Linux下DNS域名解析的服務以及配置(企業級)
DNS域名解析的配置
正向解析
在服務端
1.編輯named服務配置檔案vim /etc/named.conf
刪除指向114.114.114.114那行
2.編輯配置檔案vim /etc/named.rfc1912.zones 這個檔案是/etc/named.conf的附屬檔案,因為把內容寫到/etc/named.conf太長了
設定域名為westos.com 檔案 為westos.com.zone
3.cp -p named.ocalhost westos.com.zone -p按許可權拷貝 等於給westos.com.zone一個模板,便於編輯
寫入解析時的答案
$TTL 1D 快取一天
refresh 重新整理時間
retry 測試
expire 過期時間
minimum 最小訪問時間
4.systemctl restart named 重新啟動named服務
5.關閉服務端防火牆
在客戶端
1.先關閉防火牆
2.在編輯配置檔案 vim /etc/resolv.conf
把dns指向改為服務端的ip
3.測試 ,dig www.westos.com 解析我們剛配置的解析檔案
郵件 ,CNAME 解析
在服務端
1.編輯我們剛才建立的westos.com.zone
mx 郵件解析記錄
CNAME 將規範名稱轉換成不規範名稱在作解析
smtp協議 25埠
SOA 授權啟使 意思就是訪問者的答案是來自哪裡的
mx 10 後面的數字是優先順序的意思
A 普通解析
2.重啟named服務
在客戶端
1.測試我們剛才新增的郵件解析是否成功
2.檢視cname解析,是否存在
3.傳送郵件看是否能成功
反向解析
PTR反向解析記錄
在服務端
1.vim /etc/named.rfc1912.zones 加入方向解析的域
zone "71.25.172.in-addr.arpa" IN {
type master;
file "172.25.71.ptr";
allow-update { none; };
解析檔案指向172.25.71.ptr
2.cp -p named.loopback 172.25.71.ptr 按許可權複製反向解析的模板
3.vim 172.25.71.ptr ##編輯反向解析檔案
會發現和正向解析的位置剛好相反,前面是ip,後面是域
PTR 反向解析記錄
在客戶端
測試
1.修改dns指向服務端
2.dig 172.25.71.110
內外網分別解析
在服務端
1.vim /etc/sysconfig/network-scripts/ifcfg-eth0 ##給server再新增加ip為1.1.1.100
有兩個ip 一個為內網 一個為外網
2.重啟網路,使得新增的ip生效
3.cp -p westos.com.zone westos.com.inter 按權拷貝剛才建立的westos.com.zone 並取名為westos.com.zone 意思是內網的解析檔案
4.vim westos.com.inter ##編輯內網的解析檔案
為了方便,我們把剛才的172.25.71全部改成1.1.1
5.cp -p /etc/named.rfc1912.zones /etc/named.rfc1912.inter 按權拷貝域的指向檔案 取名為.inter 意思是外網的
6.vim /etc/named.rfc1912.inter ##編輯檔案
加一個指向內網解析檔案的部分
7.vim /etc/namd.conf 編輯named的配置檔案
/*
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.zones";
*/ 把以前外網的註釋掉
view localnet{ 內網
match-clients {1.1.1.0/24;}; 只允許1.1.1網端的使用者解析
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.inter"; 讀檔案.inter
};
view internet{ 外網
match-clients {any;}; 任何人都可以解析
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.zones"; 讀檔案.zones
};
include "/etc/named.root.key";
8.重新啟動named服務
systemcel restart named
在客戶端
1.給自己設定一個網段為1.1.1的ip
2.在vim /etc/rfsolv.conf 把自己的dns指向 服務端ip 1.1.1.100
3.dig www.westos.com 發現解析的是內網的解析
輔助DNS
當一個dns域名訪問量多的時候,為了減輕主dns的壓力,需要再配置一個輔助的dns
#在服務端
配置輔助dns伺服器
1.先配置ip,我們這裡給配置ip為172.25.71.100
2.搭建yum源,下載named服務
