《Linux DNS 服务器安装与配置和维护 资料.docx》由会员分享,可在线阅读,更多相关《Linux DNS 服务器安装与配置和维护 资料.docx(10页珍藏版)》请在三一办公上搜索。
1、每个IP地址都可以有一个主机名,主机名由一个或多个字符串组成,字符串之间用小数点隔开。有了主机名,就不要死记硬背每台IP设备的IP地址,只要记住相对直观有意义的主机名就行了。这就是DNS协议所要完成的功能。本文将讨论DNS服务器,特别是1.inUXDNS服务器,及其如何安装、配置和维护它。ZetcZhosts文件在没有DNS服务器的情况下,每个系统在本地网络上保留其主机名和相应IP地址列表的副本是合理的特别是在没有互联网连接的小型站点上。在1.inUX系统中,这个列表就是etchosts文件。即使你没有DNS服务器或DNS服务器不可用,该文件也可以使用etchosts文件将IP地址转换为名称。
2、也许你已经有DNS服务器了,但你也会因为其它原因而想保留这个文件。例如,系统可能需要在向外部查询之前在本地查找DNS服务器的IP地址;这意味着系统在查询DNS服务器之前先检索该文件,如果查找到对应的域则无须查询任何DNS服务器直接将其转换为IP地址。试试编辑下etchosts文件,并添加以下信息:.然后,返回你的浏览器,输入,看看结果如何。如果你的系统上安装了Apache并且本地主机正在运行,浏览器会显示IoCalhoSt的索引页,而不是GOOgIe页面。作为确认,你可以将映射到任何网站的任何其他IP地址并查看结果。因此这个文件所做的是将IP地址转换成名字,但这仅仅是在同一互相连接的网络下。那
3、么外部网络和众多系统的所有记录是如何维护的呢?每个人都需要维护自己的etchosts文件并自己更新吗?更为稳健的域名服务是DNS服务器。域名当你访问网站时,你可以输入FQDN(FullyQualifiedDomainName,完全限定域名)或类似或的域名。在域名中从右到左的两个点之间的每个文本依次是顶级域组件、二级域组件和三级域组件。所以,com是顶级域名组件;google是二级域组件;而www是三级域名组件。实际上,当你访问任何网站时,浏览器会默认在域的末尾添加一个不可见的点,因此该域将像一样。该点被称为根域。该点是由一大堆称为根域名服务器的特殊服务器管理的。截止这篇文章发表前,世界上有13
4、个根域名服务器。你可以把他们当成互联网的大脑-如果他们失效了,世界上就没有互联网了。为什么是13呢?因为如果世界的某处地震可能会破坏一个根服务器,所以其他的服务器可以继续提供服务直到受影响的服务器重新上线。这些根名称服务器按字母顺序命名,名称如、等。顶级域名(或称作一级域名T1.Ds)我们已经见过顶级域名的组成部分,如com。可以认为,顶级域名为DNS命名空间提供分类组织。顶级域名(T1.D)根据地理或功能方面分为几类。截止本文撰写时,网上有800多个顶级域名。顶级域名类别有:通用的顶级域名如:org,.com,.net,.gov,.edu等等国家代码顶级域名如:us,ca等,分别对应美国和加
5、拿大的国家代码新的品牌顶级域名,允许组织创建最多64个字符的T1.D,如:.linux,.microsoft,.companyname等基础架构顶级域名如:arpa子域名当你访问一个类似这样的网站,这里的mail就是的子域名.只有的名称服务器知道他下面存在的所有主机,所以GOOgle会回复是否有一个叫mail的子域名。根名称服务器对此并不知情。DNS服务器的类型一共有三种DNS服务器。主DNS服务器这些服务器上存放了特定域名的配置文件,并且基于此权威地规定了特定域名的地址。主DNS服务器知道全部在它管辖范围的主机和子域名的地址。辅助DNS服务器这些服务器作为主DNS服务器的备份,也承担一定负载
6、。主服务器知道辅助DNS服务器的存在,并且会向他们推送更新。缓存DNS服务器这些服务器上不存放特定域名的配置文件。当客户端请求缓存服务器来解析域名时,该服务器将首先检查其本地缓存。如果找不到匹配项便会询问主服务器。接着这条响应将被缓存起来。您也可以轻松地将自己的系统用作缓存服务器。搭建1.inuxDNS服务器1.inux下有很多实现了DNS功能的包,不过我们只关注BINDDNS服务器。它用于世界上大多数DNS服务器。如果你在使用基于RedHat发行版的1.inUX,比如CentoS,可以像这样安装:Sdnfyinstallbind如果你使用基于Debian的操作系统,比如Ubuntu:Sapt
7、getinstallbindO安装完成之后就可以启动它并让它在计算机启动的时候一并启动起来。SsystemctlstartnamedSsystemctlenablenamed配置BIND这个服务使用etcnamed.conf作为配置文件。BIND在那个文件中使用像下面这样的一些语句:OPtionS:用于全局BIND配置。IOgging:配置哪些需要记录,哪些需要忽略。我推荐你看看1.inuxsyslogserveroZone:定义DNS区域。include:在named.conf中包含另一个文件。在options语句中可以看到BIND的工作目录在/var/named。ZOne语句可用于定义DN
