构建企业级DNS系统(九)bind DNS反向区和内置反向区

最新推荐文章于 2022-05-22 07:31:27 发布
最新推荐文章于 2022-05-22 07:31:27 发布
阅读量785 收藏 1
点赞数 1
分类专栏: # bind搭建DNS系统 文章标签: 运维 linux bind
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011288801/article/details/107306675
版权

DNS反向区

DNS域名解析过程通常是通过域名找到对应的IP地址,而有一些情况下我们希望通过IP找到对应的域名,这里涉及到以地址为域名命名空间即in-addr.arpa域,就是我们熟知的方向区。
下面我们用dig命令查询一下202.106.0.20这个公网IP对应的域名如下:

C:\Users\test>dig -x 202.106.0.20 @8.8.8.8

; <<>> DiG 9.7.2rc1 <<>> -x 202.106.0.20 @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53479
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;20.0.106.202.in-addr.arpa.     IN      PTR

;; ANSWER SECTION:
20.0.106.202.in-addr.arpa. 21511 IN     PTR     gjjline.bta.net.cn.

;; Query time: 150 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sun Jul 12 22:22:52 2020
;; MSG SIZE  rcvd: 75

可见反向区中的域名都是以.in-addr.arpa为后缀,而.in-addr.arpa最多可以有256个子域。下面是一个反向区的zone文件举例:

[root@localhost bind]# cat var/run/db.111.10.0 
$TTL 3h
0.10.111.in-addr.arpa. IN SOA dns.test.com. manager.test.com. (
	1	;Serial
	3h	;Refresh after 3 hours
	1h	;Retry after 1 hour
	1w	;Expire after 1 week
	1h )	;Negative caching TTL of 1 hour

0.10.111.in-addr.arpa. IN NS dns.test.com.
1.0.10.111.in-addr.arpa. IN PTR www.test.com.

named.conf主配置文件相关内容如下:

zone "0.10.111.in-addr.arpa" {
        type master;
        file "db.111.10.0";
};

解析测试111.10.0.1地址的域名结果如下:

[root@localhost bind]# dig -x 111.10.0.1 @192.168.3.160

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-16.P2.el7_8.6 <<>> -x 111.10.0.1 @192.168.3.160
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51578
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;1.0.10.111.in-addr.arpa.	IN	PTR

;; ANSWER SECTION:
1.0.10.111.in-addr.arpa. 10800	IN	PTR	www.test.com.

;; Query time: 0 msec
;; SERVER: 192.168.3.160#53(192.168.3.160)
;; WHEN: Sun Jul 12 10:46:11 EDT 2020
;; MSG SIZE  rcvd: 78

在实际使用过程中要注意地址在域名中是反过来的,虽然看起来有点别扭~

BIND内置反向区

当我们正常启动一个bind实例后,如果未创建任何的反向区,可动手做如下实验,通过反向解析测试10.10.10.1这个地址的对应的域名。正常来讲因为我们没有创建这个反向区,所以这个查询肯定是会触发程序到互联网做迭代,而如果所在的设备到互联网的网络不可达,那么解析结果肯定是失败的,但真实的情况如下:

[root@localhost bind]# dig -x 10.10.10.1 @192.168.3.160

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-16.P2.el7_8.6 <<>> -x 10.10.10.1 @192.168.3.160
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 40993
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;1.10.10.10.in-addr.arpa.	IN	PTR

;; AUTHORITY SECTION:
10.IN-ADDR.ARPA.	86400	IN	SOA	10.IN-ADDR.ARPA. . 0 28800 7200 604800 86400

;; Query time: 0 msec
;; SERVER: 192.168.3.160#53(192.168.3.160)
;; WHEN: Sun Jul 12 10:52:45 EDT 2020
;; MSG SIZE  rcvd: 102

解析结果并没有失败,而是直接应答NXDOMAIN,这个就奇怪了,难道bind程序内置了什么反向区?答案是:确实内置!
在bind源码的bin/named/server.c文件中能找到相关代码,如下:

/*
 * These zones should not leak onto the Internet.
 */
const char *empty_zones[] = {
        /* RFC 1918 */
        "10.IN-ADDR.ARPA", "16.172.IN-ADDR.ARPA", "17.172.IN-ADDR.ARPA",
        "18.172.IN-ADDR.ARPA", "19.172.IN-ADDR.ARPA", "20.172.IN-ADDR.ARPA",
        "21.172.IN-ADDR.ARPA", "22.172.IN-ADDR.ARPA", "23.172.IN-ADDR.ARPA",
        "24.172.IN-ADDR.ARPA", "25.172.IN-ADDR.ARPA", "26.172.IN-ADDR.ARPA",
        "27.172.IN-ADDR.ARPA", "28.172.IN-ADDR.ARPA", "29.172.IN-ADDR.ARPA",
        "30.172.IN-ADDR.ARPA", "31.172.IN-ADDR.ARPA", "168.192.IN-ADDR.ARPA",

