bind9(bind9配置详解)

一、Linux下针对路由功能配置iptables的方法详解

作为公司上网的路由器需要实现的功能有nat地址转换、dhcp、dns缓存、流量控制、应用程序控制，nat地址转换通过iptables可以直接实现，dhcp服务需要安装dhcpd，dns缓存功能需要使用bind，流量控制可以使用tc，应用程序控制：例如对qq的封锁可以使用 netfilter-layer7-v2.22+17-protocols-2009-05-28.tar.gz来实现

1、网络规划

操作系统是centos5.8

2、安装dhcpd

代码如下:

yum install dhcp-3.0.5-31.el5

vim/etc/dhcp/dhcpd.conf

ddns-update-style interim;

ignore client-updates;

subnet 10.0.0.0 netmask 255.255.255.0{

option routers 10.0.0.1;

option subnet-mask 255.255.255.0;

option domain-name-servers 10.0.0.1;

range dynamic-bootp 10.0.0.100 10.0.0.200;

default-lease-time 21600;

max-lease-time 43200;

}

3、安装bind，实现dns缓存

代码如下:

yum install bind97.i386 bind97-libs.i386 bind97-utils.i386

vim/etc/named.conf

options{

directory"/var/named";

allow-recursion{ 10.0.0.0/24;};

recursion yes;

forward first;#将所有请求都进行转发

forwarders{ 114.114.114.114;};#定义转发服务器地址

};

zone"." IN{

type hint;

file"named.ca";

};

zone"localhost" IN{

type master;

file"named.localhost";

allow-transfer{ none;};

};

zone"0.0.127.in-addr.arpa" IN{

type master;

file"named.loopback";

allow-transfer{ none;};

};

创建根域文件，默认有

代码如下:

dig-t NS./var/named/named.ca

chown:named/var/named/named.ca

创建本地正向解析文件，默认有

代码如下:

vim/var/named/named.localhost

$TTL 1D

@ IN SOA@ rname.invalid.(

0; serial

1D; refresh

1H; retry

1W; expire

3H); minimum

NS@

A 127.0.0.1

chown:named/var/named/named.localhost

创建本地反向解析文件，默认有

代码如下:

vim/var/named/named.loopback

$TTL 1D

@ IN SOA@ rname.invalid.(

0; serial

1D; refresh

1H; retry

1W; expire

3H); minimum

NS@

A 127.0.0.1

PTR localhost.

chown:named/var/named/named.loopback

检查主配置文件

代码如下:

named-checkconf

检查根区域配置文件

代码如下:

named-checkzone“.”/var/named/named.ca

检查区域文件

代码如下:

named-checkzone“localhost”/var/named/named.localhost

启动服务

代码如下:

service named start

4、重新编译编译内核和iptables以支持应用层过滤

由于实行防火墙功能的是netfilter内核模块，所以需要重新编译内核，需要下载新的内核源码，并使用netfilter-layer7-v2.22作为内核的补丁一起编译到内核中。而控制netfiler的是iptables工具，因此iptables也必须重新编译安装，最后再安装应用程序过滤特征码库17-protocols-2009-05028.tar.gz

1、给内核打补丁，并重新编译内核

2、给iptables源码打补丁，并重新编译iptables

3、安装17proto

备份iptables脚本和配置文件

代码如下:

cp/etc/rc.d/init.d/iptables/root/iptables.sysv

cp/etc/sysconfig/iptables-config/root/iptables-config

2.6内核下载地址

netfilter下载地址

iptables源码下载地址

应用程序特征码库下载地址

代码如下:

xz-d linux-2.6.28.10.tar.xz

tar-xvf linux-2.6.28.10.tar.gz-C/usr/src#新的内核源码，用于重新编译

tar-zxvf netfilter-layer7-v2.22.tar.gz-C/usr/src#内核补丁和iptables补丁，只支持到2.6.28

#进入解压目录并创建软连接

pcd/usr/src

ln-sv linux-2.6.28.10 linux

#进入内核目录

pcd/usr/src/linux

#为当前内核打补丁

ppatch-p1../netfilter-layer7-v2.22/kernel-2.6.25-2.6.28-layer7-2.22.path

#为了方便编译内核将系统上的内核配置文件复制过来

pcp/boot/config-2.6.18-164.el5/usr/src/linux/.config

编译内核

代码如下:

make menuconfig

Networking support- Networking Options- Network packet filtering framework- Core Netfilter Configuration

