DNS服务器搭建与配置
一、DNS:
DNS (Domain Name System)域名系统,它是一种将ip地址转换成对应的主机名或将主机名转换成与之相对应ip地址的一种机制。其中通过域名解析出ip地址的叫做正向解析,通过ip地址解析出域名的叫做反向解析。
二、正向解析 (根据域名查找对应的IP地址)
- 创建镜像挂载点,挂载镜像
mkdir /mnt/cdrom mount /dev/cdrom /mnt/cdrom
- 修改yum配置文件
vim /etc/yum.repos.d/CentOS-Media.repo
- 重命名CentOS-Base.repo为CentOS-Base.repo_back 使网络yum失效
mv CentOS-Base.repo CentOS-Base.repo.back
- 安装bind软件包
yum -y insatll bind
配置DNS的主配置文件/etc/named.conf 将listen-on port 53{ ;};中的内容地址修改为any;将allow-query { ;}; 中的内容修改为any
配置区域文件 /etc/named.rfc1912.zones,将原有文件内的信息清空,只保留自己的域名解析信息
zone "free.com" IN { 域名 type master; hint为根区域 master为主 slave为从 file ”free.com.zone"; 文件位置 allow-update {none;} };
- 配置数据文件 /var/named
在之前,将/var/named文件里的钟祥解析的模板文件(named.localhost)复制一份到 -a参数可以保 留 原始文件的所有者 所属组 权限属性等信息,以便让bind服务程序顺利读取文件内容cp -a named.localhost free.com.zone # 编辑free.com.zone 在末尾添加dns 和 www vim free.conf.zone dns IN A 192.168.2.80 www IN A 192.168.2.80 地址记录(www.free.com )
- setup 修改网络配置参数 添加dns地址
- 测试 ping www.free.com
三、反向解析(根据IP地址解析为对应的域名信息)
在/etc/named.rfc1912.zone中添加内容
# 在之前,将/var/named文件里的钟祥解析的模板文件(named.loopback)复制一份到 -a参数可以保留原始文件的所有者 所属组 权限属性等信息,以便让bind服务程序顺利读取文件内容 cp -a named.loopback 192.168.3.arpa # 因为是反向解析,把IP地址解析成域名格式,因此在zone(区域)中要把IP地址反写 比如192.168.10.0 要写成10.168.192 而且只需要写出网络位即可 zone "2.168.192.in-addr.arpa" IN { type master; file "192.168.2.arpa"; }"
修改数据配置文件
10 IN PTR www.free.com # 在192.168.2.arpa反向区域数据文件中 对应的是192.168.2.10的IP地址 10 IN PTR mail.free.com 10 IN PTR ns.free.com 80 IN PTR bbs.free.com # 在192.168.2.arpa反向区域数据文件中 对应的是192.168.2.80的IP地址
四、重启服务
service named restart
五、测试
nslookup
>192.168.2.10
>192.168.2.80
部署主从服务器
作为重要的额互联网基础设施服务,保证DNS域名解析服务的这正常运转至关重要,只有这样才能提供稳定、快速且不间断的域名查询服务。在DNS域名解析服务中,从服务器可以从主服务器上获取指定的数据文件,从而起到备份解析记录与负载均衡的作用,减轻主服务器的负载压力,提高用户的查询效率。
一、环境
主服务器 centos6.5 192.168.3.2
从服务器 centos6.5 192.168.3.3
二、主服务器
编辑/etc/named.rfc912.zone 内容
- 正向解析
zone "free.com" IN { 域名 type master; hint为根区域 master为主 slave为从 file ”free.com.zone"; 文件位置 allow-update {192.168.3.3;} 允许192.168.3.3的主机从此更新 };
- 反向解析
zone "2.168.192.in-addr.arpa" IN { type master; file "192.168.3.arpa"; allow-update { 192.168.3.3;}; }"
三、从服务器(注意添加主服务器的IP地址)
- 正向解析
zone "free.com" IN { 域名 type slave; hint为根区域 master为主 slave为从 master {192.168.3.2;}; file ”slaves/free.com.zone"; 文件位置 };
- 反向解析
zone "2.168.192.in-addr.arpa" IN { type slave; master {192.168.3.2;}; file "slaves/192.168.3.arpa"; }"
四、关闭防火墙
iptbles -F
五、检查
使用nslookup检查
安全的加密传输
bin服务查询为了提供安全的解析服务,对TSIG加密机制提供了支持,利用TSIG加密机制保证了DNS服务器之间传输域名区域信息的安全性。
一、主服务器
- 在主服务器上生成密钥,
dnssec-keygen [参数] -a 指定加密算法,包括RSAMD5(RSA) RSASHAI DSA NSEC3RSASHAI NSEC3DSA等 -b 密钥长度(HMAC-MD5 的密钥长度在1~512位之间) -n 密钥类型 (host表示与主机相关) # 例如生成一个主机名为master-slave的128位HMAC-MD5算法的密钥文件 dnssec-keygen -a HMAC-MD5 -b 128 -n HOST master-slave # 将生成一个.key 的公钥 和 .private的私钥
- 查看私钥(记住)
cat Kmster-slave.+157+46845.private
- 在主服务器上创建密钥验证文件
cd /var/named/chroot/etc/ vim transfer.key key "master-slave " { algorithm hmac-md5; secret " Key "; };
- 修改文件所属组
chown root:named transfer.key
- 修改transfer的权限
chmod 640 transfer.key
- 创建连接 硬连接到/etc目录中
ln transfer.key /etc/transfer.key
- 开启和加载Bind服务的密钥功能
vim /etc/named.conf # 在第9行的位置加入 include "/etc/transfer.key "; # 在第18行的位置加入 allow-transfer { key master-slave; };
二、从服务器
- 删除/var/named/slaves文件夹下的所有文件
rf -rm /var/named/slaves/*
- 重启dns服务
service named restart
- 在从服务器中的bind服务程序的配置文件目录下中创建密钥认证文件
cd /var/named/chroot/etc/ vim transger.key key "master-slave" { algorithm hmac-md5; secret "Key "; };
- 修改transfer.key的所属组
chown root:named transfer.key
- 修改transfer的权限
chmod 640 transfer.key
- 将文件硬连接到/etc中
ln transfer.key /etc/transfer.key
- 开启并加载从服务器的密钥验证功能
vim /etc/named.conf # 在第9行的位置加入 include ”/etc/transfer.key"; # 在43行的位置加入 server 192.168.3.2 { keys { master-slave; }; };
- 重启dns服务并查看/var/named/slaves/目录下的文件