Ubuntu配置DNS服务器--bind精品资料.doc-道客多多

资源描述

1、Ubuntu配置DNS服务器bind3. BIND9 的安装与配置3.1 bind简介BIND (Berkeley Internet Name Domain)是Domain Name System (DNS) 协议的一个实现，提供了DNS主要功能的开放实现，包括* 域名服务器 (named)* DNS解析库函数* DNS服务器运行调试所用的工具是一款开放源码的DNS服务器软件，由美国加州大学Berkeley分校开发和维护的，按照ISC的调查报告，BIND是世界上使用最多最广泛的域名服务系统。不论你的邮件服务器，WEB服务器或者其他的services如何的安全可靠，DNS的故障会给你带来用户根本

2、无法访问这些服务。BIND，也是我们常说的named，由于多数网络应用程序使用其功能，所以在很多BIND的弱点及时被发现。主要分为三个版本：v41998年多数UNIX捆绑的是BIND4，已经被多数厂商抛弃了，除了OpenBSD还在使用。OpenBSD核心人为BIND8过于复杂和不安全，所以继续使用BIND4。这样一来BIND8/9的很多优点都不包括在v4中。v8就是如今使用最多最广的版本，其详细内容可以参阅 BIND 8+ 域名服务器安全增强v9最新版本的BIND，全部重新写过，免费（但是由商业公司资助），也添加了许多新的功能（但是安全上也可能有更多的问题）。BIND9在2000年十月份推出，

3、现在稳定版本是9.3.2。3.2 软件的相关资源官方网站：最新版本: 9.3.2 http:/www.isc.org/sw/bind/bind9.3.php#download帮助文档： http:/www.isc.org/sw/bind/配置文件样例： FAQ: 3.3 配置环境环境：GNU/Linux Debian/testing Linux 2.6.8-2-386版本：bind9 9.3.2-2测试域名：mydebian.org测试ip: 192.168.102.47 主域名服务器 192.168.102.48 纯缓存域名服务器192.168.102.49 辅助域名服务器192.168.

4、102.49 测试客户机3.4 配置文件说明安装bind9的命令：# aptitude update# aptitude install bind9 bind9-host dnsutils配置文件族：# ls /etc/bind/ -ltotal 44-rw-r-r- 1 root root 237 Jan 16 2006 db.0-rw-r-r- 1 root root 271 Jan 16 2006 db.127-rw-r-r- 1 root root 237 Jan 16 2006 db.255-rw-r-r- 1 root root 353 Jan 16 2006 db.empty-r

5、w-r-r- 1 root root 256 Jan 16 2006 db.local-rw-r-r- 1 root root 1507 Jan 16 2006 db.root-rw-r-r- 1 root bind 1611 Jan 16 2006 named.conf-rw-r-r- 1 root bind 165 Jan 16 2006 named.conf.local-rw-r-r- 1 root bind 672 Jan 16 2006 named.conf.options-rw-r- 1 bind bind 77 Aug 4 08:41 rndc.key-rw-r-r- 1 roo

6、t root 1317 Jan 16 2006 zones.rfc1918配置文件说明：named.conf设置一般的named参数，指向该服务器使用的域数据库的信息源named.conf.options全局选项db.root根服务器指向文件，由Internet NIC创建和维护，无需修改，但是需要定期更新db.locallocalhost正向区文件，用于将名字localhost转换为本地回送IP地址 (127.0.0.1)db.127localhost反向区文件，用于将本地回送IP地址(127.0.0.1)转换为名字localhost其中，主配置文件/etc/named.conf的配置

7、语句命令用法 acl 定义IP地址的访问控制清单 control 定义ndc使用的控制通道 include 把其他文件包含到配置文件中 key 定义授权的安全密钥 logging 定义日志写什么，写到哪 opitons 定义全局配置选项和缺省值 server 定义远程服务器的特征 trunsted-keys 为服务器定义DNSSEC加密密钥 zone 定义一个区默认情况下，内容如下：include /etc/bind/named.conf.options;zone . type hint;file /etc/bind/db.root;zone localhost type master;f