Netfilter connection tracking support

"lawyer7" match support

"string" match support

"time" match support

"iprange" match support

"connlimit" match support

"state" match support

"conntrack" connection match support

"mac" address match support

"multiport" Multiple port match support

Networking support- Networign options- Network packet filtering framework- IP:Netfiltr Configuration

IPv4 connection tracking support(required for NAT)

Full NAT

MASQUERADE target support

NETMAP target support

REDIRECT target support

在Networking support中选择 Networking options

查找Network packet filtering framework(Netfilter)–Core Netfiler Configrationg–Netfilter connection tracking support(NEW),”layer7″ match support(NEW),”time” match support(NEW),”iprange”

查找IP:Netfilter Configuration–IPv4 connection tracking support,Full NAT(NEW)

代码如下:

make

make modules_install

make install

重启操作系统选择新内核登录

卸载旧的iptables

代码如下:

rpm-e iptables-1.3.5-9.1.el5 iptables-ipv6-1.3.5-9.1.el5 iptstate-1.4-2.el5--nodeps

安装新的iptables，以支持新的netfiler模块

代码如下:

tar-jsvf iptables-1.4.6.tar.bz2-C/usr/src

cd/usr/src/netfilter-layer7-v2.23

cd iptables-1.4.3forward-for-kernel-2.6.20forward

cp*/usr/src/iptables-1.4.6/extensions/

cd/usr/src/iptables-1.4.6/

./configure--prefix=/usr--with-ksource=/usr/src/linux

make

make install

查看安装后的iptables的文件

代码如下:

ls/usr/sbin|grep iptables

ls/usr/libexec/xtables

复制之前备份的配置文件和脚本

代码如下:

cp/root/iptables-config/etc/sysconfig/

cp/root/iptables.sysv/etc/rc.d/init.d/iptables

修改脚本中iptables的路径

代码如下:

vim/etc/rc.d/init.d/iptables

:.,$s@/sbin/$IPTABLES@/usr/sbin/$IPTABLES@g

让iptables服务开机自动启动

代码如下:

chkconfig--add iptables

修改iptables配置文件

将/etc/sysconfig/iptables-config中的

IPTABLES_MODULES=”ip_conntrack_netbios_ns”注释掉

安装协议特征码

代码如下:

tar xvf 17-protocols-2009-05028.tar.gz

make install

完成后在/etc/l7-protocols会生成文件

支持的协议/etc/l7-protocols/protocols

添加iptables策略，运行内部网络上网，禁止qq和视频

代码如下:

iptables-t nat-A POSTROUTING-s 10.0.0.0/24-j SNAT--to-soure 192.168.6.67

iptables-A FORWARD-m layer7--l7proto qq-j DROP

iptables-A FORWARD-m layer7--l7proto httpvideo-j DROP

iptables-A FORWARD-m layer7--l7proto httpaudio-j DROP

指定8点到12点无法上网

复制代码

代码如下:

iptables-A FORWARD-m time--timestart 08:00--timestop 12:00-j DROP

5、使用tc控制带宽

例如公司出口带宽是10Mbps，个用户A分配500KB的最大下载带宽，给用户B分配分配的最大下载带宽是200KB

A用户ip：10.0.0.100

B用户ip：10.0.0.101

代码如下:

#在eth0网卡上创建一个根队列规则，队列规则的算法使用htb，default 2表示指定一个默认类别编号，默认的流量控制策略，如果ip没有在后面的filter中被匹配到就都是有这个策略

tc qdisc add dev eth0 root handle 1:0 htb default 2

#在eth0网卡上定义一个类，prant 1:0中的1对应根队列规则中的handle 1:0，classid 1:2表示当前这个类的标识，用于应用在后面的得到filter中，rate 200kbsp表示带宽为200KB/s，ceil 200kbps表示最大带宽也为200KB/s，prio 2是优先级

tc class add dev eth0 parent 1:0 classid 1:2 htb rate 200kbps ceil 200kbps prio 2

tc class add dev eth0 parent 1:0 classid 1:3 htb rate 500kbps ceil 500kbps prio 2

#将两个类的默认的fifq队列规则改为sfq

tc qdisc add dev eth0 parent 1:2 handle 20 sfq

tc qdisc add dev eth0 parent 1:3 handle 30 sfq

#在网卡eth0上的1:0节点(对应qdisc中的handle 1:0)添加一个u32过滤规则，优先级为1，凡是目标地址是10.0.0.100的数据包都使用1:2类(对应classid为1:2的类)

tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip dst 10.0.0.100 flowid 1:2

tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip dst 10.0.0.101 flowid 1:3

如果还有其他用户例如用户C和D的ip是102、103，要求的下载带宽也要求500那么在加入

代码如下:

tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip dst 10.0.0.102 flowid 1:3

tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip dst 10.0.0.103 flowid 1:3

清除eth0上的规则

代码如下:

tc qdisc del dev eth1 root/dev/null

二、linuxdns搭建详解linuxdns搭建

linuxdns设置bufsize？

修改DNSusername@host:~$vi/etc/resolv.conf内容格式如下：nameserver202.99.166.4重新加载网络配置这里说的重启网络服务，命令如下：visa@ren:~$sudo/etc/init.d/networkingrestart注意：配置修改完成后必须重启网络服务后所做修改才能生效

Linux下常用的DNS服务软件是什么？

1)常用的DNS软件是bind

2)A记录地址记录

MX记录邮件交换记录

CNAME记录别名域记录

3)修改abc.com域名的配置文件，增加以下记录

INMX10mail.abc.com.

mailINA202.106.0.20

4)bind根据请求解析客户端的IP地址，做出不同的解析，其原理是在配置文件中，设定了

view，在每个view都有客户端的IP地址段，bind服务器根据请求解析客户端的IP地址，

匹配不同的view,再根据该view的配置，到相应的配置文件进行查询，将结果返回给请求

的客户端。

Linux常用网络配置文件/etc/resolv.conf配置DNS客户？

文件/etc/resolv.conf配置DNS客户，它包含了主机的域名搜索顺序和DNS服务器的地址，每一行应包含一个关键字和一个或多个的由空格隔开的参数。下面是一个例子文件：nameserver202.103.44.150nameserver8.8.8.8searchhuawei-3com.com合法的参数及其意义如下：nameserver表明DNS服务器的IP地址，可以有很多行的nameserver，每一个带一个IP地址。在查询时就按nameserver在本文件中的顺序进行，且只有当第一个nameserver没有反应时才查询下面的nameserver.domain声明主机的域名。很多程序用到它，如邮件系统;当为没有域名的主机进行DNS查询时，也要用到。如果没有域名，主机名将被使，用删除所有在第一个点(.)前面的内容。search它的多个参数指明域名查询顺序。当要查询没有域名的主机，主机将在由search声明的域中分别查找。domain和search不能共存;如果同时存在，后面出现的将会被使用。sortlist允许将得到域名结果进行特定的排序。它的参数为网络/掩码对，允许任意的排列顺序。RedHat中没有提供缺省的/etc/resolv.conf文件，它的内容是根据在安装时给出的选项动态创建的。