3.vim /etc/named.rfc1912.zones 編輯這個檔案
從主dns獲取檔案
存到 salaves/westos.com.zone
4.編輯vim /etc/named.conf配置檔案,和前面主伺服器的配置檔案一樣
5.開啟named服務,注意要敲鍵盤
6.關主輔dns伺服器的火牆,因為要進行資料交換
7.再重新啟動named服務時會發現 /var/named/slaves/westos.com.zone檔案生成
配置主dns伺服器
1.編輯配置檔案 vim /etc/named.rfc1912.zones
允許172.25.71.100也就是輔助dns伺服器去獲取和同步westos.com.zone
2.重啟named服務
在客戶端
1.把自己的dns指向換成輔助dns伺服器的ip會發現,也可以得到 www.westos.com的解析
2.dig www.westos.com
更新服務端DNS
因為要進行更新所以做之前cp -p westos.com.zone /mnt/ 備份一下
服務端:
1.chmod 770 /var/named/ ##給許可權這個目錄許可權,為的是客戶端更新沒有許可權限制
2.檢視selinux的狀態,開啟的話,要開啟域的寫許可權
[[email protected] named]# getenforce
Enforcing
[[email protected] named]# getsebool -a | grep named
named_tcp_bind_http_port --> off
named_write_master_zones --> on
3。vim /etc/named.rfc1912.zones 編輯檔案
allow-update { 172.25.71.100; }; 把允許更新的ip改為客戶端的ip
4.重新啟動服務
客戶端:
進行dns更新
nsupdate 更新命令
server 172.25.71.200 更新的伺服器ip
update add test.westos.com 86400 A 172.25.254.199 新增一個test.westos.com
send
##更新會在主dns伺服器 /var/named/下生成westos.com.zone.jnl資料,重啟服務後westos.com.zone裡的資料會改變
重啟服務
可以看到新增的test.westos,com
金鑰更新服務端DNS
因只用識別ip的形式更新服務端dns不安全,所以採用金鑰形式更新服務端dns,安全性就提高了
做這個實驗之前把前面實驗更新的dns刪除,把備份的westos.com.zone拷貝回來
在服務端
1.先生成md5型別的金鑰,因為mnt下檔案少,所以選擇在mnt下進行,此處生成時也需要敲鍵盤
2.cp -p /etc/rndc.key /etc/westos.key 因為我們要有一個這個金鑰的配置檔案,所以按許可權拷貝系統中有的一個金鑰的配置檔案
3.cat Kwestoskey.+157+63982.key ##檢視金鑰的加密字元字元,並拷貝
4.編輯剛才建立的 westos.key
加密型別md5 ,加密字元寫入
5.編輯檔案 vim /etc/named.rfc1912.zones
把可更新使用者改為有westoskey金鑰的使用者可以更新
6.編輯檔案 vim /etc/named.conf
把剛才那個金鑰檔案寫入
7.重新啟動named服務
8.給客戶端上傳金鑰
在客戶端
1.檢視是否接收到金鑰
2.用金鑰更新伺服器dns
在服務端
#看是否有更新的jnl檔案 ,重啟服務named,檢視解析檔案
重啟服務
檢視,發現www.westos.com解析被更新刪除
動態DNS域名解析
在服務端**
####配置DHCP服務#####
1.配置yum源,下載dhcp服務
2.vim /etc/dhcp/dhcp.conf 配置dhcp的配置檔案
注意servers後的ip為本機的ip
修改14行
#######前面一個實驗已經給伺服器和客戶端配置(此實驗用於域名解析的伺服器)的key服務了,所以現在我們直接用
檔案的最後新增可更新dns的key
key dns的key名稱 {
algorithm hamc-md5;
secret dns的key的加密字元;
};
檔案最後新增要更新的dns的域資訊
zone 要更新的域名. {
primary 127.0.0.1; 問自己
key dns的key名稱;
}
開啟dncp服務
客戶端配置(此實驗用於域名解析的伺服器)**
1.修改主機名稱為 game.westos.com
2.重啟網路,獲取一個動態ip ,
3.把dns指向寫成服務端的ip,現在當成客戶端
4.dig game.westos.com 可以看到他的解析地址就是本機獲取的ip
對比
在服務端把dhcp發放ip範圍改一下
重啟dhcp服務
在客戶端(此實驗用於域名解析的伺服器)
重置網路,獲取新的ip 可以看到變成110了
重新dig game.westos.com 可以看到解析地址變化了,是我們剛才獲取的新ip