本人对DNS的理解:
ACL-访问控制列表:
将多个一同处理的地址定义为一组,并且给它起个名字,这就是列表;
view 视图:
所谓视图简单来说就是,将DNS服务器一切为两个部分;
所谓视图我们把一个DNS服务器工作在不同的多个逻辑界面上,一个区域可以再不同的视图中各自定义一次;
注意:如果您感觉内容不理解,那么请到以下分支查看你所需要的内容:
1. 总结 DNS and BIND: http://xiaomazi.blog.51cto.com/5891742/1376225
2. 分支1- 正/反向域名解析之yum与编译安装: http://xiaomazi.blog.51cto.com/5891742/1376228
3. 分支2- 主从DNS服务器: http://xiaomazi.blog.51cto.com/5891742/1376231
4. 分支3- 子域授权、请求转发: http://xiaomazi.blog.51cto.com/5891742/1377087
5. 分支4- ACL 及 view视图: http://xiaomazi.blog.51cto.com/5891742/1377090
1. ACL的简单配置:
1).ACL的安全控制选项:
allow-transfer {};
通常都需要启用;
allow-query {};
此项通常仅用于服务器是缓存名称服务器时,只开放查询功能给本地客户端;
allow-recursion { };
定义递归白名单;
allow-update { none; };
定义允许动态更新区域数据文件的主机白名单;
2).访问控制列表只有定义后才能使用;通常acl要定义在named.conf的最上方;
3).BIND有四个内置的acl:
any: 任何主机
none: 无一主机
local: 本机
localnet: 本机的所在的网络;
4).配置 /etc/named.conf文件中定义:
5).启动并检测语法错误:
[root@host1 ~]# named-checkconf [root@host1 ~]# service named restart Stopping named: . [ OK ] Starting named: [ OK ] [root@host1 ~]#
2.view视图 的简单配置:
如果我们定义了 视图 所有区域都必须定义在 view 中,包括根;
前提:
挂载光盘: [root@xiaoma ~]# mkdir /media/cdrom [root@xiaoma ~]# mount /dev/cdrom /media/cdrom/ mount: block device /dev/sr0 iswrite-protected, mounting read-only 配置本地yum源: [root@xiaoma ~]# cd /etc/yum.repos.d/ [root@xiaoma yum.repos.d]# mv CentOS-Base.repo CentOS-Base.repo.bak [root@xiaoma yum.repos.d]# vim media.repo [media] name=media baseurl=file:///media/cdrom enabled=1 gpgcheck=0
1).将准备好的bind包安装:
[root@localhost ~]# yum -y install bind
2).修改配置文件:named.conf:
注意:
这里只是把注释的内容贴出来了:
// listen-on port 53 { 127.0.0.1; };
// listen-on-v6 port 53 { ::1; };
// allow-query { localhost; };
// dnssec-enable yes;
// dnssec-validation yes;
// dnssec-lookaside auto;
// bindkeys-file "/etc/named.iscdlv.key";
// managed-keys-directory "/var/named/dynamic";
//include "/etc/named.root.key";3).修改区域文件/etc/named.rfc1912.zones:
[root@localhost ~]# vim /etc/named.rfc1912.zones
// named.rfc1912.zones:
//
// Provided by Red Hat caching-nameserver package
//
// ISC BIND named zone configuration for zones recommended by
// RFC 1912 section 4.1 : localhost TLDs and address zones
// and http://www.ietf.org/internet-drafts/draft-ietf-dnsop-default-local-zones-02.txt
// (c)2007 R W Franks
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
定义内网的客户端为192.168.0.0/24的(根也在):
view left {
match-clients { 192.168.0.0/24; };
zone "." IN {
type hint;
file "named.ca";
};
zone "localhost.localdomain" IN {
type master;
file "named.localhost";
allow-update { none; };
};
zone "localhost" IN {
type master;
file "named.localhost";
allow-update { none; };
};
zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "named.loopback";
allow-update { none; };
};
zone "1.0.0.127.in-addr.arpa" IN {
type master;
file "named.loopback";
allow-update { none; };
};
zone "0.in-addr.arpa" IN {
type master;
file "named.empty";
allow-update { none; };
};
外网的区域:
zone "xiaoma.com" IN {
type master;
file "xiaoma.com.left";
};
};
定义外网客户端:
view right {
match-clients { 172.16.0.0/16; };
zone "xiaoma.com" IN {
type master;
file "xiaoma.com.right";
};
};
定义其他网络找不到客户端,就匹配到外网上去:
view default {
match-clients { any; };
zone "xiaoma.com" IN {
type master;
file "xiaoma.com.right";
};
};4).检查配置文件:
[root@localhost ~]# named-checkconf
5).配置区域文件 /var/named/xiaoma.com.left
6).配置区域文件 /var/named/xiaoma.com.right
7).赋予文件属性:
[root@localhost named]# chown root:named xiaoma.com.* [root@localhost named]# chmod 640 xiaoma.com.*
8).启动服务:
[root@localhost named]# service named start Generating /etc/rndc.key: [ OK ] Starting named: [ OK ] [root@localhost named]#ss -tunl
9).模拟IP地址:
[root@localhost ~]# ifconfig eth0:0 192.168.0.7/24 up
10).测试解析:
接上:
9).windows测试:
A smile is the most beautiful language!!!
以本人的理解而写出博客,如若有错误,欢迎指出.
---->小马子
本文出自 “凡事总要想着行” 博客,请务必保留此出处http://xiaomazi.blog.51cto.com/5891742/1377090
1.4-CentOS6.5下 ACL 及 view视图 的教程,布布扣,bubuko.com
1.4-CentOS6.5下 ACL 及 view视图 的教程
原文:http://xiaomazi.blog.51cto.com/5891742/1377090