8、S区域,比如域名,它包含子域名。上述三个域名(主域名和子域名)都有一个由zone语句定义的区域。定义一个主域服务器我们知道DNS服务器类型有主域名服务器、辅助域名服务器和缓存域名服务器。不同于缓存域名服务器,主域名服务器和辅助域名服务器在应答过程中是处于同等地位的。在etcnamed.conf的配置文件中,你可以使用如下语法定义一个主域服务器:zonetypemaster;.db;包含主要区域信息的文件存放在varnamed目录下,从optionsJI,这是一个工作目录。注意:软件服务器或者托管面板会根据你的域名自动为你创建主域服务器信息的文件名,因此如果你的域名是example.org,那么
9、你主域服务器信息的文件就为varnamedexample.org.db。类型为master,也就是说这是一个主域服务器。定义一个辅助域服务器同定义一个主域服务器一样,辅助域服务器的定义稍微有些变化:zonetypeslave;mastersIPAddresslist;.db;对于辅助域服务器来说,它的域名和主域服务器是一样的。上述语法里的的slave类型表示这是一个辅助域服务器,mastersIPAddresslist”表示辅助域服务器中区域文件内的信息都是通过主域服务器中区域文件内的信息复制过来的。定义一个缓存服务器即使你已经配置了主域或者辅助域服务器,你仍有必要(不是必须)定义一个缓存服务
10、器,因为这样你可以减少DNS服务器的查询次数。在定义缓存服务器之前,你需要先定义三个区域选择器,第一个:zone,*.,INtypehint;fileroot.hintn;zone.nINtypehint;fileroot.hintn;zone,.,INtypehint;fileroot.hintu;ZonenIocalhostuINtypemaster;filenlocalhost.dbn;定义第三个区域是为了反向查找到本地主机。这种反向查找是把本地的IP地址执向本地主机。zone,0.0.127.inaddr.arpa,INtypemastefile11127.0.0.revu;);把这三
11、个区域信息放到etcnamed.conf文件里,你的系统就可以以缓存服务器来工作了。但是如何引用类似.db,localhost.db,f11127.0.0.rev这些文件中的内容呢?这些文件包含具有某些选项的每个区域的DNS记录类型。那么,这些DNS记录类型是什么以及它们是如何写的?DNS记录类型数据库文件包含诸如SoA、NSA、PTRMX、CNAME和TXT在内的记录类型。我们看看每一种类型都是如何记录的吧。SOA:起始授权机构记录SOA记录按如下形式开始描述一个站点的DNS条目:.86400INSOA.(2017012604;serial86400;refresh,seconds7200;
12、retry,seconds3600000;expire,seconds86400;minimum,seconds)第一行以域名开始,以句号结束该语句和etcnamed.conf文件中的区域定义是一致的。我们要始终记得,DNS配置文件是极其挑剔的。IN告诉域名服务器:这是一条网络记录。SOA告诉域名服务器:这是一条起始授权机构记录。是该文件所在域的域名服务器的完全合格域名(FQDNiFullyQualifiedDomainName)O是域管理员的邮箱地址。你会发现这个邮箱地址没有“”标志,而是被句号所取代,并且末尾还有一个句号。第2行是一个序列码,它被用来告诉域名服务器文件是什么时候升级的。因此
13、,如果你对区域码做了变更,你必须对这个序列码进行递增。这个序列码的格式是YYYYMMDDxx,其中的XX是从00开始的。第3行是每秒刷新率。这个值被用来告诉第二个域名服务器查询主服务器中的记录是否已经被更新的频率。第4行是每秒重试的频率。如果第二个服务器多次尝试连接主域名服务器来进行更新检测,但无法连接上的时候,第二个服务器就会在每秒内重试指定的数值次数。第5行是超时指示。其目的是为了第二个服务器能将区域数据缓存下来。这个值告诉这些服务器如果它们不能连接到主服务器来进行更新,那么它们就会在这个指定数值秒数之后抛弃这个值。第6行告诉缓存服务器,如果它们不能连接到主域名服务器时,它们应该在超时前等
