Linux运维初学9

1、简述DNS服务器原理，并搭建主-辅服务器。

网络通讯大部分是基于TCP/IP的，而TCP/IP是基于IP地址的，所以计算机在网络上进行通讯时只能识别如“202.96.134.133”之类的IP地址，而不能认识域名。我们无法记住10个以上IP地址的网站，所以我们访问网站时，更多的是在浏览器地址栏中输入域名，就能看到所需要的页面，这是因为有一个叫“DNS服务器”的计算机自动把我们的域名“翻译”成了相应的IP地址，然后调出IP地址所对应的网页。

一、什么是DNS？

DNS( Domain Name System)是“域名系统”的英文缩写，是一种组织成域层次结构的计算机和网络服务命名系统，它用于TCP/IP网络，它所提供的服务是用来将主机名和域名转换为IP地址的工作。你可以把它想象成一本巨大的电话本。
举例来说，如果你要访问域名math.stackexchange.com，首先要通过DNS查出它的IP地址是151.101.129.69。

DNS就是这样的一位“翻译官”，它的基本工作原理可用下图来表示：

二、DNS域名空间结构

根域：DNS域名使用中规定由尾部句点'.'来指定名称位于根或者更高层次的域层次结构。

顶级域：用来指示某个国家、地区或者组织。采用三个字符，如com -> 商业公司，edu -> 教育机构，net -> 网络公司，gov -> 非军事政府机构等等。

二级域：个人或者组织在Internet使用的注册名称。采用两个字符，如：cn -> 代表中国，jp -> 日本，uk -> 英国，hk -> 香港等等。

主机：主机名处于域名空间结构中的最底层，主机名和域名结合构成FQDN，主机名是FQDN最左端的部分。

三、DNS的查询过程如下所示：

1、在浏览器中输入www . qq .com 域名，操作系统会先检查自己本地的hosts文件是否有这个网址映射关系，如果有，就先调用这个IP地址映射，完成域名解析。
2、如果hosts里没有这个域名的映射，则查找本地DNS解析器缓存，是否有这个网址映射关系，如果有，直接返回，完成域名解析。
3、如果hosts与本地DNS解析器缓存都没有相应的网址映射关系，首先会找TCP/ip参数中设置的首选DNS服务器，在此我们叫它本地DNS服务器，此服务器收到查询时，如果要查询的域名，包含在本地配置区域资源中，则返回解析结果给客户机，完成域名解析，此解析具有权威性。
4、如果要查询的域名，不由本地DNS服务器区域解析，但该服务器已缓存了此网址映射关系，则调用这个IP地址映射，完成域名解析，此解析不具有权威性。
5、如果本地DNS服务器本地区域文件与缓存解析都失效，则根据本地DNS服务器的设置（是否设置转发器）进行查询，如果未用转发模式，本地DNS就把请求发至13台根DNS，根DNS服务器收到请求后会判断这个域名(.com)是谁来授权管理，并会返回一个负责该顶级域名服务器的一个IP。本地DNS服务器收到IP信息后，将会联系负责.com域的这台服务器。这台负责.com域的服务器收到请求后，如果自己无法解析，它就会找一个管理.com域的下一级DNS服务器地址(http://qq.com)给本地DNS服务器。当本地DNS服务器收到这个地址后，就会找http://qq.com域服务器，重复上面的动作，进行查询，直至找到www . qq .com主机。
6、如果用的是转发模式，此DNS服务器就会把请求转发至上一级DNS服务器，由上一级服务器进行解析，上一级服务器如果不能解析，或找根DNS或把转请求转至上上级，以此循环。不管是本地DNS服务器用是是转发，还是根提示，最后都是把结果返回给本地DNS服务器，由此DNS服务器再返回给客户机。
从客户端到本地DNS服务器是属于递归查询，而DNS服务器之间就是的交互查询就是迭代查询。
 