        /* RFC 6598 */
        "64.100.IN-ADDR.ARPA", "65.100.IN-ADDR.ARPA", "66.100.IN-ADDR.ARPA",
        "67.100.IN-ADDR.ARPA", "68.100.IN-ADDR.ARPA", "69.100.IN-ADDR.ARPA",
        "70.100.IN-ADDR.ARPA", "71.100.IN-ADDR.ARPA", "72.100.IN-ADDR.ARPA",
        "73.100.IN-ADDR.ARPA", "74.100.IN-ADDR.ARPA", "75.100.IN-ADDR.ARPA",
        "76.100.IN-ADDR.ARPA", "77.100.IN-ADDR.ARPA", "78.100.IN-ADDR.ARPA",
        "79.100.IN-ADDR.ARPA", "80.100.IN-ADDR.ARPA", "81.100.IN-ADDR.ARPA",
        "82.100.IN-ADDR.ARPA", "83.100.IN-ADDR.ARPA", "84.100.IN-ADDR.ARPA",
        "85.100.IN-ADDR.ARPA", "86.100.IN-ADDR.ARPA", "87.100.IN-ADDR.ARPA",
        "88.100.IN-ADDR.ARPA", "89.100.IN-ADDR.ARPA", "90.100.IN-ADDR.ARPA",
        "91.100.IN-ADDR.ARPA", "92.100.IN-ADDR.ARPA", "93.100.IN-ADDR.ARPA",
        "94.100.IN-ADDR.ARPA", "95.100.IN-ADDR.ARPA", "96.100.IN-ADDR.ARPA",
        "97.100.IN-ADDR.ARPA", "98.100.IN-ADDR.ARPA", "99.100.IN-ADDR.ARPA",
        "100.100.IN-ADDR.ARPA", "101.100.IN-ADDR.ARPA", "102.100.IN-ADDR.ARPA",
        "103.100.IN-ADDR.ARPA", "104.100.IN-ADDR.ARPA", "105.100.IN-ADDR.ARPA",
        "106.100.IN-ADDR.ARPA", "107.100.IN-ADDR.ARPA", "108.100.IN-ADDR.ARPA",
        "109.100.IN-ADDR.ARPA", "110.100.IN-ADDR.ARPA", "111.100.IN-ADDR.ARPA",
        "112.100.IN-ADDR.ARPA", "113.100.IN-ADDR.ARPA", "114.100.IN-ADDR.ARPA",
        "115.100.IN-ADDR.ARPA", "116.100.IN-ADDR.ARPA", "117.100.IN-ADDR.ARPA",
        "118.100.IN-ADDR.ARPA", "119.100.IN-ADDR.ARPA", "120.100.IN-ADDR.ARPA",
        "121.100.IN-ADDR.ARPA", "122.100.IN-ADDR.ARPA", "123.100.IN-ADDR.ARPA",
        "124.100.IN-ADDR.ARPA", "125.100.IN-ADDR.ARPA", "126.100.IN-ADDR.ARPA",
        "127.100.IN-ADDR.ARPA",

        /* RFC 5735 and RFC 5737 */
        "0.IN-ADDR.ARPA",               /* THIS NETWORK */
        "127.IN-ADDR.ARPA",             /* LOOPBACK */
        "254.169.IN-ADDR.ARPA",         /* LINK LOCAL */
        "2.0.192.IN-ADDR.ARPA",         /* TEST NET */
        "100.51.198.IN-ADDR.ARPA",      /* TEST NET 2 */
        "113.0.203.IN-ADDR.ARPA",       /* TEST NET 3 */
        "255.255.255.255.IN-ADDR.ARPA", /* BROADCAST */

        /* Local IPv6 Unicast Addresses */
        "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6."
        "ARPA",
        "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6."
        "ARPA",
		        /* LOCALLY ASSIGNED LOCAL ADDRESS SCOPE */
        "D.F.IP6.ARPA", "8.E.F.IP6.ARPA", /* LINK LOCAL */
        "9.E.F.IP6.ARPA",                 /* LINK LOCAL */
        "A.E.F.IP6.ARPA",                 /* LINK LOCAL */
        "B.E.F.IP6.ARPA",                 /* LINK LOCAL */

        /* Example Prefix, RFC 3849. */
        "8.B.D.0.1.0.0.2.IP6.ARPA",

        /* RFC 7534 */
        "EMPTY.AS112.ARPA",

        /* RFC 8375 */
        "HOME.ARPA",
        NULL
};