14、待多久。NS:NameServerRecords(名称服务器记录)NS记录用于指定哪个名称服务器维护该域的记录。你可以这样编写的NS记录:INNS.INNS.并不需要有2个NS记录,但是通常偏好有备份名称服务器。A和AAAAiAddressRecords(地址记录)A记录用于提供从主机名到IP地址的映射SupportINA192.168.1.5o如果你在地址为192.168.1.5上的上有一个主机,你可以像上面的例子那样输入。请注意,我们所写的主机并终有句号。PTRiPointerRecords(指针记录)PTR记录用于执行反向名称解析,允许某人指定IP地址然后找出对应的主机名。这与A记录的功
15、能相反:192.168.1.51NPTR在这里,我们键入具有点号的完整主机名。MxiMailExchangeRecords(邮件交换记录)MX记录告诉其他站点关于你所在域的邮件服务器地址:.INMX1Omai1.当然这个域以句号结束。数字10是邮件服务器的重要性标志,如果你拥有多个邮件服务器,其中较小的数字不太重要。CNAMEcanonicalNameRecords(权威名称记录)CNAME记录允许你为主机名创建别名。当你想提供一个易于记住的名称时,这很有用。假设某个站点具有一个主机名为hateverbignameis.example的Web服务器,并且由于系统是Web服务器,因此可以为主机创
16、建一个名为www的CNAME记录或者别名。你可以创建名为的域名创建CNAME记录:WhateverbignameisINA192.168.1.5WwwINCNAMEwhateverbignameis第一行通知DNS服务器关于别名的位置。第二行创建一个指向www的别名。TXT记录您可以将任何信息存储到TXT记录中,例如你的联系方式或者你希望人们在查询DNS服务器时可获得的任意其他信息。你可以这样保存TXT记录:.INTXT”YoURlNFoGOESHERE”.此外,RP记录被创建为对host联系信息的显式容器:.INRPoDNSTT1.值在etcnamed.conf文件的顶部,这里有一个$TT1
17、.条目。该条目告诉BIND每个单独记录的TT1.值(timetolive,生存时间值)。它是以秒为单位的数值,比如14,400秒(4个小时),因此DNS服务器最多缓存你的域文件4个小时,之后就会向你的DNS服务器重新查询。你可以降低这个值,但是默认值通常是合理的。除非你知道你正在做什么。捕获配置错误当写入域文件时,也许您忘记了一个句号或空格或其他任意错误。你可以从日志诊断1.inUXDNS服务器错误。BIND服务通过varlogmessages上的错误,可以使用tail命令来查看实时错误日志,须使用f选项:Stailf7varlogmessageso因此,当你编写域文件或修改etcnamed.
18、config并重新启动服务时,显示错误之后,你可以从日志中轻松识别错误类型。Host命令在你成功添加或修改记录后,可以使用host命令查看主机是否正确解析。host命令允许你将主机名解析为IP地址:$。此外,你可以执行反向查找:Shost192.168.1.5o你可以this在此篇文章中查看更多关于host和dig命令的信息。Whois命令whois命令用于确定域名的所有权及其拥有者的email地址和联系电话:.Rndc命令rndc工具可用于安全地管理名称服务器,因为与服务器的所有通信均通过数字签名进行身份验证。此工具用于控制名称服务器和调试问题。你可以通过以下方式检查1.inuxDNS服务器
19、的状态:Srndcstatuso此外,如果你更改任何域(Zone)文件,您可以重新加载服务,而无须重启命名月艮务:$o在这里,我们重新加载域文件。你可以重新加载所有域:Srndcreloado或者你可以添加新的域或更改服务的配置。你可以重新加载配置,如下所示:Srndcreconfig01.inuxDNS解析器我们已经知道1.inuxDNS服务器的工作原理以及如何配置它。另一部分当然是与DNS服务器交互的(正在与DNS服务器通信以将主机名解析为IP地址的)客户端。在1.inux上,解析器位于DNS的客户端。要配置解析器,可以检查etcresolv.conf这个配置文件。在基于Debian的发行
20、版上,可以查看etcresolvconfresolv.conf.d目录。etcresolv.conf文件中包含客户端用于获取其本地DNS服务器地址所需的信息。第一个表示默认搜索域,第二个表示主机名称服务器(nameserver)的IP地址。名称服务器行告诉解析器哪个名称服务器可使用。只要你的BIND服务正在运行,你就可以使用自己的DNS服务器。使用1.inUXDNS服务器非常简单。我希望你发现这篇文章很有用,并且很容易理解。附:1.inUX环境下搭建主从DNS服务器一.bind简介1.inux中通常使用bind来实现DNS服务器的架设,bind软件由isc(www.isc.org)维护。在yu