四、搭建DNS主-辅服务器

（1）关闭防火墙和SElinux

（2）yum安装bind

（3）修改 /etc/named.conf 

注释以上两行

（4）启动named服务

 （5）在/etc/named.rfc1912.zones中添加

第一行表示域名名称，第二行表示本机为DNS主服务器，第三行指向自建的域名解析数据库

（6）在/var/named/目录中建wangzhe.com.zone 域名解析数据库

##可以复制该目录下named.localhost样板文件并重命名，可避免权限问题##

192.168.120.128本DNS主机的IP；192.168.120.139 为DNS从机的IP；192.168.120.134为业务服务器主机

（7）DNS从机配置

与（3）中同，然后在/etc/named.rfc.1912.zones中添加

第一行与主DNS中一致；第二行表示本机为从节点；第三行指向主节点的IP，可以从主节点拉取域名解析输数存到第四行中的数据文件（自动生成该数据文件）

（8）重新启动DNS服务，配置客户机DNS指向两台DNS服务器的IP即可通过域名访问业务服务器，当主节点DNS服务异常时仍然可通过从节点DNS进行访问

（9）安全及优化

在  /etc/named.conf 中的opeions中括号内加上

allow-transfer {从节点IP;};    #允许从本机拉取域名解析库的IP （主DNS上设）

allow-transfer {none;};          #不允许任何人拉取本机的域名解析库（从DNS上设）

把 dnssec-enable yes ; 和dnssec-validation yes; 改为no      #关闭加密验证（都设）

2、使用iptable实现: 放行ssh,telnet, ftp, web服务80端口，其他端口服务全部拒绝

常用参数：

允许访问ssh,telnet, ftp, web用的端口，默认设为全丢弃

3、NAT原理总结

（1）NAT的产生

       由于网络的飞速发展和网络应用的极速增多，致使IPv4可用地址空间逐渐枯竭。尽管IPv6可以在根本上解决地址枯竭问题，但IPv4发展到IPv6还需要一个过渡，而这便产生了NAT。
（2）NAT的作用

       IP地址分为公网IP与私网IP。一般情况下，在互联网中，公网IP可直接访问，私网IP无法直接访问。而NAT则是将私网IP地址转换为公网IP地址（将IP报文头部的私网IP地址改为可以提供访问的公网IP地址），从而实现用户上网功能或服务器在互联网上提供服务。NAT还可以使得一个公网IP代表多个不同的内网IP，这样便节省了IP地址资源。
（3）NAT的类型与分类

NAT分为静态转换、动态转换、端口转换

        静态转换：私有地址与公有地址进行一对一的映射。这种一对一映射无法缓解可用公有地址短缺的问题。
        动态转换：私有地址与公有地址进行一对多的映射。首先建立公有地址地址池，私有地址向外通信时，会从公有地址地址池中选择非在用的公有地址进行映射，当通信结束时，释放映射关系，公有地址重新恢复到地址池中待用。弊端：若私有地址向外通信，而公有地址地址池中无可用公有地址时，会等待公有地址释放后在进行通信。
    端口转换：在大多数网络中，一般都使用的是IP上的某个端口（如80、443、3389等），所以不需要进行全地址映射，只需要私有地址端口映射到公有地址端口上，直接访问公有地址加端口号的形式便可以。这样可以使得一个公有地址可以对应多个私有地址，从而大大缓解了公有地址紧缺的问题。
        Easy IP：为小型网络，一般为家庭、小型网吧、办公室等内部主机不多的地方。通过拨号方式获取一个临时公网IP地址进行外网的访问。

（4） 扩展：SNAT与DNAT区别

       SNAT是私网访问外网时，报文中源IP地址（私网IP地址）转换为公网IP地址过程。此转换可以使用静态、动态等转换方式，且内部的多台主机共用同一公网IP地址进行外网访问。
       DNAT是外网访问私网时，报文中目的IP地址（公网IP地址）转换为私网IP地址过程。此转换过程可以使用静态、动态、端口等转换方式。

4、iptables实现SNAT和DNAT，并对规则持久保存。

SNAT：

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE

在总出口链上设置从内网段IP访问非内网段，则转换成当前自动获取到的公网IP

DNAT：

iptables -t nat -A PREROUTING -d 被访问的公网IP -p tcp|udp --dport 被访问公网IP的端口 -j DNAT --to-destination 被访问的内网主机IP：端口

iptables规则持久保存

iptables-save > /data/iptables.rule     #读取规则重定向到自定义以 .rule 结尾的文件中

echo "iptabes-restore < /data/iptables.rule">> /etc/re.d/re.local   #将加载规则写到开机自动加载的文件中

或者安装iptables.services 把规则写到  /etc/sysconfig/iptables  中