所以,对于这些反向区,如果管理员不显示的在本地创建,那么默认就已经在程序运行的时候加载,自然也就应答NXDOMAIN。如果管理员显示的创建,那么优先级肯定要高于这个底层内置的。至于bind为什么要这么做,也许是因为这些地址本来在互联网域名体系中就解析不到,与其浪费DNS服务器递归资源到互联网迭代查询,还不如就本地直接应答。

这个特性在当bind用在企业数据中心内网做DNS系统时很重要,因为数据中心内部的主机IP基本是私网地址,宿主机上的应用在调用解析器时可能会自动的发起这些私网IP的方向PTR查询,如果管理员没有显示的创建这些私网地址的反向区,那么其实bind也会正常的应答,只是结果为NXDOMAIN(域名不存在)。

张舵主
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DNS反向域名解析之bind
qq_38419276的博客
05-06 227
客户端解析不成功 [14:42:08 root@sz-kx-centos8 ~]# dig -t ptr 48.0.31.172.in-addr.arpa ; <<>> DiG 9.11.20-RedHat-9.11.20-5.el8_3.1 <<>> -t ptr 48.0.31.172.in-addr.arpa ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode
bind服务8---主dns反向解析
frank_ci的博客
11-19 535
一、主配置文件 /etc/named.conf没有变化 二、域文件 在原先正向解析的基础上再另外加一个反向解析的zone域,原先说过,这里的“0”需要修改为ip地址的网络位,ip地址为10.1.2.84/23,如下图: 修改域文件 三、数据解析文件 需要有一个对应的反向解析数据文件,直接 cp -p 拷贝一份名为tianci.empty的数据解析文件。 修改的内容如下: 注意,反向解析的解析类型为PTR;解析的域名后面的逗号不要忘记了。 四、测试配置文件和域文件 利用named-check
智能DNS(Bind dlz)在企业中的应用
weixin_34364135的博客
11-30 174
【51CTO独家特稿】编者按:在大众网,智能DNS被用在绝大部分二级域名和一些非大众网域名上,一年多来运行的相当稳定。晓辉本次总结了过去一年来部署使用智能DNS过程中的操作步骤和一些经验心得,跟大家分享。 去年因为二级域名大量增加、Bind下管理不便的关系,在公司部署了智能DNSBind dlz),当时写过一篇部署文档进行了记录。不过在过去一年的使用当中,发现了其中不少的...
bind配置上之反向域和正向域的是实现
weixin_33851604的博客
03-20 600
DNS:Domain Name Server DNS其功能是实现名称解析主要包括两个方面: 正向解析:FQDN(完全主机名)--> IP 逆向解析:IP --> FQDN(完全主机名) DNS查询只有有两种: 1.迭代查询interation (查找时会得到参考答案的为迭代查询,客户端到根域的查找过程为迭代查...
基于Bind实现的DNS反向解析及主从DNS的配置
weixin_34087301的博客
03-12 146
一、什么是DNS?1.1 简单的理解,Domain Name System,是互联网一项核心的服务,他作为一个桥梁可以将域名和IP地址相互因素的一个分布式数据库,能够使人更加方便的访问互联网,而不用去记复杂的IP地址。1.2 DNS分成3类: 主DNSDNS 转发DNS1.3 DNS的查询方式 1.3.1 递归查询:只要发出递归查询,服务器必需回...
使用BIND系统和Mysql数据库构建智能DNS系统.pdf
09-30
使用BIND系统和Mysql数据库构建智能DNS系统.pdf
DNS and Bind 第五版和Pro DNS and Bind 10
02-13
DNS and Bind 第五版和Pro DNS and Bind 10, 两本很经典的DNS bind书籍,值得阅读或者当工具书使用
DNS正向解析与反向解析服务器配置
08-30
DNS 正向解析与反向解析...DNS 正向解析与反向解析服务器配置需要安装 bind 软件包,配置主配置文件和域配置文件,启动 named 服务,并测试 DNS 解析。通过正确配置 DNS 服务器,可以提供稳定可靠的域名解析服务。
Pro DNS and BIND 10英文版
02-24
BIND 10提供一个DNS的C++库和很多提供服务的守护进程、动态 DNS、zone 转换和域名服务等等。
文章《从零开始:使用 BIND 构建和管理您的 DNS 服务器》中的核心配置文件
最新发布
12-30
我文章《从零开始:使用 BIND 构建和管理您的 DNS 服务器》中的核心配置文件,如果大家自己在配置过程中遇到问题,可以下载下来比对一下是不是哪里配置错了! 文章链接地址:...
反向域解析
weixin_44515412的博客
05-21 369
1 vim /etc/named.rfc1912.zones zone "37.168.192.in-addr.arpa" { type master; file "192.168.37.zone"; }; 2 vim /var/named/192.168.37.zone $TTL 1D @ IN SOA ns1.magedu.com. admin ( 1 1D 1H 1W 2D ) NS ns1 ns1 A 192.168.37.7 6
域名系统DNS(二)正/反向
sinat_40356718的博客
12-24 455
==正向: 提供正向解析,即将域名解析为IP ==反向: 提供反向解析,即将IP解析为域名 [了解] 一.正向 IP:172.16.84.128 域名:uplooking.com 方法如下: 1. 安装软件: # yum install bind -y 2. 查看配置文件: #rpm -ql bind    /etc/named.conf      -----主
