前几天,我陆续向大家介绍了DNS服务的相关内容。 今天,我补充介绍一下DNS服务的小问题。
前面的链接:
深入了解Linux DNS服务——DNS的基础知识
Linux DNS服务深入了解——DNS实战配置
Linux DNS服务——DNS主从配置详细信息
另一方面,DNS主从结构先进的——传输加密DNS服务器是互联网结构中非常重要的基础设置,其重要性不言而喻。 当建立DNS主从架构时,为了确保DNS的安全性,可以考虑配置DNS主从数据传输的加密。
完成DNS主从架构后,请在DNS主从架构中进一步配置DNS配置文件传输加密。 首先,在主服务器上生成密钥。 命令如下:
dssec-keygen-ahmac-MD5-B2-nhostmaster _ and _ slave在上述命令中,-a参数表示指定的加密算法。 常见的加密算法有DSA、RSASHA1、RSAMD5等。 -n参数表示指定的密钥类型,HOST表示与主机相关。 -b参数表示键的长度,在1-512之间; 最后一个master_and_slave是键的名称,可以自己指定。
执行结果如下。
运行完成后,可以看到生成了Kmaster_and_slave. 157 62621.key和k master _ and _ slave.15762621.private。 与执行上述命令后的输出相同。
然后,必须编写密钥文件,创建/etc/dns.key文件,并按如下方式写入内容:
key ' master _ and _ slave ' { algorithm hmac-MD5; secret '7w=='; (; 其中,key之后的内容必须与密钥生成时的密钥名完全一致,algorithm之后的内容必须是加密算法,与密钥生成时的加密算法一致,secret之后的内容是密钥内容,如下所示,k master
最后,必须修改主、从配置文件,Linux DNS服务在查看——DNS从配置详细信息后,将内容写入DNS主服务器配置文件。
根据上述配置,从include '/etc/dns.key' DNS服务器写入内容。
server 192.168.136.101 { keys { master _ and _ slave; (; (; 将内容添加到include '/etc/dns.key '和每个区域。
masters { 192.168.136.101; (; 现在,最后一个主DNS服务器的主配置文件内容如下:
选项{ listen-on port 53 { any; (; listen-on-v6 port 53 { :1; (; 目录' /苗条的兔子/named '; dump-file '/纤细的兔子/named/data/cache_dump.db '; statistics-file '/苗条的兔子/named/data/named_stats.txt '; memstatistics-file '/苗条的兔子/named/data/named _ mem _ stats.txt '; recursing-file '/苗条的兔子/named/data/named.recursing '; secroots-file '/苗条的兔子/named/data/named.secroots '; allow-query { any; (; allow-transfer { key master _ and _ slave; (; 修复是; dnssec-enable yes; dnssec-validation yes; bindkeys-file '/etc/named.root.key '; managed-keys-directory '/苗条的兔子/named/dynamic '; pid-file '/run/named/named.pid '; session-keyfile '/run/named/session.key '; (; 记录{ channel default _ debug } file ' data/named.run '; 安全动态; (; (; zone '.' IN { type hint; file 'named.ca '; (; zone 'pzz.com' IN { type master; file 'pzz.com.zone '; allow-update{192.168.136.210; (; (; zone ' 136.168.192.in-addr.arpa ' in { type master }
; file "192.168.136.arpa"; allow-update{192.168.136.210;};};include "/etc/dns.key";include "/etc/named.rfc1912.zones";include "/etc/named.root.key";最后的从DNS服务器主配置文件内容如下:
options { listen-on port 53 { any; }; listen-on-v6 port 53 { ::1; }; directory "/苗条的小兔子/named"; dump-file "/苗条的小兔子/named/data/cache_dump.db"; statistics-file "/苗条的小兔子/named/data/named_stats.txt"; memstatistics-file "/苗条的小兔子/named/data/named_mem_stats.txt"; recursing-file "/苗条的小兔子/named/data/named.recursing"; secroots-file "/苗条的小兔子/named/data/named.secroots"; allow-query { any; }; recursion yes; dnssec-enable yes; dnssec-validation yes; bindkeys-file "/etc/named.root.key"; managed-keys-directory "/苗条的小兔子/named/dynamic"; pid-file "/run/named/named.pid"; session-keyfile "/run/named/session.key";};logging { channel default_debug { file "data/named.run"; severity dynamic; };};zone "." IN { type hint; file "named.ca";};zone "pzz.com" IN { type slave; file "pzz.com.zone"; masters { 192.168.136.101; };};zone "136.168.192.in-addr.arpa" IN { type slave; file "192.168.136.arpa"; masters { 192.168.136.101; };};server 192.168.136.101{ keys {master_and_slave;};};include "/etc/named.rfc1912.zones";include "/etc/named.root.key";include "/etc/dns.key";在上述步骤完成之后,经过实验,可以看出从服务器工作一些正常:
转发服务器是一种简单的DNS服务器实现方式,即DNS服务器本身并没有任何资源记录,当收到客户端DNS请求后,向指定的DNS服务器转发DNS请求,并最终将结果反馈会客户端,我们的家用路由器DNS就是按照这种方式设置的。
接下来,给大家介绍DNS转发服务器的搭建方式,这一次,我使用阿里云云服务器搭建一台DNS转发服务器。
在云服务器上,安装named服务,并在主配置文件option中添加内容如下:
之后关闭Linux系统自带防火墙,开启DNS服务功能,发现已经成功监听53端口。
但是对于云服务器而言,还要对其自带的防火墙进行设置,放行TCP和UDP的流量,如下所示:
接下来,我们检测一下53端口是否开放,发现功能开放正常,如下所示:
最后,我们来测试一下DNS服务器的转发情况,发现能够正常进行域名解析。
所谓智能DNS,就是根据客户端IP地址,来反馈不同的DNS解析结果,这样可以使得同一个域名解析到不同的IP地址上去。对于小型公司来说,如果服务器存在两张以上的网卡,并且分别对应不同运营商ISP的网络,就可以配置智能DNS,将不同网络查询的DNS记录分别解析为不同的IP地址,以提升DNS解析速度。对于大型公司来说,业务量大、访问并发量高,为了提升网站响应速度,也可以使用智能DNS,将同一个域名根据DNS客户端IP地址所在的区域,映射到不同的IP地址上去,比如国内的IP访问时映射一个IP地址,国外的IP访问时映射一个IP地址,这样可以提升用户对站点的体验。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200