关于DNS软件bind的使用

2023-08-04 16:53:35 7014

DNS软件bind

我们说DNS是一种协议,而对于每一种协议的实现都需要程序员开发出遵循这种协议规范的软件程序来实现,这里要介绍的BIND就是DNS协议的一种开源实现。据统计,使用bind作为DNS服务器软件的DNS服务器大约占所有DNS服务器的九成。BIND全称为Berkeley Internet Name Domain,因为当今互联网上的通信几乎都必须借助于DNS服务器来解析主机名,得到通信对方的IP地址,而在DNS服务器上最常用的软件就是bind,所以,bind这款软件几乎可以说是当今互联网上常用的软件了。

目前bind由ISC.org(Internet Systems Consortium,互联网系统协会)负责开发与维护。

bind包相关工具

dns服务, 程序包名:bind, 程序名:named

bind   #提供dns server程序,以及几个常用的测试工具。
bind-libs   #提供bind和bind-utils包中的程序共同用到的库文件。
bind-utils #bind客户端程序集,例如提供host, nslookup, dig等工具。
bind-chroot #类似chroot,把dns服务限制在某个范围之类. 安全包

bind相关文件

  • 服务脚本:/etc/rc.d/init.d/named

  • 主配置文件:/etc/named.conf,/etc/rfc1912.zones,/etc/rndc.key

  • 解析文件:

/var/named/ZONE_NAME.ZONE

根区域解析库文件:named.ca.

注意:

    1. 一台物理服务器可同时为多个区域提供解析;

    2. 必须要有根区域文件;named.ca

    3. 应该有两个(如果包括ipv6的,应该更多)实现localhost和本地回环地址的解析库;

rndc: remote name domain controller,默认与bind安装在同一主机,且只能通过127.0.0.1来连接named进程;提供辅助性的管理功能;监听端口:953/tcp

bind配置文件说明

  • 主配置文件:

/etc/named.conf

    • 全局配置:option       {}

    • 日志配置:logging{}

  • 区域配置配置文件:

/etc/rfc1912.zones

    • 区域配置:本机能够为哪些zone进行解析,就要定义哪些zone;例如:zone       "ZONE_NAME" IN {}

默认CentOS会默认配置回环地址

  • 至于options内的比较重要的子参数简单叙述如下:

listen-on port 53 { any; };

监听在当前主机上的哪个网络接口。默认是监听在localhost,也就是只有本机才能够查询,这显然是不符合现实需要的,因此可以改为any,表示可以监听多个网络接口,any之后要加上分号才算结束。只要监听在能够与外网主机进行通信的网络接口上,就可以为外网主机提供解析服务,当前前提是别人知道自己主机的IP地址。这里也可以监听在指定的网络接口上,可以监听多个接口,每个地址后面都需要加上分号。

directory "/var/named";

这里的意思是如果在/etc/named.conf(包括被包含进来的配置文件)中定义了正反解区域解析库文件的文件名时,该文件名默认应该存放于哪个目录下,默认是存放在/var/named/目录下。需要注意的是,如果安装了bind-chroot程序包,则这些区域解析库文件最终会被主动链接到/var/named/chroot/var/named/这个目录。

*dump-file、statistics-file、memstatistics-file

与named这个服务有关的许多统计信息,如果想要输出为文件的话,默认的文件名就由这三项指定。

allow-query { any; };

这是针对DNS客户端的设置,表示谁可以向我的DNS服务提出查询请求的意思。默认设置为localhost,表示仅允许本地查询,这里修改为any,表示对所有的用户开放(当然,防火墙必须放行才行)。

allow-transfer { none; };

当架设主-从DNS服务器时,允许哪台从DNS服务器向我的这台DNS服务器转发区域解析库文件的数据。

recursion yes;

是否允许为DNS客户端做递归查询。默认为yes.

image.png

rndc命令管理dns服务器

我们知道,DNS服务默认的监听端口是53,当我们在主机上启动DNS服务之后,用netstat查看监听端口,显示如下:

[root@localhost ~]# netstat -tunlp | grep named
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      1387/named          
tcp        0      0 192.168.1.120:53        0.0.0.0:*               LISTEN      1387/named          
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      1387/named          
tcp6       0      0 ::1:953                 :::*                    LISTEN      1387/named          
tcp6       0      0 ::1:53                 :::*                    LISTEN      1387/named          
udp        0      0 192.168.1.120:53        0.0.0.0:*                           1387/named          
udp        0      0 127.0.0.1:53            0.0.0.0:*                           1387/named          
udp6       0      0 ::1:53                 :::*                                1387/named  

复制

上面结果显示,除了能够看到53号端口之外,还能看到953端口,那是namd在953端口多启动了一个服务,这就是rndc了。 这个rndc的全称是Remote Name Domain Controller,它可以帮助用户更方便地管理DNS服务器,包括可以检查DNS服务器的状态与统计信息、重载配置文件及zone或单独重载某个区域而不需要重新启动整个DNS服务,还有查看已存在DNS缓存当中的资料等。 rndc服务默认监听在tcp的953端口,且默认监听于127.0.0.1地址,因此默认仅允许本地使用。

  • rndc的常见用法:

    • rndc reload:在不重新启动DNS服务的情况下,重新加载配置文件及zone.

    • rndc reload zone:重新加载指定的zone.

    • rndc status:查看当前DNS服务器的状态。

    • rndc stats:将当前系统的DNS统计数据记录下来,默认会将数据存储为一个文件:/var/named/data/named_stats.txt.

    • rndc dumpdb:将当前DNS高速缓存中的数据记录下来,与stats类似,默认会将数据存储为一个文件:/var/named/data/cache_dump.db.、

    • rndc flush:清空当前DNS服务器上的所有缓存。

 


提交成功!非常感谢您的反馈,我们会继续努力做到更好!

这条文档是否有帮助解决问题?

非常抱歉未能帮助到您。为了给您提供更好的服务,我们很需要您进一步的反馈信息:

在文档使用中是否遇到以下问题: