Linux下DNS服务器bind的安装、配置和应用

DNS工作原理

1.当要进行域名解析的时候,系统会向本地DNS发出解析请求,由本地DNS服务器解析域名与对应的IP地址。

2.本地DNS服务器接收到解析请求后,再自己的本地数据库中查找与请求相匹配的DNS记录条目,如果本地没有相匹配的记录,则本地DNS服务器就会向根域名服务器发出查询请求。

3.根域名服务器在接收到查询请求时,会把查询请求发送到相应的顶级域,再由顶级域发送到二级域,再由二级域发送到三级域,以此类推,直到查询到请求的相应记录,然后发送回本地DNS服务器。

4.最终由本地DNS服务器把结果返回给客户端。

5.如果经过查找后仍然无记录,则由本地DNS服务器向客户端返回无法解析的错误信息。

安装bind软件

1.解压[root@~]#tar zxvf bind-9.9.2.tar.gz2.安装[root@~]#./configure –prefix=/usr/local/named –sysconfdir=/usr/local/name/etc –enable-thread3.生成named.conf配置文件[root@~]#/usr/local/src/bind-9.9.2/bin/configen/rndc-configren | tail -10| head -9 |sed ‘s/#\ //g’ > /usr/local/etc/named.conf4.启动和关闭Bind安装完bind后,可以让bind后台运行[root@~]#/usr/local/named/sbin/named &使用-g参数可以实现显示启动过程中的详细信息。[root@~]#/usr/local/named/sbin/named –g &22-Nov-2012 20:41:30.832 built with '--prefix=/usr/local/named/' '--sysconfdir=/usr/local/named/etc' '--enable-thread'22-Nov-2012 20:41:30.832 ----------------------------------------------------22-Nov-2012 20:41:30.832 BIND 9 is maintained by Internet Systems Consortium,22-Nov-2012 20:41:30.832 Inc. (ISC), a non-profit 501(c)(3) public-benefit22-Nov-2012 20:41:30.832 corporation.  Support and training for BIND 9 are22-Nov-2012 20:41:30.832 available at https://www.isc.org/support22-Nov-2012 20:41:30.833 ----------------------------------------------------22-Nov-2012 20:41:30.833 using 1 UDP listener per interface22-Nov-2012 20:41:30.833 using up to 4096 sockets22-Nov-2012 20:41:30.841 loading configuration from '/usr/local/named/etc/named.conf'22-Nov-2012 20:41:30.841 reading built-in trusted keys from file '/usr/local/named/etc/bind.keys'22-Nov-2012 20:41:30.842 using default UDP/IPv4 port range: [1024, 65535]22-Nov-2012 20:41:30.843 using default UDP/IPv6 port range: [1024, 65535]22-Nov-2012 20:41:30.870 automatic empty zone: 113.0.203.IN-ADDR.ARPA22-Nov-2012 20:41:30.870 automatic empty zone: 255.255.255.255.IN-ADDR.ARPA22-Nov-2012 20:41:30.870 automatic empty zone: 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA22-Nov-2012 20:41:30.870 automatic empty zone: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA22-Nov-2012 20:41:30.870 automatic empty zone: D.F.IP6.ARPA22-Nov-2012 20:41:30.871 automatic empty zone: 8.B.D.0.1.0.0.2.IP6.ARPA22-Nov-2012 20:41:30.878 /usr/local/named/etc/named.conf:7: couldn't add command channel 127.0.0.1#953: address in use22-Nov-2012 20:41:30.878 ignoring config file logging statement due to -g option22-Nov-2012 20:41:30.879 managed-keys-zone: loaded serial 022-Nov-2012 20:41:30.881 all zones loaded22-Nov-2012 20:41:30.882 running关闭:kill 进程ID号

配置named服务器

1.开机自动启动

编写bind服务启动关闭的脚本:vi /etc/init.d/named

#/bin/bash

#Start script for the Berkeley Internet Name Domain Server

# chkconfig: 345 35 75

# description:BIND is a Name Domain Server

# Source function library.

. /etc/rc.d/init.d/functions

# Source function library.

if [ -f /etc/init.d/functions ]; then

. /etc/init.d/functions

elif [-f /etc/rc.d/init.d/functions ]; then

. /etc/rc.d/init.d/functions

else

exit 0

fi

named=/usr/local/named/sbin/named

prog=named

RETVAL=0

#start function

start(){

if [-n "'/sbin/pidof $prog'" ]

then

echo $prog": already running"

echo

return 1

fi

echo "Starting "$prog": "

base=$prog

$named &

RETVAL=$?

usleep 500000

if [ -z "'/sbin/pidof $prog'" ]

then

#The child processes have died after fork()ing

REVEL=1

fi

if [ $RETVAL -ne 0 ]

then

echo 'Startup failure'

else

echo 'Startup success'

fi

echo

return$RETVAL

}

stop () {

echo "Stopping "$prog":"

killall$named

RETVAL=$?

if [ $RETVAL -ne 0 ]

then

echo "Shutdown failure"

else

echo "Shutdown success"

fi

echo

}

# See how we were called.

case "$1" in

start)

start

;;

stop)

stop

;;

status)

status $named

RETVAL=$?