8、ile /etc/bind/db.local;zone 127.in-addr.arpa type master;file /etc/bind/db.127;zone 0.in-addr.arpa type master;file /etc/bind/db.0;zone 255.in-addr.arpa type master;file /etc/bind/db.255;include /etc/bind/named.conf.local;其中type项的值：master:表示定义的是主域名服务器slave :表示定义的是辅助域名服务器hint:表示是互联网中根域名服务器在Debian环境中，

9、options语句的配置内容，被移至named.conf.options文件中：options directory /var/cache/bind;/ If there is a firewall between you and nameservers you want/ to talk to, you might need to uncomment the query-source/ directive below. Previous versions of BIND always asked/ questions using port 53, but BIND 8.1 and later

10、 use an unprivileged/ port by default./ query-source address * port 53;/ If your ISP provided one or more IP addresses for stable/ nameservers, you probably want to use them as forwarders./ Uncomment the following block, and insert the addresses replacing/ the all-0s placeholder./可以将下面的注释去掉添加原来的dns

11、（可加多个）/ forwarders / 0.0.0.0;/ ;auth-nxdomain no; # conform to RFC1035;3.5 创建主域名服务器a. 首先, 在在192.168.102.47机器上安全bind9b. 使用编辑器，比如vi，编辑配置文件/etc/bind/named.conf注：在ubuntu中还有一个 /etc/bind/named.conf.local （效果相同）加入如下内容zone mydebian.org type master; /定义此区为主服务器file /etc/bind/db.mydebian; /指定区资源文件的位置;zone 102

12、.168.192.in-addr.arpa type master; /定义此区为主服务器file /etc/bind/db.192; /指定区资源文件的位置;c. 创建区资源文件:创建区资源文件/etc/bind/db.mydebian内容如下; BIND data file for local loopback interface;$TTL 604800$ORIGIN mydebian.org. IN SOA mydebian.org. root.mydebian.org. (2006080401 ; Serial604800 ; Refresh86400 ; Retry2419200 ;

13、 Expire604800 ) ; Negative Cache TTL; IN NS ns IN MX 0 mail.mydebian.org. IN A 192.168.102.47ns IN A 192.168.102.47www IN A 192.168.102.47webserver IN CNAME wwwmail IN A 192.168.102.47ftp IN A 192.168.102.48ns2 IN A 192.168.102.48ns3 IN A 192.168.102.49第一行是TTL设定，生存时间记录字段。它以秒为单位定义该资源记录中的信息存放在高速缓存中的时间

14、长度。这里定义为604800秒，也就是1周.第二行是$ORIGIN设定,说明下面的记录出自何处.请您加倍留意最后的一个小小数点.然后,第三行,是一个 SOA 记录的设定,在这里我们看到一个特殊字符 ,它就是 ORIGIN 的意思,也就是刚刚所定义的$ ORIGIN mydebian.org. 的内容，您可以写成 mydebian.org. 也可以用来代替。假如这个文件前面没有定义 $ ORIGIN 的话, 那這个的值就以 named.conf 里的 zone .接着 SOA 后面，指定了这个区域的授权主机和管理者的信箱，这里分别是mydebian.org. 和root.mydebian.

15、org.。我们平时使用的信箱通常是“userhost”这样的格式，但因为在 DNS 记录中是个保留字符，所以在 SOA 中就用“.”来代替了。目前这个信箱是 rootmydebian.org.。接下来的 SOA 设置，是被括在“( )”之间的 5 组数字，主要作为和 slave 服务器同步 DNS 资料所使用的资料：Serial：其格式通常会是“年月日+修改次序”(但也不一定如此，您自己能够记得就行)。当 slave 要进行资料同步的时候，会比较这个号码。如果发现在这里的号码比它那边的数值“大”，就进行更新，否则忽略。不过设 serial 有一个地方您要留意：不能超过 10 位数字！Refr