在linux系统下，如何配置DNS服务器，用域名发布网站的整个过程？

力尽不知热，但惜夏日长。

芳菲歇去何须恨，夏木阳阴正可人。

竹外桃花三两枝，春江水暖鸭先知。

寒雨连江夜人吴，平明送客楚山孤。

竹外桃花三两枝，春江水暖鸭先知。

野火烧不尽，春风吹又生。

国破山河在，城春草木深。

春种一粒粟，秋收万颗子。

怎样在linux上使用BIND建立DNS服务器？

1、安装DNS服务器组件：安装bindyuminstall-ybindbind-chrootbind-utils

2、编辑DNS主配置文件：vi/etc/named.conf修改主配置文件

3、接着修改named.rfc1912.zones文件，vi/etc/named.rfc1912.zones

4、添加设置DNS正向解析：修改zone配置文件，正向解析：cd/var/named/cpnamed.localhostszlpt.cn.zoneviszlpt.cn.zone（要和主配置文件里面定义的zone文件名一致）

5、修改zone配置文件，反向解析：cd/var/named/cpnamed.localhost32.168.192.zonevi0.168.192.zone（要和主配置文件里面定义的zone文件名一致）

6、更改防火墙设置和selinux设置：Getenforce（查看selinux是否开启）setenforce0vi/etc/sysconfig/iptables#配置防火墙端口-AINPUT-mstate--stateNEW-mtcp-ptcp--dport53-jACCEPT-AINPUT-mstate--stateNEW-mudp-pudp--dport53-jACCEPT-AINPUT-mstate--stateNEW-mtcp-ptcp--dport953-jACCEPTserviceiptablesrestart#重启防火墙，使规则生效

7、启动DNS服（注意DNS服务名称在linux是叫做bind）：servicenamedstart

8、测试检测域信息是否正常（重要）：检查之前先看下配置文件有没有读取权限ll/var/named（如果没有读取全线，chmod+r/var/named/*即可）

9、检查bind文件配置过程中容易出错：以下命令用以检查bind配置文件及zone文件语法named-checkconf/etc/named.confnamed-checkzoneszlpt.cn/var/named/szlpt.cn.zone

10、启动重启DNS服务，查看服务状态：servicenamedrestartservicenetworkrestart用户端测试解析，通过nslookup进行测试。

三、Ubuntu Server 安装配置 bind9

域名服务（DNS）是一种Internet服务，可将IP地址和标准域名（FQDN）相互映射。这样，DNS减轻了记住IP地址的需要。运行DNS的计算机称为名称服务器。Ubuntu附带了BIND(Berkley Internet Naming Daemon)，BIND是用于在Linux上维护名称服务器的最常用程序。

在终端提示符下，输入以下命令安装 dns:

dnsutils软件包是测试和解决 DNS问题非常有用的。这些工具通常已经安装，但是要检查或安装 dnsutils，请输入以下内容：

有许多方法可以配置BIND9。一些最常见的配置是缓存名称服务器，主服务器和辅助服务器。

DNS配置文件存储在/etc/bind目录中。主要配置文件是/etc/bind/named.conf，在软件包提供的布局中仅包括这些文件。

可以将同一服务器配置为缓存名称服务器，主要和辅助名称服务器：这都取决于它所服务的区域。服务器可以是一个区域的授权开始（SOA），同时为另一区域提供辅助服务。同时为本地LAN上的主机提供缓存服务。

默认配置充当缓存服务器。只需取消注释并编辑/etc/bind/named.conf.options即可设置ISP的DNS服务器的IP地址：

要启用新配置，请重新启动DNS服务器。在终端提示下：

在本节中，将BIND9配置为域的主服务器 example.com。只需 example.com用您的FQDN（完全合格的域名）替换即可。

要将DNS区域添加到BIND9，将BIND9变成主服务器，请首先编辑/etc/bind/named.conf.local：

现在，使用现有的区域文件作为模板来创建/etc/bind/db.example.com文件：

编辑新的区域文件，/etc/bind/db.example.com然后更改 localhost.为服务器的FQDN，.在末尾保留其他文件。更改 127.0.0.1为名称服务器的IP地址和 root.localhost有效的电子邮件地址，但用.代替通常的@符号，并再次.在末尾保留。更改注释以指示此文件所针对的域。

