目录
案例要求:
1.先安装DNS服务
2.拷贝文件和目录
3.启动named-chroot(DNS)并设置开机自启
4.配置正向解析
(1)编辑主配
(2)配置区域文件
(3)编辑区域文件
(4)重启生效
重启报错:
#检查主配置文件语法
#检查区域文件:
5.配置反向解析
(1)编辑主配
(2)配置反向解析区域文件
(3)重启生效
验证:
正向解析:可以正常通过域名解析出ip地址
反向解析:可以通过ip地址正常解析出域名
本章我们将部署chroot模式的DNS服务,以增加安全性
BIND-chroot 服务是利用 chroot 机制为 BIND 服务创建伪根目录以限制其访问范围,增强安全性,但配置与维护相对较为复杂的一种服务机制。
案例要求:
此案例域名为xjh.com
www 解析为A记录 IP地址为192.168.100.101(本机)
Web 解析为A记录IP地址为192.168.100.102
test 解析为A记录IP地址为192.168.100.103
1.先安装DNS服务
DNS服务是由bind程序提供,所以要实现DNS服务器就需先安装bind程序包
yum -y install bind bind-chroot bind-utils注释:
Bind #DNS主程序包
Bind-chroot #DNS安全包,可以改变DNS根目录,将DNS运行在监牢模式
bind-utils #用于测试DNS解析效果,富含多种DNS解析测试命令工具
2.拷贝文件和目录
把需要用到的文件和目录拷贝到chroot监牢模式的根目录
#主配置文件
cp -p /etc/named.conf /var/named/chroot/etc/选项:
-p 保持源文件的属性不变
cd /var/named/
cp -rp data chroot/var/named/
cp -rp dynamic chroot/var/named/
cp -p named.* /var/named/chroot/var/named/3.启动named-chroot(DNS)并设置开机自启
systemctl enable named-chroot --now4.配置正向解析
(1)编辑主配
vim /var/named/chroot/etc/named.conf##允许访问地址为所有
zone "xjh.com." IN {type master;file "L.xjh.com.zone";
};
(2)配置区域文件
#复制模版文件,此文件默认是没有的
cp -p /var/named/named.localhost /var/named/chroot/var/named/L.xfh.com.zone(3)编辑区域文件
vim /var/named/chroot/var/named/L.xjh.com.zone$TTL 1D
@ IN SOA xjh.com. rname.invalid. (0 ; serial1D ; refresh1H ; retry1W ; expire3H ) ; minimumNS www.xjh.com.
web A 192.168.100.102
www A 192.168.100.101
test CNAME www(4)重启生效
systemctl restart named-chroot----------------------------------------------------------------------------------------------------------
重启报错:
#检查主配置文件语法
named-checkconf /var/named/chroot/etc/named.conf
#检查区域文件:
named-checkzone test.xjh.com /var/named/chroot/var/named/L.xjh.com.zone
##注释:named-checkzone 子域名 区域文
----------------------------------------------------------------------------------------------------------------
5.配置反向解析
(1)编辑主配
vim /var/named/chroot/etc/named.confzone "100.168.192.in-addr.arpa" IN {type master;file "L.192.168.100.zone";
};
(2)配置反向解析区域文件
cd /var/named/chroot/var/named/
cp -p named.loopback L.192.168.100.zone
vim L.192.168.100.zone$TTL 1D
@ IN SOA @ rname.invalid. (0 ; serial1D ; refresh1H ; retry1W ; expire3H ) ; minimumNS xjh.com.
101 PTR www.xjh.com.
(3)重启生效
systemctl restart named-chroot验证:
可使用host、nslookup等
host web.xjh.com
正向解析:可以正常通过域名解析出ip地址
host 192.168.100.101
