当前位置: 首页 > 图文教程 > 服务器 > Linux服务器 > Linux架设DNS服务器(四)

Linux服务器
Linux上双网卡绑定方法(Suse9SP3)
Linux操作系统调优参数的意义
Linux下使用SSH客户端及其Sftp文件传送
教你恢复被误删除的Linux文件
SQL Server注入大全及防御
Linux无法解析域名的解决办法
Linux系统下安装和配置MyEclipse的方法
Ubuntu下VirtualBox 1.4.0设置文件共享
Windows与Linux系统共享StarDict字典文件
修改Linux下相关的登陆信息
Windows通过SecureCRT远程登录Linux主机
Linux操作系统如何修改SWAP交换区的大小
Linux操作系统下为Apache目录添加密码
Linux时间设置与同步(NTP)
Linux内核补丁AMD旁路转换缓冲(TLB)错误
Linux架设DHCP服务器的方法
Fedora 8下Apache配置与管理
Linux操作系统下用单网卡捆绑双IP的方法
Ubuntu Linux系统环境变量配置文件
SUSE Linux中将Tomcat作为Service运行

Linux服务器 中的 Linux架设DNS服务器(四)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-18   浏览: 37 ::
收藏到网摘: n/a


6.提高域名服务器的安全

为了提高域名服务器的安全性,必须要控制区文件的传输.在配置named.conf时,可以采取几方面的控制来加强安全.

options{

allow-transfer{202.103.166.100;};

};

这句指令指定只有授权的辅服务器才能从本主服务器上获得区数据信息

options{

allow-query{192.168.1/24;127.0.0/8;};

};

这句指令指定只有授权的客户才能从本服务器上获得区数据信息. 

options{

forwarders{202.103.166.194;202.105.177.100;};

forward-only;

};

这句指令指定只有指定的服务器才能被本缓存服务器访问.

7.应用实例

假设有一个网络,网络由proxy分成internet和intranet两部分:为了保护mailserver的安全,将它安置在intranet上.内部用户通过内部mailserver收发信件.

proxyserver主机上同时建有proxyserver,dnsserver和smtpserver.

eth0ipaddress:192.168.1.1

eth1ipaddress:172.16.0.1

mailserver主机上同时建有smtpserver,pop3server.

ipaddress:172.16.0.2

用户的网关为172.16.0.1

dnsserver为172.16.0.1

smtpserver为mail.test.com

pop3server为mail.test.com

我们还是用"test.com"作为例子,我们需要六个基本配置文件:

/etc/named.conf

/var/named/named.ca

/var/named/named.local

/var/named/named.test.com

/var/named/named.172.16.0

/var/named/named.192.168.1

7.1创建或修改/etc/named.conf:

//generatedbynamed-bootconf.pl

options{

directory"/var/named";

/*

*Ifthereisafirewallbetweenyouandnameserversyouwant

*totalkto,youmightneedtouncommentthequery-source

*directivebelow.PreviousversionsofBINDalwaysasked

*questionsusingport53,butBIND8.1usesanunprivileged

*portbydefault.

*/

//query-sourceaddress*port53;

};

//

//aPMnameserverconfig

//

zone"."{

typehint;

file"named.ca";

};

zone"0.0.127.in-addr.arpa"{

typemaster;

file"named.local";

};

//thereareourprimaryzonefiles

zone"test.com"{

typemaster;

file"named.test.com";

};

zone"0.16.172.in-addr.arpa"{

typemaster;

file"named.172.16.0";

};

zone"1.168.192.in-addr.arpa"{

typemaster;

file"named.192.168.1";

};

文件中的zone"test.com"段是声明这是用于test.com域的主服务器,用于该域的数据从/var/named/named.test.com文件中装载.文件中的zone"0.16.172.in-addr.arpa"段是指向映射IP地址172.16.0.*到主机名的文件.

用于该域的数据从/var/named/named.172.16.0文件中装载.文件中的zone"1.168.192.in-addr.arpa"段是指向映射IP地址192.168.1.*到主机名的文件.用于该域的数据从/var/named/named.192.168.1文件中装载.

7.2创建或修改/var/named/named.local

@INSOAns.test.com.root.ns.test.com.(

2000051500;Serial

28800;Refresh

14400;Retry

3600000;Expire

86400);Minimum

INNSns.test.com.

1INPTRlocalhost.

注意:在修改named.*文件时每次存盘时要注意增加Serial值.如使用绝对域名时千万别忘了后面带的"."

7.3创建或修改/var/named/named.test.com

@INSOAns.test.com.root.ns.test.com.(

2000051500;Serial

28800;Refresh

14400;Retry

3600000;Expire

86400);Minimum

INNSns.test.com.

nsA192.168.1.1

nsA172.16.0.1

MX10ns.test.com.

wwwA192.168.1.2

mailA172.16.0.2

MX10mail.test.com.

MX20ns.test.com.

7.4创建或修改/var/named/named.192.168.1

@INSOAns.test.com.root.ns.test.com.(

2000051500;Serial

28800;Refresh

14400;Retry

3600000;Expire

86400);Minimum

INNSns.test.com.

1INPTRns.test.com.

2INPTRwww.test.com.

7.5创建或修改/var/named/named.172.16.0

@INSOAns.test.com.root.ns.test.com.(

2000051500;Serial

28800;Refresh

14400;Retry

3600000;Expire

86400);Minimum

INNSns.test.com.

1INPTRns.test.com.

2INPTRmail.test.com.

假设用户发一份邮件到[email protected]时,信件先投递到mail.test.com主机,

由mail.test.com主机再传递给ns.test.com主机,再由ns.test.com主机投递给mail.hotmail.com.然后再由用tom从mail.hotmail.com主机取得邮件.

当hotmail.com上的tom想发邮件给mail.test.com上的用户时,tom机器上的解析器先获得test.com的域名信息,然后邮件客户端根据邮件投递路由首先发给mail.test.com主机,由于mail.test.com主机为内部主机,internet用户无法访问.然后邮件客户端根据邮件投递路由发给ns.test.com主机.由于ns.test.com主机为于internet上,ns.test.com主机收到邮件后再转发到同一网段的mail.test.com主机上,然后再由用户从mail.test.com主机取得邮件. 

8.与Microsoftdns的集成

Microsoftdns定义了一个新的类型WINS的资源记录,它附属在域的根区.这个记录告诉Microsoft的DNS服务器如何与WINS服务器取得联系,解决对没有静态DNS记录的主机的名称查询问题.

示例,一个WINS资源记录如下:

@INWINS192.168.1.100

为了使DNS和WINS合作,在Microsoft的DNS服务器配置中选择相应域的properties记录,并且在WINSLOOKUP标签中启用WINS解决.

由于采用了非标准的资源记录,大多数其他DNS并不支持这种资源记录,如非Microsoftdns的计算机企图从有DNS-WINS资源记录的microsoft的DNS服务器中进行区传送时,那么,该计算机就很可能出错.

9.DNS故障诊断

大多数DNS故障的原因是配置文件的语法错误,或者是对错误的计算机分配了错误的地址.当进行DNS故障诊断时,参照下面的指导方针.

9.1对全部记录,检查和确认主机名称的拼写.记住绝对地址是以"."结尾.

9.2如果在区文件中作了任何修改,务必修改SOA记录中的序列号.这将保证服务器正确地重新上载文件.

9.3确定输入到主区的名称和IP地址匹配反向指针文件中的反向指针信息.

9.4Microsoft的DNS服务器采用了非标准的资源记录,可能会导致问题.