.carlow.com
Server:         192.168.1.46
Address:        192.168.1.46#53

Name:   study.carlow.com
Address: 192.168.1.200

 

效果

不同网段所访问的同一个地址(www.carlow.com)得到的结果是不一样的.

应用

*利用该技术,大到可以管控电信客户与网通客户浏览内容,小到公司可以建一个内网DNS服务器,即使员工和老板访问同一个网址,得到的界面也是不一样的,无须担心公司内部机密泄露

 

声明:

本文由carlow_chu原创,仅供学习交流,未经许可,严禁转载

本人原创百度文库地址:

https://wenku.baidu.com/view/b0fbab4827d3240c8447efb9

 

 

开封人
关注
专栏目录
运维之DNS服务器Bind9配置解析和基础示例及附带命令
WeiyiGeek 唯一极客IT知识分享
04-27 6477
0x03 Bind 配置解析 实例1.DNS主从区域传输介绍与配置 实例2.DNS区域传输限制 实例3.DNS部分二级域名解析 示例1.采用Bind建立一个A记录DNS服务器 示例2.采用Bind建立一个CNAME记录DNS服务器 示例3.采用Bind建立一个正向/反向解析DNS服务器 示例4.DNS递归迭代查询 1) 配置文件目录 2) 配置选项 3..
DNS详解
小胡子
05-09 512
一、DNS概念 人和人要互相识别和记忆,需要名字作为辅助,而对于网络世界,在因特网内也需要一种命名系统来做类似的事情,该系统使用了域来划分,任何一个网络里的主机(或者路由器)都有独一无二的域名(类似国家代码),域又能继续划分为子域(类似每个国家有不同的省份代码),子域还能继续划分(每个省都有自己的各个城市的代码)……在因特网内对应的就是顶级域名(com,net,cn,org等),...
Dns配置高级
软体疯子专栏
12-18 1877
  这里假设你已经将dns服务器成功架设起来,并且dns已经能够正常运行了。 现在我们dns开始工作了,是不是我们的工作已经OK了呢?不,不,不,named.conf文件还有很多东西需要我们配置呢。DNS的配置文件named.conf是有非常多的可选项的,这里只是介绍一点常用的配置。如果你觉得还想继续研究下去,那也不需要在网上到处找资料的,直接用“man named.conf”就可以得到一个非常非
高级缓存dns
weixin_44214830的博客
02-21 296
1.DNS总览 权威名称服务器 存储并提供某区域(整个DNS域或DNS域的一部分)的实际数据。 权威名称服务器的类型包括: Master:包含原始区域数据。有时称作‘主要’名称服务器。 Slave:备份服务器,通过区域传送Master服务器获得的区域数据的副本。 有时称作‘次要’名称服务器。 非权威/递归名称服务器: 客户端通过其查找来自权威名称服务器的数据。递归名称服务器的类型包...
DNS视图
weixin_34342207的博客
08-01 78
DNS下的视图;(作用:既用不同的IP 可以看到不同的WEB效果)实验环境linux企业版4 网卡2个,IP 分别为10.0.0.1和20.0.0.1 实验步骤:1)安装6个DNS包 2)修改主配置文件/var/named/chroot/etc/named.conf修改内容如下:这个内容是申请不同网段的IP这个是申明电信可以看到的视图,所有的区域都在v...
DNS高级应用
weixin_34293246的博客
06-13 176
添加从DNS服务器配置从DNS服务器,先要使主从DNS服务器在时间上同步,这个可以参考时间服务器的搭建。主DNS服务器用“DNS服务器的搭建”里面配置的DNS服务器吧!从DNS服务器的作用是可以帮助主DNS服务器减少负载,从DNS服务器上的解析库文件来自于主DNS服务器,当主DNS服务器出现故障后,从DNS服务器在超时时间内没有联系上主DNS服务器,则也会停止提供解析服务。从...
dns配置高级
cnbird's blog
01-31 884
http://bbs.chinaunix.net/viewthread.php?tid=17788&highlight=dns%C5%E4%D6%C3%B8%DF%BC%B6%C6%AA http://bbs.chinaunix.net/viewthread.php?tid=196600&extra=page%3D2%26amp%3Bfilter%3Ddigesthttp://bbs.ch
bind中DNS主从实现、转发器实现、子域委派实现以及视图配置实现和bind安全相关
weixin_44247739的博客
03-11 1246
了解BIND: BIND软件: 应用层协议是DNS协议;DNS,Domain Name System; DNS的应用程序实现:BIND; BIND程序的服务主程序:named; 53/TCP:完成区域传送; 53/UDP:完成主机名的解析查询; 953/TCP:rndc程序的监听端口;rndc远程名称域的管理程序 **Bind软件的组成:** 主配置文件:/etc/named.conf 辅助...
vReveal(视频修复软件) v3.2.0.13029 中文免费版.zip
07-08