;;

restart)

stop;

usleep 500000

start

;;

*)

echo $"Usage:$prog {start | stop | restart |status}"

exit 1

esac

exit $RETVAL

2.添加到到开机启动项:chkconfig named add

3.检查开启动项中named启动级别是否on;

[root@localhostinit.d]# chkconfig --list

ip6tables0:off1:off2:on3:on4:on5:on6:off

iptables0:off1:off2:on3:on4:on5:on6:off

irqbalance0:off1:off2:off3:on4:on5:on6:off

kdump0:off1:off2:off3:on4:on5:on6:off

lvm2-monitor0:off1:on2:on3:on4:on5:on6:off

mcelogd0:off1:off2:off3:on4:off5:on6:off

mdmonitor0:off1:off2:on3:on4:on5:on6:off

messagebus0:off1:off2:on3:on4:on5:on6:off

named0:off1:off2:on3:on4:on5:on6:off

netconsole0:off1:off2:off3:off4:off5:off6:off

netfs0:off1:off2:off3:on4:on5:on6:off

Bind服务器配置

Bind的主要配置文件是包括named.conf和相应的区域文件，Bind中的给中配置都是通过修改这些文件来完成的，修改后需要重新启动Bind服务是配置生效。

named.conf配置文件

named.conf是Bind的主要配置文件，里面存储了大量的Bind自身的设置信息。Bind安装完后并不会自动创建该配置文件，用户需要通过命令手工生成，新生成的named.conf配置文件的默认内容如下：

key"rndc-key" {

algorithm hmac-md5;

secret"dD7HdNQzJCCbe0SzXhEhKQ==";

};

controls{

inet 127.0.0.1 port 953

allow { 127.0.0.1; } keys {"rndc-key"; };

};

named.conf配置文件是由配置语句和注释组成。每条配置语句以分号“；”做为结束符，多条配置语句组成一个语句块；注释语句使用了两个“//”作为注释符。named.conf配置文件中所支持的所有配置语句如表：

named.conf支持的所有语句：

其中，常用的配置语句介绍如下：

1.acl语句

acl语句用于定义地址匹配列表，其格式如下：

acl acl –name {

address_match_list

};

Bind默认定义了一些匹配列表，如下

1.controls语句

controls语句用于定义rndc工具与Bind服务进程的通信，系统管理员可以通过rndc向Bind进程发出控制命令，并接受由Bind返回的结果。其格式如下：

controls {

[inet (ip_addr | *) [port ip_addr] allow {address_match_list}

Keys{key_list};]

[inet …;]

[unix path perm number owner number groupnumber keys {key_list};]

[unix …;]

};

2.include语句

include语句用于把所指定的文件的内容添加进named.conf配置文件中，该语句的格式如下所示：

include filename;

3.key语句

key语句用于定义TSIG或命令通道所使用的加密密钥。其格式如下

key key_id {

algorithm string;

secret string;

}

4.options语句

options语句用于设置影响整个DNS服务器的全局选项，该语句在named.conf中只能出现一次。如果没有设置语句，那么Bind将使用默认的options值，该语句支持的选项特别多，下面是一些常见的选项格式：

options{

[directorypath_name;]

[forward (only | frist);]

[forwarders {[ip_addr[port ip_port];……] };]

[query-source ((ipv4_addr |*)

[port (ip_port |*)] |

[address (ipv4_addr| *)]

[port (ip_port | *)] ); ]

[query-source –v6( (ip6_addr | *)

[port (ip_port |*)] |

[address (ip6_addr| *)] |

[port (ip_port |*)]);]

[statistics-interval number ;]

};