21、m仓库中可以找到软件,配置好yum源,直接使用命令yuminsta11bind就可以安装。监听窗口为53。bind的主要配置文件为etcnamed.conf,此文件主要用于配置区域,并指定区域数据库文件名称。区域数据库文件通常保存于varnamed目录下,用于定义区域的资源类型。二.架设主DNS服务器实例操作:以域名为例配置一个DNS服务器,实现正向解析。配置一台ip为172.18.24.17/16的主机作为DNS服务器。为了实验能成功进行,我们把selinux和防火墙先关闭:IrOOtCentOS7#SetenfbrCe0#设置selinux为PermiSSVierootCentOS7#Sy
22、StemCt1StoPfireWalId#关闭防火墙IrOOtCentOS7#SSnt1#查看53号端口是否打开,监听本机的IP修改主配置文件:rootcentos7-#vim/etc/named.confoptionslistenonport53127.0.0.IJocalhost;#监听本地所有的IPalk)WqUeryany;#所有的客户端金可以查询区域数据库,实现解析定义用户自定义域:lrootcentos7-#vim/etc/named.rfc1912.zones#fflP自定域,也可以把域写在etcnamed.conf文件中ZOKeIN#添力口域typemaster;#指定类型为主
23、file”Z.zone”;#指定区域数据库文件名;写解析数据库文件:lrootcentos7-#vim/var/naemd/.zone$TT1.1D2DINS0A.(200005;Seria1#版本号,版本号可以任意数值,位数不能超过10个lD;refresh#更新间隔时间,ID表示一天lH;retry#同步数据失败后,再次尝试同步间隔时间。IH表示1小时lW;expire#一直不能同步数据,此间隔时间后从服务器不再提供解析服务3H);minimum#错误请求间隔时间,此时间内不再重启查询,直接将结果返回给客户端NSdnS1#指明服务器名称dnsl2DINA172.18.24.17#服务器IP
24、WWWCNAMEWeb#指明WWW为Web的别名webA172.18.24.26#域名对应的IP.A172.18.24.27lrootcentgos7namedl#.zonerwrIrootroot296Sep220549Z.zone#只有所有者和所属组有读的权限这里所有主和所属组都是root用户,其他用户没有读的权限,故需要下面的一步修改让named有读解析数据文件的权限lrootcentos7|#chgrpnamed/var/named/.zon#彳艮重要的一步,把.zon解析数据文库的属组改为named,这是DNS服务创建的一个用户,用于方便调用DNS服务,这里把属组改成named,na
25、med就有权限为客户端读取解析数据,达到查询解析的目的主配置文件语法检查:lrootcentos7-#namedcheckconf#检查配置文件中的语法/etc/named.conf7etc/named.rfc1912.zoneslrootcentos7-#varnamedZ.zone#解析库文件语法检查rootCentoS7#rndcreload#加载DNS配置文件rootfkcnt9os7nad)t11MNdchckconf(root(knt9os7naiwdjtnad-chckony*.coavrnMdy.cm.zoiz00xy.co*IN:loddrit29MQOK(rOOtAeetQ
26、OtT测试主DNS服务器能否解析:用IP为172.18.24.6/16的主机测试IP为172.18.24.17的DNS主服务器能否正常解析域名。保证两台主机能正常通信。在IP为172.18.24.6/16的主机上用yum安装bindutils包,安装此包中有dig命令的,dig命令这里不详细讲解了,有兴趣的同学可以看我另外一篇关于DNS的博客,里面有详解讲解dig的用法。IrOOtCentOS7#172.18.24.17#在指定ip为172.18.24.17的主机上查询域名为的ip地址IroOtCentoS7#172.18.24.17#在指定ip为172.18.24.17的主机上查询域名为的i
27、p地址,这里(*MfCntM41.;1.B.2rel-U*t2.rcl.U*MM.y.c112.l.J4.17t4*lEGtr*w,;.MioMt.ttw:WWicw.id.m八5Mrdr;OMRV1.4MM9211XWn1,MOtHOM1.1,QUKHQNMeTtOa.Mrfy.M.DkAANSWBSKTlOR-MMOI*CMMEHb.t*ca.W*ftrmnm*mMrtMflMrrUCnNtfcMMTaV,MoIrIQMM.StCTIH:”.M4MnAm.M.M.lT.Qwxye-c三.架设从DNS服务器准备:一台IP为172.18.24.7/24的主机,并且能与IP为172.18.24.
