BIND-DNS配置介绍

??一、主要配置文件

/etc/named.conf

options { ?????????????//Option 段全部配置

??listen-on port 53 { 127.0.0.1; };//表示BIND将在53端口监听，若需要对所有IP进行监听，则修改为// listen-on port 53 { any; };

directory ??????"/var/named";//工作目录。

dump-file ??????"/var/named/data/cache_dump.db";//缓存转储位置，需要配合rndc命令。

statistics-file "/var/named/data/named_stats.txt";//记录统计信息的文件，需要配合rndc命令。

?emstatistics-file "/var/named/data/named_mem_stats.txt";//记录内存使用的统计信息。

allow-query ????{ localhost; };//允许查询的主机，默认只允许本机查询若需要允许所有客户机查询，则修改为// allow-query { any; };

recursion yes;//允许递归查询。

notify?yes;//区域数据文件更新发送通知。

querylog ?yes //启用日志

forwarders? ???{ 192.168.1.1; };?// 如果域名服务器无法解析时，将请求交由168.95.1.1; 192.168.1.1来解析
?allow-transfer { none; };?//指定允许接受区域传送请求的主机，比如辅dns的ip是192.168.1.2，那么可以这样定义{ 192.168.1.2; }，要不然主辅dns不能同步，当然，{}里的也可以用下面提到的acl。

dnssec-enable yes;?//是否支持DNSSEC开关,默认为yes。

dnssec-validation yes;?// ?是否进行DNSSEC确认开关,默认为no。

dnssec-lookaside auto;// 当设置dnssec-lookaside,它为验证器提供另外一个能在网络区域的顶层验证DNSKEY的方法。

bindkeys-file "/etc/named.iscdlv.key";??//该文件中保存了ISC DNSSEC的后备验证密钥，该文件用来代替DS集。

};

logging {//Loging段

channel default_debug {

file "data/named.run";//记录了一些named的信息，如监听/解析记录等。它的位置在/var/named /var/named/data下。

severity dynamic;??//输出日志级别

};

};

zone "." IN {

type hint;//type只有3种参数：hint/master/slave.只有"."对应的type为hint，其它zone的类型只能为master或slave，即DNS主机和DNS从机。

file "named.ca";//指定了root解析文件的位置，解析文件中记录着域名与IP的对应关系。它的位置在/var/named /var/named/data下。

};

include "/etc/named.rfc1912.zones";//解析文件列表的位置

include "/etc/named.root.key"; //根区域的key文件，与事务签名相关。
// 这里定义一个acl列表
acl "acl1" {
? ?? ???192.168.139.0/200; 192.168.1.0/200?
};
view localhost_resolver {?//定义一个视图
? ?? ???match-clients? ?? ?{ any; };?//查询者的源地址，any表示localhost_resolver视图对任何主机开放，如果写成{ acl1; }，那么就只有acl1表里的ip可以递归查询了
? ?? ???match-destinations { any; };?//查询者的目标地址，这里也可以写成{ localhost; acl1; }

}

二、日志系统配置

在默认情况下，BIND把日志消息写到/var/log/messages文件中，而这些日志消息是非常少的，主要就是启动，关闭的日志记录和一些严重错误的消息，所以要详细记录服务器的运行状况，需要自己配置服务器的日志行为。也就是要在配置文件named.conf中使用logging语句来定制自己所需要的日志记录，logging语句的语法为：

logging {

?????????channel ; {

?????????????????file ;;

?????????????????syslog ;;

?????????????????null;

?????????????????stderr;

?????????????????severity ;;

?????????????????print-time ;;

?????????????????print-severity ;;

?????????????????print-category ;;

????????};

????????category ; { ;; ... };

};

在日志中主要有两个概念：通道（channel）和类别（category）。通道指定了应该向哪里发送日志数据：是发送给syslog，还是写在一个文件里，或是发送给named的标准错误输出。类别则规定了哪些数据需要记录。

启用DNS日志：

日志通道输出级别：

critical
error
warning
notice
info
debug [ level ]
dynamic

category日志源:

default: 默认分类,没有分类的日志都使用这个分类的配置.
general: 没有分类的日志都记录在此分类中.
database: 服务器内部使用存储zone和缓存数据.
security: 允许/拒绝的请求.
config: 配置文件分析和处理.
resolver: DNS解析,被dns缓存服务器进行递归查询.
xfer-in: 接收区域传输.
xfer-out: 发送区域传输.
notify: NOTIFY协议.
client: 客户端请求进程.
unmatched: 未匹配的查询.
network: 网络操作.
update: 动态更新.
update-security: 允许/拒绝更新请求.
queries: 客户端队列日志.
dispatch: 数据包传送日志.
dnssec: DNSSEC和TSIG协议处理.
lame-servers: 远端的配置错误的服务器发送的请求.
delegation-only: NXDOMAIN的结果将被强制定义到delegation-only区域.

需要注意的是，一个日志类别产生的多个不同类别的信息可以发往不同的位置，但每一个位置只能保存来自于一个category的信息（一个category可以被定向到多个channel，但一个channel只能属于一个category）。

举例：

在/var/log/下新建一个文件夹bind用于记录查询日志。

三、配置正向解析区域

1、在主配置文件中定义区域

（1）一个FQDN可对应同多个IP；(负载均衡)?

（2）多个FQDN可对应一个IP：(一台主机有多个名称，且可以用CNAME定义)。

（3）使用相关命令(named-checkconf、named-checkzone)测试配置文件及区域文件是否存在语法错误。

（4）确保主配置文件和各区域解析库文件的权限为640，属主为root，属组为named；

?vim /etc/named.conf

同样可以自定义文件zone文件位置，自定义区域文件路径需要修改相应文件权限。

chgrp??named ?/etc/named.rfc1912.zones

2、区域文件关键性字段格式?

zone "ZONE_NAME" IN {

type {master|slave|hint|forward};

file "ZONE_NAME.zone";

};

?3、增加解析库文件

“ZONE_NAME.zone”文件默认路径在"/var/named"，工作目录。为了后期维护方便可以自定义解析库文件路径，同样需要修改文件权限。

chgrp??-R??named??test/

$ORIGIN test1.com.???//宏定义

@ IN SOA ns1.?test1.com. test.test1.org (

2015042201

1H

5M

7D

1D )

IN ?NS ??ns1

IN ?MX 10 mx1

ns1 IN ?A 192.168.100.11

mx1 IN ?A 192.168.100.13

webapp??IN??A 192.168.100.100

4、配置完成后可用命令对文件进行检查

主配置文件语法检查：

named-checkconf

解析库文件语法检查：

named-checkzone "?ZONE_NAME"?/var/named/test1.com.zone

5、配置生效

?rndc reload?或者

systemctl reload named

四、配置反向解析区域

正向解析与反向解析各自采用不同的解析库，一台DNS服务器可以只有正向解析库或只有反向解析库，也可以同时提供正向/反向解析。

反向区域的区域名称格式：

地址反写.in-addr.arpa

例如：假设网络地址为172.16.100.1 那么规则命名为100.16.172.in-addr.arpa

这里我本地的内网IP为192.168.1.0， 所以则写成1.168.192.in-addr.arpa

1、定义区域

zone "?ReverseIP.in-addr.arpa " IN {

type {master|slave|forward}；

file "网络地址.zone"

};

2、创建反向区域解析文件

?

?