为基本域创建 A记录 example.com。此外，创建一个 A记录的 ns.example.com，在这个例子中，域名服务器：

每次更改区域文件时，都必须增加序列号(Serial)。如果在重新启动BIND9之前进行了多次更改，只需增加一次串行。

现在，您可以将DNS记录添加到区域文件的底部。有关详细信息，请参阅公共记录类型。

对区域文件进行了更改之后，需要重新启动BIND9以使更改生效

现在已经设置了区域并将名称解析为IP地址，现在需要添加反向区域以允许DNS将地址解析为名称。

编辑/etc/bind/named.conf.local并添加以下内容：

现在创建/etc/bind/db.192文件:

接下来编辑/etc/bind/db.192，更改与/etc/bind/db.example.com相同的选项：

每次更改时，“反向”区域中的序列号也需要增加。对于您在/etc/bind/db.example.com中配置的每个A记录（即针对另一个地址），您需要在/etc/bind/db.192中创建一个PTR记录。

创建反向区域文件后，重新启动BIND9

一旦配置了主服务器，强烈建议使用辅助服务器，以在主服务器不可用时维持域的可用性。

首先，在主服务器上，需要允许区域传输。将 allow-transfer选项添加到示例正向和反向区域定义中/etc/bind/named.conf.local：

在主服务器上重新启动BIND9：

接下来，在辅助服务器上，以与主服务器相同的方式安装bind9软件包。然后编辑，/etc/bind/named.conf.local并为正向和反向区域添加以下声明：

在辅助服务器上重新启动BIND9：

在其中，/var/log/syslog您应该看到类似以下内容的内容（为了适应本文档的格式，对某些行进行了拆分）：

测试BIND9的第一步是将名称服务器的IP地址添加到主机解析器。应该配置主要名称服务器以及另一个主机，以仔细检查。有关将名称服务器地址添加到网络客户端的详细信息，请参阅DNS客户端配置。最后，您的 nameserver一行/etc/resolv.conf应指向， 127.0.0.53并且您应该 search为您的域指定一个参数。像这样：

要检查您的本地解析器正在使用哪个DNS服务器，请运行：

如果安装了dnsutils软件包，则可以使用DNS查找实用程序dig测试设置：

安装完BIND9之后，请对环回接口使用dig来确保它正在侦听端口53。从终端提示符下：

您应该在命令输出中看到类似于以下内容的行：

如果您已将BIND9配置为缓存名称服务器，则“挖掘”外部域以检查查询时间：

注意查询时间接近命令输出的末尾：

经过第二次挖掘后，应该有所改进：

现在演示应用程序如何使用DNS解析主机名，使用ping实用程序发送ICMP回显请求：

这测试名称服务器是否可以将名称解析为 ns.example.com IP地址。命令输出应类似于：

测试区域文件的一种好方法是使用 named-checkzone与bind9软件包一起安装的实用程序。使用此实用程序，可以在重新启动BIND9并使更改生效之前确保配置正确。

要测试我们的示例正向区域文件，请从命令提示符处输入以下内容：

如果一切配置正确，您应该会看到类似以下的输出：

同样，要测试反向区域文件，请输入以下内容：

输出应类似于：

BIND9有多种可用的日志记录配置选项，但是两个主要的选项是 channel和 category，它们分别配置日志的去向和要记录的信息。

如果未配置任何日志记录选项，则默认配置为：

让我们将BIND9配置为将与DNS查询相关的调试消息发送到单独的文件。

我们需要配置一个通道以指定要将消息发送到的文件，以及一个category。在此示例中，类别将记录所有查询。编辑/etc/bind/named.conf.local并添加以下内容：

由于命名守护程序以绑定用户身份运行，因此/var/log/named必须创建目录并更改所有权：

现在重新启动BIND9，以使更改生效：

您应该看到文件中/var/log/named/query.log填充了查询信息。这是BIND9日志记录选项的简单示例。