Directory选项用于定义服务器的工作目录，在配置文件中所指定的所有相对路径都是相对于该路径来定义。该目录也是服务器中大部分输出文件（例如name.run）的存储位置。如果没有设置directory，那么系统默认使用”.”（即Bind启动的目录）作为工作目录。一般会把Bind的工作目录设置为/var/named，如下所示：

directory “/var/named”;

forwarders选项用于指定DNS请求的转发到其他DNS服务器上，该选项默认为空，也就是不进行转发。选项值可以是一个IP地址或主机名，也可以是主机的列表。不同主机IP地址或名称之间使用分号”;”进行分割。如下所示：

forwareders {202.102.128.68; 192.168.152.3;8.8.8.8;8.8.4.4;};

forward选项仅仅在forwareders选项不为空时生效。该选项用于控制DNS服务器的请求转发操作。如果选项值设置为first，则DNS服务器会先把请求发给forwarders选中的指定的远端DNS服务器。如果远端DNS服务器无法响应该请求，则Bind将尝试自行解析该请求；如果选择被设置为only，则bind值转发请求，并不进行处理。

query-source和query-source-v6分别设置DNS服务器所使用的Ipv4或者Ipv6以及端口号。默认的端口号为53，如果指定其他端口号，将无法与其他的DNS服务器通信。。

statistics-interval选项用于指定DNS服务器记录统计信息的时间间隔，单位为分钟。其默认值为60，最大值为28天（即40320分钟）。如果该选项设置为0，则服务器不记录统计信息。

5.server语句

Bind有可能与其他的DNS服务器进行通信，但并非所有的DNS服务器都运行同一个版本的Bind，而且就算安装了相同Bind版本的服务器，它们的设置，软硬件平台都会有所不同。在server语句中可以设置远程服务器的特征信息，以使双方能够正常通信，该语句的格式如下：

server_ip_addr [/prefixlen] {

[bogusyes_or_no;]

[provide-ixfryes_or_no;]

[request-ixfryes_or_no;]

[edns yes_or_no;]

[edns-udp-sizenumber;]

[max-udp-sizenumber;]

[transfersnumber;]

[transfer-format(one-answer | many-answers);]

[keys{string;[string; […]]}; ]

[transfer-source(ipv4_addr| *) [port ip_port];]

[transfer-source-v6(ip6_addr|*) [port ip_port]]

[notify-source(ipv4_addr | *) [port ip_port];]

[notify-source-v6(ip6_addr | *) [port ip_port];]

[query-source[address (ip_addr | *) ] [port ip_port|*];]

[query-srouce-v6[address (ip_addr | *)] [port ip_port | *];]

[use-queryport-toolyes_or-no;]

[queryport-pool-portsnumber;]

[queryport-pool-intervalnumber;]

}

6.view语句

view语句可以使用Bind根据客户端的地址决定需要返回的域名解析结果。也就是说，不同的主机通过同一台DNS服务器对同一个域名进行解析，会得到不同的解析结果。其格式如下：

view view_name

[class] {

match-clients{address_match_list};

match-destinations{address_match_list};

match-recursive-onlyyes_or_no;

[ view_option; …]

[ zone_statement;…]

};

每一条view语句定义了一个客户端集合所能看到的视图，如果客户端匹配视图中的match-clients选项所定义的客户端列表，那么Bind将根据该视图返回解析结果。例如，希望对内网和外网用户进行区分，使他们访问同一个域名时，会得到不同的结果。可以通过view语句定义两个不同的视图，在两个视图中分别定义不同的属性。已达到上述的效果。配置如下:

8.zone语句

zone语句是named.conf文件的核心部分。每一条zone语句定义一个区域，用户可以在这个区域中设置该区域相关的选项。Bind中可以设置多种类型的区域。

不同类型的区域，其zone语句定义的格式也有所不同，下面只介绍最常用的master和hint两种类型的区域的zone语句格式：

加入要定义一个根区域文件，可以如下：

zone“.”{

type master;

file“named.root”;

};

主DNS区域文件是Bind照哦给你最基本的区域类型，它又可以分为正向解析和反向解析两种，。正向解析就是通过查询域名查询对应的IP地址；而反向解析则是通过IP地址查询对应的域名。

例如：test.com

zone“test.com”{

type ;master;

file“test.zone”;

allow-update [none;];

}

Allow-update选项定义了允许对主区域进行动态DNS更新的服务器列表。None表示不运行进行更新。

一般情况下，用户只会进行正向的解析，根据域名来查询对应的IP地址。但是在一起特殊的情况下，也会使用反向解析查询IP地址对应的域名。下面是一个反向解析的例子。

zone“1.168.192.in-addr.arpa” in {

type master;

file “test.local”;

allow-update (none;);

};