16、esh：这里是是告诉 slave 要隔多久要进行资料同步(是否同步要看 Serial 的比较结果)。Retry：如果 slave 在进行更新失败后，要隔多久再进行重试。Expire：这是记录逾期时间：当 slave 一直未能成功与 master 取得联系，那到这里就放弃 retry，同时这里的资料也将标识为过期(expired )。Minimum：这是最小默认 TTL 值，如果您在前面没有用“$TTL”来定义，就会以此值为准。请注意：SOA 记录中这对 “ ( ) ”符号之第一个 “ (”括号一定要和 SOA 写在同一行，而不能用 Enter 断行到下一行去,而且其左边最好有一个空格键或 t

17、ab 建。而最后一个 “ )”括号也不能写在注解符号 “ ；”的右边。置 DNS 的 RR 记录档，其格式要求非常严格，我们丝毫不能掉以轻心。比方说：如果句子不是以空格键、Tab 键、或注解符号 ( ; )开头，也不在 SOA 的 “ ( ) ”之内，则表示要定义一个“新记录项 (Entry) ”；如果句子是以空格键或 tab 键开始的话，其设置被视为上一个“记录项”的内容。所以，如果您要为“同一个记录项”定义多个记录设置，而不想重复打字，您倒可以偷懒：在接着它的后面几行用空白或 Tab 来缩排就可以了。NS表明负责mydebian.org.这个域的Name Server是mydebi

18、an.org这台主机MX记录标明发往mydebian.org域的邮件由mail.mydebian.org这台服务器接收A记录标明了IP地址和域名之间的对应关系接下来创建该区的反向映射资源文件/etc/bind/db.192内容如下：; BIND reverse data file for local loopback interface;$TTL 604800 IN SOA mydebian.org. root.mydebian.org. (2006080401 ; Serial604800 ; Refresh86400 ; Retry2419200 ; Expire604800 ) ; Ne

19、gative Cache TTL; IN NS mydebian.org.47 IN PTR mail.mydebian.org.47 IN PTR http:/www.mydebian.org.47 IN PTR ns.mydebian.org.48 IN PTR ftp.mydebian.org.48 IN PTR ns2.mydebian.org.49 IN PTR ns3.mydebian.org.其中PTR记录用来解析IP地址对应的域名，也就是反向域名解析，如果客户端用nslookup，显示cant find server name，就要检查一下这里d. 重启DNS服务sudo /e

20、tc/init.d/bind9 restart注：DNS服务只对该服务启动前本机的ip地址有效，具体状况可通过 sudo netstat -atnpl 查询（端口53）此时查看系统日志，可了解BIND的启动情况，比如如下输出，则说明引导正常tonybox:# tail /var/log/syslogAug 14 08:36:45 localhost named2792: zone 127.in-addr.arpa/IN: loaded serial 1Aug 14 08:36:45 localhost named2792: zone 102.168.192.in-addr.arpa/IN: l

21、oaded serial 2006080801Aug 14 08:36:45 localhost named2792: zone 255.in-addr.arpa/IN: loaded serial 1Aug 14 08:36:45 localhost named2792: zone localhost/IN: loaded serial 1Aug 14 08:36:45 localhost named2792: zone mydebian.org/IN: loaded serial 2006080801Aug 14 08:36:45 localhost named2792: runningA

22、ug 14 08:36:45 localhost named2792: zone mydebian.org/IN: sending notifies (serial 2006080801)Aug 14 08:36:45 localhost named2792: zone 102.168.192.in-addr.arpa/IN: sending notifies (serial 2006080801)Aug 14 08:36:45 localhost named2792: client 192.168.102.47#1030: received notify for zone mydebian.