28、17/16主DNS服务器、IP为172.18.24.6/测试主机通信。为了保证实验顺利进行,我们先把selinux和防火墙关闭,第二步架设主DNS服务器有写,这里不再赘述。同理修改主配置文件:lrootcentos7-#vim/etc/named.confoptionslistenonport53localhost;#11RJf本地所有的IPanOWqUeryany;#所有的客户端都可以查询区域数据库,实现解析定义用户自定义域:lrootcentos7-#vim/etc/named.rfc1912.zones#fflP自定域,也可以把域写在etcnamed.conf文件中ZOneIN#添力U域
29、typeslave;#指定类型为从服务器masters172.18.24.17;#指定从当前从服务器对应的主服务器IP地址file,slaves.slave.zone;#指定从解析数据库文件名这里我们就不需要在自己写解析数据文件了,我们要实现主从DNS服务器,那么数据就必须要同步,接下来,我们就开始同步解析数据文件:lrootlocalhost-#cd/etc/named/slaveslrootlocalhostslaves#lsrootlocalhostslaves#mdcreload#从主服务器同步解析数据到从服务器上serverreloadsuccessfullrootlocalhost
30、slaves#.slave.zone#ii:区域数据库文件.slave.zone在centos6是明文,而在centos7是密文在IP为172.18.24.6/主机上测试两台主机能否正常解析。测试主DNS服务器能否正常解析:rootCentOS6-#(3172.18.24.17;DiG9.8.2rcl-RedHat-9.8.2-.62.rcl.el6172.18.24.17;globaloptions:+cmd;Gotanswer:;-HEADER-opcode:QUERY,status:NOERROR,id:38973;flags:qraardra;QUERY:1,ANSWK:2,AUTHO
31、RITY:1,ADDITIONA1.:1;QUESTIONSECTION:;.INA;ANSWERSECTION:.86400INCNAME.8640GINA172.18.24.26;AUTHORITYSECTION:.86400INNS.;ADDITIONA1.SECTION:.864GINA172.1824.17测试主DNS服务器能否正常解析:(root(KAtOS6digMWM.zy.coa172.11.24.7;DiOt.2rcl-Mt.2.rcl.6ww.tya.CM9172.1.24.7;globalOPtion,:*cd;Gotanswer:I。MRropcode:QUCRY,s
32、tatu*:NOeRM)R.id:1143JH*:QrMr4r:QUeRrI.MVSO:2.MMOMTr1,MOEM1.1;QUESTIONSCCTXON:ZMMf.zy.c(M.INA从上面两个图可以清楚的看到,主从服务器都能正常解析。四.实现容错原理:搭建主从服务器,除了减轻负载,还有一个更重要的作用,实现容错。容错,顾名思义,就是允许出现错误,出现问题后仍然对外能够提供服务,实现思想是,一台服务器坏了,另外一台能正常工作,对外提供服务。实验过程分析:我们这里模拟真实环境,dig测试不再指定用咖个服务器来解析域名,那么我们需要修改测试主机上的网卡配置,指定DNS主从服务器:lrootCen
33、tOS6-#vim/etc/sysconfig/networkscripts/ifcfgethODEVICE=ethOIPADDR=172.18.24.6PREFIX=16DNS1=172.18.24.17#主DNS2=172.18.24.7#从BooTPROTO=StaticGATEWAY=172.18.0.1lrootCentOS6-#-HEDW-opcode:89Cfstatus:No日回凡id:63109I;;flg:qrrdr;ouen:1.ANsWER:2.MfTHOMTY:1,AoClInoNM:1;:QUESTIONSBEOR:MMrlyf*.co,IMA;:ANSWERSSC
34、TIOW:wMw.ty*.co.964MINCNAKw9b9V.ly*.C0.wbsrv.zyw.coa.M4MINA172.ie.24.2S现在我们把主服务器上的ip为172.18.24.17的网卡down掉,模拟主机服务器出问题:lrootCentOS7-#ifconfigens37down:rmJ7:MtB1NM4icPHrofaststateItMQlefIIMMIiWizrthrrRM:r:”3:2r6hrffflHU(tffIraoWcERt*os7-M再次在测试主机上测试:IlrOO*C*tO6-Jdigwwwty.eca;0169.8.2rclMdMt-9.t.2t.2.rcl
