搭建子域dns服务器:
首先将其做成一个缓存域名服务器,然后做如下设置:
1.在父域服务器上进行子域授权,直接编辑数据文件就可以了,不需要编辑主配置文件。
编辑父域服务器的/var/named/a.org.zone
添加两条授权记录
tech.a.org. IN NS ns1.tech.a.org.
tech.a.org IN NS ns2.tech.a.org.
ns1.tech.a.org. IN A 172.16.100.3
ns2.tech.a.org. IN A 172.16.100.4
如果子域有两个父域名服务器,一个主,一个从,则像上面一样都要写上,如果只有一个父,则写一条即可。
chown :named a.org.zone
2.在子域服务器上进行配置。
vim /etc/named.conf
声明一个子域:
加上zone "tech.a.org" IN {
type master;
file "tech.a.org.zone";
};
cd /var/named
vim tech.a.org.zone
$TTL 2300
$ORIGIN tech.a.org.
@ IN SOA ns1.tech.a.org. admin.tech.a.org. (
201107409
3H
20M
15D
3D )
IN NS ns1.tech.a.org.
IN NS ns2.tech.a.org.
IN MX 10 mail.tech.a.org.
ns1 IN A 192.168.0.3
ns2 IN A 192.168.0.4
www IN A 192.168.0.8
ftp IN A 192.168.0.9
service named restart
3.做转发的配置
转发有两种:完全转发
部分转发
在子域服务器上配置/etc/named.conf
1》.配置成完全转发:
options {
directory "/var/named";
forward only;
forwarders { 192.168.0.6; };
};(意思是所有对此服务器的域名请求都转发给192.168.0.6来解析)
也可以加上allow-recursion { 192.168.10.0/24; };表示只允许192.168.10.0/24访问a.org时递归
2》.配置成部分转发:
zone "a.org" IN {
type forward;
forwarders { 192.168.0.6; };
};(意思是,只要是请求解析a.org的,都转发给192.168.0.6,让他来转发)
service named restart
好了,此时子域dns服务器已经做好了,下面我们来做扩展功能的设置:
1.隐藏自己的版本号
在options 里加上version “9.8.1”;
重启服务service named restart
再使用dig chaos txt version.bind查看时将会看到9.8.1但其实他不是我们真正的版本号
2.访问控制列表
如何实现仅允许192.168.0.0/24来查询:
使用allow-query
1》可以在全局段配置
options {
directory “/var/named";
allow-query { 192.168.0.0/24; 127.0.0.0/8;};
}表示只允许这两网段来请求此dns做域名解析。
2》也可以在区域段配置
zone "a.org" IN {
type master;
file "a.org.zone";
allow-query { 192.168.0.0/24; 127.0.0.0/8;};
};表示解析a.org域时只允许这两个网段。别的域不做限制。
我们还可以把allow-query里的网段抽出来写在acl里面:
acl myclients {
192.168.0.0/24;
127.0.0.0/8;
};
options {
directory "/var/named";
allow-query { myclients; };
};
配置完之后记得重启服务哦service named restart