42 bind-正反向域配置
lc2019的博客
04-20 452
dns配置流程 1.配置域 2.配置域数据库文件 3.服务重载 正向解析 1.配置解析一个正向域 vim /etc/named.rfc1912.zones zone "leicc.com" IN { type master; file "leicc.com.zone"; }; 2.建立域数据文件 vim /var/named/leicc.com.zon...
系统运维-18-2-bind高级应用之主从同步与反向解析
拙能胜巧
01-16 596
1.关于host命令 host -t NS example.com 172.20.0.131解析名称空间服务。host -t MX example.com 172.20.0.131解析邮件服务。 [root@lab1 named]# host -t NS example.com 172.20.0.131 Using domain server: Name: 172.20.0.131 Addre...
Centos下内网DNS主从环境部署记录
jj1130050965的博客
02-24 2339
Centos下内网DNS主从环境部署记录 一、DNS是什么? DNS(Domain Name System),即域名系统。它使用层次结构的命名系统,将域名和IP地址相互映射,形成一个分布式数据库系统DNS采用C-S架构,服务器端工作在UDP协议端口53和TCP协议端口53上。FQDN(Fully Qualified Domain Name)完全限定域名,它是使用DNS的树状层级结构的完全路径域名来表示一个准确位置对应的主机。DNS提供正向解析(FQDN-->IP)和反向解析(IP--.
gentoo 平台上安装 sendmail 邮件服务器,以及dovecot收件器,及相应配置
jixiuffff的专栏
09-18 5350
sendmail 要用到域名解析,反向域名解析,所以要选安装dns 服务器bind,安装方法及配置见http://blog.csdn.net/jixiuffff/archive/2009/11/07/4782285.aspx简要摘写如下/etc/bind/named.confoptions { directory "/var/bind"; // uncomment the following lines to turn on DNS forwarding, // and change the f
2019各个省会城市全新DNS大全一
热门推荐
zhaojiafu的博客
04-09 3万+
114.114.114.114 和 114.114.115.115 114.114.114.114/114.114.115.115 114.114.114.119 和 114.114.115.119 114.114.114.110 和 114.114.115.110 谷歌DNS服务器8.8.8.8/8.8.4.4 IBM的DNS服务器9.9.9.9 1.1.1.1 168.95.192.1 168...
Linux服务器DNS服务器配置实现bind的正向解释和反向解释
风水道人
05-22 1033
Linux服务器DNS服务器配置实现bind的正向解释和反向解释
Linux下配置dns反向解析服务(基于bind9)
weixin_46540009的博客
11-05 2396
Linux环境下配置dns反向解析服务 DNS系统 域名系统DNS)是一个分层的分布式数据库。它存储用于将Internet主机名映射到IP地址(反之 亦然)的信息、邮件路由信息以及Internet应用程序使用的其他数据。 客户端通过调用解析器库在DNS中查找信息,解析器库向一个或多个名称服务器发送查询并解释响 应。BIND 9软件发行版包含一个名称服务器,named和一个名为liblwres的解析器库 1.安装相关包 [root@baidu ~]# dnf install bind bind-utils
bind 如何设置 反向解析
04-27
要设置反向解析,需要在 DNS 服务器上为 IP 地址配置 PTR 记录。在 bind 中,可以通过以下步骤设置反向解析: 1. 打开 named.conf 文件,找到 zone 部分,添加以下内容: zone "x.x.x.in-addr.arpa" { type master; file "x.x.x.zone"; }; 其中,x.x.x 是你要设置反向解析的 IP 地址段,比如 192.168.0。 2. 创建反向解析文件 x.x.x.zone,添加以下内容: $TTL 86400 @ IN SOA ns1.example.com. admin.example.com. ( 2001062501 ; serial number 28800 ; refresh 7200 ; retry 604800 ; expire 86400 ; minimum TTL ) IN NS ns1.example.com. IN NS ns2.example.com. 1 IN PTR host1.example.com. 2 IN PTR host2.example.com. 其中,1 和 2 是你要设置反向解析的 IP 地址的最后一段,host1.example.com 和 host2.example.com 是对应的主机名。 3. 重启 bind 服务,使配置生效。 以上就是在 bind 中设置反向解析的基本步骤。需要注意的是,如果要同时设置正向解析和反向解析,需要分别配置对应的 zone 和文件,并保证它们的信息一致。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值