vReveal(视频修复软件)具备视频一键修复特性,可快速、轻松地增强视频质量。vReveal视频修复软件采用超分辨率视频增强技术,此项技术源自执法和情报机构所使用的软件,这一犯罪现场调查(CSI)风格的软件由MotionDSP开发。vReveal视频修复软件凭借支持CUDA的NVIDIA图形处理器,增强视频质量的速度最多可提高五倍。vReveal免费中文版从增强的视频中捕捉到具备照片冲印质量的静态图片 对歪斜视频进行旋转 对每个影像进行剪裁,留住最精彩的时刻,对您PC中的所有视频进行自动查找,并通过单一图库进行管理 将增强的视频放到“YouTube”,轻松与人分享 * 增强限于垂直分辨率为576p或更低的视频。
计算机管理高级dns,一起学DNS系列(三)理解计算机的多种DNS后缀选项
weixin_35987118的博客
07-10 1282
上节介绍了计算机主DNS后缀的一些内容,今天这一节将继续延伸此话题,同时也谈到与之相关的其他概念。本节的试验环境是一台DC和一台客户机相连,很简单的拓扑环境。如下图:在WINS系列中我们说到,当利用ping程序访问某一名称时,如果本机设置了WINS服务器,则会向此服务器发出解析请求,反之,系统将会利用NBNS服务通过广播的方式来解析此名称。如下图:但是,当我们ping一个类似域名结构的名称时候,比...
DNS VIEW(智能搭建 主从搭建)
weixin_34347651的博客
03-14 318
2019独角兽企业重金招聘Python工程师标准>>> ...
基于密钥主从DNS服务器的配置
weixin_33853794的博客
10-21 215
DNS面临的安全问题: Host Enumberation :主机枚举 Cache poisoning:缓存毒化 Attacking the parent zone: 父域受到*** 避免主机枚举的方式: TSIG:事物签名 避免缓存毒化、父域受到***方式: DNSSEC 带有密钥认证的从服务器配置: 配置环境: 需要主机2台(以下操作...
DNS高级设置之转发器与根提示
weixin_34319999的博客
08-05 2269
一、转发器1、转发器简介DNS服务器可以解析自己区域文件中的域名,对于本服务器上没有的域名查询请求应如何处理呢?一种方法是直接转发查询请求到根域DNS服务器,进行迭代查询。还有一种方法,就是直接将请求转发给其它DNS服务器。将本地DNS服务器无法解析的查询转发给网络上的其它DNS服务器,该DNS服务器即被指定为转发器。当DNS服务器将查询转发给转发器时,这种查询通常为递归查询...
dns 视图
weixin_30716141的博客
02-09 378
DNS视图功能实现 众所周知网通和电信之间互相的访问速度是很慢的,但是大型网络公司无论你是在哪用的什么方式接入的网络,访问起来速度都很快,那么是怎么实现的呢!首先想到的会是电信和网通各放一些内容完全相同的服务器,那么怎样才能让电信的用户自己去访问电信的服务器,网通的用户访问网通的服务器呢?就需要DNS高级功能视图来实现了。 DNS服务器的视图通常在配置文件中是使用view实现的。把要...
DNS主从服务器的搭建
weixin_41810308的博客
03-30 1566
一、DNS的主要配置文件        /etc/named.conf                                        ;区域配置文件        /varnamed/named.ca                                 ;根区域文件        /var/named/named.domain                      ...
DNS的基本和高级配置
王宁的博客
06-05 1022
目录简介: DNS的基本和高级配置 一、基本DNS配置 二、一个网络对应多个域名 三、bind视图 四、salvesDNS服务器(备份服务器)
Error:+failed+to+start+container+"coredns":+Error+response+from+daemon:+OCI+runt ime+create+failed:
最新发布
03-01
这个错误通常是由于Docker容器运行时出现问题导致的。具体来说,"failed to start container "coredns""表示无法启动名为"coredns"的容器,而"OCI runtime create failed"表示在创建容器时发生了错误。 要解决这个问题,可以尝试以下几个步骤: 1. 检查Docker运行时是否正常工作。可以通过运行`docker info`命令来检查Docker的状态和信息。 2. 检查是否存在与"coredns"相关的容器或镜像。可以使用`docker ps -a`命令查看所有容器的状态,并使用`docker images`命令查看所有镜像的列表。 3. 如果存在与"coredns"相关的容器或镜像,可以尝试删除它们并重新创建。可以使用`docker rm <container_id>`命令删除容器,使用`docker rmi <image_id>`命令删除镜像。 4. 如果问题仍然存在,可以尝试重启Docker服务。可以使用适合您的操作系统的命令来重启Docker服务。 如果以上步骤都没有解决问题,可能需要更详细的错误信息或上下文来进一步分析和解决问题。请提供更多关于您的环境和操作的信息,以便我能够更好地帮助您。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值