35、lmm,ijmb.co;:9l0bloptions:*cad;Gotanswer:;MRsopcodeQUGRY,tttv*:M06W0R.id:41lt9;fl9tqrMrdre:QUERY:1.MiSWeV2.AUTHoRE:1.MnlTlONA1.:1;:QUKTI35IC110M:JMMT.iy.CMI.INA;AHSN6SKTIQN;MMf.y.ceB.SMMINCMMEMb.ya.c0.Mb.ty*.ccMG0INA172.IB.24.M;mjtmmitySttTmy.co.tMMINNSsl.*ya.e.;AOOI11OMA1.SeCnON:l.tym,M0INA172.1.24
36、.17;QurytUM:1a*c测试成功。说明:在执行命令后,明显可以感觉停顿了一两秒时间才显示出结果,比down掉网卡前慢了些许。因为我们配置网卡的时候,把主服务器的IP放在了从服务器IP的前面。当执行解析命令后,主机首先会到主服务器上去查询,结果主服务器网卡坏掉了,不能提供服务。然后主机会到从服务器去查询,从服务器正常工作,解析出域名,返回给主机,显示出结果。五.安全加强利用dig命令可以直接抓取的服务器上的解析数据的所有解析记录,而且是明文,现在存在很大的危险漏洞。先把第四步禁掉的网卡启用起来,然后抓取主服务器上的解析纪录:lrootCentOS7-#ifconfigens37up在测试
37、主机抓取:lrootCentOS6-#172.18.24.17(root0CntOS6#dig-0172.18.24.17AA;Connectionto172.18.24.17#53(172.18.24.17)forzym.coMfailed:hostunreachable.root0CntOS6#dig-172.18.24.7;*DIG9.8.2rclRedHat9.8.2,62.rcl.l6taxfrzym.con172.18.24.7;globaloptions:+cmd.1/28UUTN-SUX-.2UO68643606048018O.86400INNSdnsl.zy*.co11.86
38、4INA172.18.24.17.8640。INA172.18.24.26.86400INCNAME.zym.con.1728INSOAdnsl.zyM.com.206864366048l8;Querytime:4msec;SSWER:172.18.24.7*53(172.18.24.7);WH4:ThuSep2123:48:09217;XFRsize:6records(Messages1,bytes176)在主DNS服务器上安全加强:lrootCentOS7-#vim/etc/named.confoptionsallowtransfer172.18.24.7;#在options中加入此行,表
39、示只允许172.18.24.7这个IP查询解析数据,我们知道172.18.24.7是从服务器的IP,所以一般设置的都是从服务器才有权限查询解析数据;再次测试:lrootCentOS6#dig-172.18.24.17;DiG9.8.2rcl-RedHat-9.8.2-.62.rcl.el6-172.18.24.17globaloptions:+cmd;Transferfailed.Iroot0CentOS6#.虽然我们在主服务上设置了安全策略,但是外部主机还是可以照样抓取从服务器上的解析纪录,同样存在安全漏洞:从服务器上安全加强:IroOtCentc)S7#Vimetcnamed.confop
40、tionsa11owtransfernone;#从服务器一般没有谁需要同步解析纪录,所以我们这里设置为none;测试:root0CentOS6#dig-172.18.24.7;DiG9.8.2rcl-RedHt-9.8.2-.62.rcl.el6-172.18.24.7:;globaloptions:+cmd;Transferfailed.rootCentOS6-#测试成功。注意:这里我们只是设置了同步解析数据纪录的记录,并没有限制查询,外部的主机都是可以在主从DNS服务器查询域名的,因为DNS本身就是对外提供查询服务的。总结:这里我们是实验环境,为了方便实验把防火墙和SelinUX都关闭了。但是在生产中环境中,可不能随便把防火墙强关闭,需要提前设置防火墙策略,有安全要求较高的话,还需要设置SelinUX策略,然后搭建服务。同时我们应该知道,无论是实验环境还是真实生产环境,原理都是相通的。主从DNS服务器不仅能均衡负载,还可以实现容错,在生产中广泛使用。