23、orgAug 14 08:36:45 localhost named2792: client 192.168.102.47#1030: received notify for zone 102.168.192.in-addr.arpae. 在客户机上的设置# cat /etc/resolv.confsearch mydebian.orgnameserver 192.168.102.47每次重启计算机之后这个文件都会被自动改写，所以每次重启后需要手动设置此文件f. 测试：使用nslookup 测试tonybox2:# nslookup set type=any mydebian.orgServe

24、r: 192.168.102.47Address: 192.168.102.47#53mydebian.orgorigin = mydebian.orgmail addr = root.mydebian.orgserial = 2006080801refresh = 604800retry = 86400expire = 2419200minimum = 604800mydebian.org nameserver = ns.mydebian.org.mydebian.org mail exchanger = 0 mail.mydebian.org.Name: mydebian.orgAddre

25、ss: 192.168.102.47使用dig测试tonybox2:# dig 192.168.102.47 mydebian.org; DiG 9.3.2 192.168.102.47 mydebian.org; (1 server found); global options: printcmd; Got answer:; -HEADER- opcode: QUERY, status: NOERROR, id: 41793; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1; QUESTION SECT

26、ION:;mydebian.org. IN A; ANSWER SECTION:mydebian.org. 604800 IN A 192.168.102.47; AUTHORITY SECTION:mydebian.org. 604800 IN NS ns.mydebian.org.; ADDITIONAL SECTION:ns.mydebian.org. 604800 IN A 192.168.102.47; Query time: 31 msec; SERVER: 192.168.102.47#53(192.168.102.47); WHEN: Mon Aug 14 09:16:27 2

27、006; MSG SIZE rcvd: 79tonybox2:# dig 192.168.102.47 ftp.mydebian.org; DiG 9.3.2 192.168.102.47 ftp.mydebian.org; (1 server found); global options: printcmd; Got answer:; -HEADER- opcode: QUERY, status: NOERROR, id: 63890; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1; QUESTION

28、 SECTION:;ftp.mydebian.org. IN A; ANSWER SECTION:ftp.mydebian.org. 604800 IN A 192.168.102.48; AUTHORITY SECTION:mydebian.org. 604800 IN NS ns.mydebian.org.; ADDITIONAL SECTION:ns.mydebian.org. 604800 IN A 192.168.102.47; Query time: 22 msec; SERVER: 192.168.102.47#53(192.168.102.47); WHEN: Mon Aug

29、14 09:16:41 2006; MSG SIZE rcvd: 83反向查询tonybox2:# dig 192.168.102.47 -x 192.168.102.47; DiG 9.3.2 192.168.102.47 -x 192.168.102.47; (1 server found); global options: printcmd; Got answer:; -HEADER- opcode: QUERY, status: NOERROR, id: 21885; flags: qr aa rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 1, ADDI

30、TIONAL: 1; QUESTION SECTION:;47.102.168.192.in-addr.arpa. IN PTR; ANSWER SECTION:47.102.168.192.in-addr.arpa. 604800 IN PTR http:/www.mydebian.org.47.102.168.192.in-addr.arpa. 604800 IN PTR mail.mydebian.org.47.102.168.192.in-addr.arpa. 604800 IN PTR mydebian.org.; AUTHORITY SECTION:102.168.192.in-a

31、ddr.arpa. 604800 IN NS mydebian.org.; ADDITIONAL SECTION:mydebian.org. 604800 IN A 192.168.102.47; Query time: 33 msec; SERVER: 192.168.102.47#53(192.168.102.47); WHEN: Mon Aug 14 09:17:00 2006; MSG SIZE rcvd: 1383.6 纯缓存域名服务器192.168.102.48 为我们的dns 缓存服务器，首先, 在在192.168.102.48 机器上安全bind9, 在配置前我们用dig 进行

32、测试tonybox2:/etc/bind# dig 192.168.102.48 http:/www.mydebian.org; DiG 9.3.2 192.168.102.48 http:/www.mydebian.org; (1 server found); global options: printcmd; Got answer:; -HEADER- opcode: QUERY, status: SERVFAIL, id: 34137; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0; QUESTION