1.168.192.in-addr.arpa是该反向解析区域的名称。其中“in-addr.arpa”是反向解析区域名称中固定的后缀格式，.in-addr.arpa左边的部分是由需要解析的IP地址或网段的十进制表示方法逆序字符串。

name.root配置文件

named.roote是一个特殊的区域文件，在该文件中记录了Internet上的根DNS服务器的名称和IP地址。DNS服务器接收到客户端发送来的请求后，如果子本地找不到匹配的DNS记录，则把请求发送到该文中所定义的根DNS服务器上即兴逐级查询。由于internet上的根DNS服务器会随时发生变化，因为named.root文件的内容也是不断更新的，所以用户可以到定期到http://internic.net/domain下载最新版本的named.root文件

可以看到，在该文件中定义了全球13个根DNS服务器，其中第一列为服务器名，第四列为服务器的IP地址

正向解析区域文件

正向解析区域文件用于映射域名和IP地址，文件中包含了该区域的所有参数，包括域名、IP地址、刷新时间、重试时间、超时等。下面是一个正向解析的区域文件的例子

第一行的“$ttl1D”用于设置客户端的DNS缓存数据的有效期。该值默认的单位为妙，用户可以明确指定使用H（小时）、D（天）、或W（星期）作为单位。

第二到九行则用于设置该域的控制信息，可以看到，控制信息包括域名、有效时间、网络地址类型等，其格式如下所示：

name:定义SOA的域名，以“.”结束，也可以使用@代替

ttl：定义有效时间，如果不设置该值，则系统默认使用第一行中定义的ttl值。

class：定义网络的诋毁子类型。对于TCP/IP网络应设置为IN。

orgin:定义这个域的主域名服务器的主机名，以“.”结尾。

contact:定义该DNS服务器的管理员邮件地址，因此@在SOA记录中有特殊的意义，所以用”.”代替，本例中的root.test.com表示root@test.com。

serial:定义区域文件的版本号，它是一个整数值。Bind可以通过它来得知区域文件时什么时间修改的。每次更改区域文件都应该时这个数加一。

refresh:定义从DNS服务器在试图检查主DNS服务器的SOA记录之前应等待的时间。该选项以及括号中除了serial以外的其他选项都是以秒为单位，也可以使用M（分钟）、H（小时）、W（星期）等。如果SOA记录不经常改变，可以把这个值设置的大一些。在本例中为3小时。

retry:定义从DNS服务器在主DNS不能使用时，重试对主DNS服务器发出请求应等待的时间。通常，该时间不应该超过1小时。在本例中设置为15分钟。

expire:定义从DNS服务器在无法与主DNS服务器进行通信的情况下，其区域信息保存的时间。在本例中为一个星期。

minimum:当没有定义TTL时，默认使用的TTL值。如果噢玩过的变化不大，那么可以把该值设置的大一些。在本例中为1天。

在本例中第10行是DNS的资源记录（NS），指定该域中的DNS服务器名称。其格式如下：

[name][ttl]classNSname-server-hostname

本例中指定的DNS服务器为dns.test.com;

反向解析区域

反向解析区域文件用于定义IP地址到域名的解析，它采用的与正向借些文件类似的选项和格式，但由于是反向解析，所以该文件是使用PTR指针记录，而不是主机记录。

例如：

第9~12行定义了用于反向解析的PTR记录，其格式如下所示：

[address][ttl]addr-classPTRdomain-name

配置实例

环境：BBT公司现在要是实现这样的功能：内网用户可以正向解析所有内网的计算机以及外网的服务器，反向解析内网的计算机，允许使用递归查询；外网用户只能正向解析外网服务器，不能借些内外那个计算机。不允许使用递归解析。

其局域网的网段为172.20.1.0/24,其中有5台计算机，分为为server1(172.20.1.1)、server2(172.20.1.2)、server3(172.20.1.3)、server4(172.20.1.4)和server5(172.20.1.5)。在外网中有3台应用服务器：FTP服务器（主机名为ftp,IP地址为61.124.100.1），网站服务器（主机名www，IP地址为61.124.100.2）和邮件服务器（主机名mail，IP地址为61.124.100.3）此外还有一台DNS服务器，其主机名为dns，内网IP地址为172.20.1.11，外网的IP地址为61.124.100.11，具体网络拓扑如下图：

1.配置named.conf

为了区分内网网络用户的解析结果，需要通过视图实现。在本例中定义两个试图internal和external，分别对应内部网络和外部网络的用户。在这两个视图中分别定义不同的区域文件，从而实现内外网用户能得到不同的解析结果。定义bind的加密密钥以及mdc间的控制。

定义Bind的选项，内网用户所对应的视图以及各个解析域，如下所示：

定义外网用户所对应的视图以及相关的解析域，如下所示：

1.配置区域文件

2.测试结果

大功告成，享受成果吧。