33、SECTION:;www.mydebian.org. IN A; Query time: 1844 msec; SERVER: 192.168.102.48#53(192.168.102.48); WHEN: Tue Aug 8 12:05:17 2006; MSG SIZE rcvd: 34修改named.conf.options文件tonybox2:/etc/bind# cat named.conf.optionsoptions directory /var/cache/bind;/ If there is a firewall between you and nameservers yo

34、u want/ to talk to, you might need to uncomment the query-source/ directive below. Previous versions of BIND always asked/ questions using port 53, but BIND 8.1 and later use an unprivileged/ port by default./ query-source address * port 53;/ If your ISP provided one or more IP addresses for stable/

35、 nameservers, you probably want to use them as forwarders./ Uncomment the following block, and insert the addresses replacing/ the all-0s placeholder.forwarders 192.168.102.47; /主域名服务器的IP地址;auth-nxdomain no; # conform to RFC1035;然后再进行测试tonybox2:/etc/bind# dig 192.168.102.48 http:/www.mydebian.org; D

36、iG 9.3.2 192.168.102.48 http:/www.mydebian.org; (1 server found); global options: printcmd; Got answer:; -HEADER /var/named/named.ca3.7 辅助域名服务器a. 192.168.102.49 为我们的dns 缓存服务器，首先, 在在192.168.102.49 机器上安全bind9,b. 在主配置文件/etc/named.conf中加入如下内容：zone mydebian.org type slave;file /etc/bind/slaves/db.mydebia

37、n;masters 192.168.102.47;zone 102.168.192.in-addr.arpa type slave;file /etc/bind/slaves/db.192;masters 192.168.102.47;type后面的值已经成为slave; 表示定义的是辅助域名服务器file后面也可以是别的文件名不必与主域DNS服务器的设置一样masters 后为主域DNS服务器的IP地址，可以是多个IP，型如masters ip1;ip2;ip3;c. 创建/etc/bind/slaves/目录tonybox2:/etc/bind# mkdir slavestonybox2

38、:/etc/bind# chown bind.bind slavesd. 重启dns服务tonybox2:/etc/bind/slaves# /etc/init.d/bind9 restartnamed进程第一次启动时，辅助域名服务器就下载主域名服务器的信息；辅助域名服务器根据主域名服务器的对应SOA记录规定的刷新时间间隔，去主域名服务器查询相关信息。tonybox2:/etc/bind/slaves# ls -ltotal 8-rw-r-r- 1 bind bind 410 2006-08-08 12:23 db.192-rw-r-r- 1 bind bind 430 2006-08-08

39、12:23 db.mydebian查看 /etc/bind/slaves 目录，我门会发现已经从主域名服务器获取了相应的资源文件如果用户bind对于/etc/bind/slaves目录没有写权限，则查看 /var/log/syslog 会出现如下类似错误：tonybox:# tail /var/log/syslogAug 8 12:30:09 tonybox2 named3849: zone mydebian.org/IN: Transfer started.Aug 8 12:30:09 tonybox2 named3849: transfer of mydebian.org/IN from

40、 192.168.102.47#53: connected using 192.168.102.15#1075Aug 8 12:30:09 tonybox2 named3849: dumping master file: /etc/bind/tmp-VHTxU6CT5n: open: permission deniedAug 8 12:30:09 tonybox2 named3849: transfer of mydebian.org/IN from 192.168.102.47#53: failed while receiving responses: permission deniedAu

41、g 8 12:30:09 tonybox2 named3849: transfer of mydebian.org/IN from 192.168.102.47#53: end of transferAug 8 12:30:10 tonybox2 named3849: zone 102.168.192.in-addr.arpa/IN: Transfer started.Aug 8 12:30:10 tonybox2 named3849: transfer of 102.168.192.in-addr.arpa/IN from 192.168.102.47#53: connected using 192.168.102.15#1076Aug 8 12:30:10 tonybox2 named3849: dumping master file: /etc/bind/tmp-dxbi

展开阅读全文