配置示例DNS-BIND9

DNS-BIND 域名服务器安装与配置简介

讲义

国防科大计算机学院

2004年6

DNS-BIND 安装与配置简介

1. BIND安装与配置

BIND是目前最著名的 DNS(The Internet Domain Name System) 服务器 ――BIND(The Berkeley Internet Name Domain)。

1.1. 下载

下载 BIND最新代码 ：http://www.isc.org/index.pl?/sw/bind/

1.2. 安装

(1)、安装

$ gzip -d bind-9.2.4rc6.tar.gz $ tar xvf bind-9.2.4rc6.tar $cd bind-9.2.4rc6

$ ./configure --prefix=/usr/local/bind $ make depend $ make

$ make install

(2)、创建链接

$ mkdir -p /usr/local/bind/var/run $ mkdir -p /usr/local/bind/var/named $ mkdir -p /usr/local/bind/etc

$ touch /usr/local/bind/etc/named.conf $ touch /usr/local/bind/etc/rndc.conf

$ ln -sf /usr/local/bind/etc/named.conf /etc/named.conf $ ln -sf /usr/local/bind/etc/rndc.conf /etc/rndc.conf $ ln -sf /usr/local/bind/var/named /var/

$ ln -sf /usr/local/bind/sbin/rndc /usr/sbin/rndc $ ln -sf /usr/local/bind/sbin/named /usr/sbin/named

1.3. 配置 DNS

1.3.1. BIND 的配置文件

下面假定我们需要建立一台企业网的DNS主服务器，应用条件如下： （a）企业使用的二个C类网段地址:192.168.25.xxx, 192.168.26.yyy

（b）企业域名为 test.com，并已注册,主域名服务器地址 192.168.25.188，主机名

为 abc.test.com,辅域名服务器地址 192.168.25.168,外部域名服务器 为:202.106.0.98

(c) 企业的 WWW服务器地址为 192.168.25.1, 名字为www.test.com (d) 企业的 Mail 服务器地址为 192.168.25.2, 名字为mail.test.com (e) 企业的 Database 服务器地址为 192.168.25.3, 名字为db.test.com (f) 企业的 ftp 服务器地址为 192.168.25.3, 名字为.test.com

(g) 企业的 proxy 服务器地址为 192.168.25.4, 名字为proxy.test.com （h）拒绝服务的二个C类网段地址:192.0.0.xxx, 192.1.0.yyy （i）企业网通过路由器与Internet连接

(1)、创建共享密钥

BIND 提供了一种安全机制――TSIG（Transaction SIGnatures ），使用共享密钥进行安全的DNS通知、更新。生成的密钥文件 K*****.key, K*****.private。其中*.private文件包含的 Key \即为共享密钥。

$ cd /usr/local/bind

$ sbin/dnssec-keygen -a hmac-md5 -b 128 -n HOST test.

(2)、创建配置文件：etc/rndc.conf BIND 提供远程域名服务控制器（The remote name daemon control: RNDC）。是管理员用来控制域名服务器的应用程序，用于动态加载、停止、配置 DNS服务。 它需要的配置文件为 /etc/rndc.conf：

//共享密钥，用于和受控DNS服务器之间完成认证。 key test. { algorithm \

secret \此处的KEY 即为上述生成的共享密钥. };

options {

//管理的DNS主机名称，本例为管理本机。 default-server localhost; default-key test. ; };

server localhost { key test. ; };

(3)、创建配置文件：etc/named.conf

named.conf 是域名服务器的主配置文件。zone 是配置文件中的最重要的组成部分，描述了一个授权域名下的域名解析信息。一个复杂的配置例子如下：

key test. {

algorithm \

//共享密钥，只有和改共享密钥匹配的主机，方能管理 DNS 服务器。

secret \此处的KEY即为上述生成的密钥. };

controls {

inet 127.0.0.1 allow { localhost; } keys { test.; }; };

//非法的网络地址。

acl bogus-nets { 192.0.0.0/16; 192.1.0.0/16;};

//内部网络地址范围。

acl our-inner-nets { 127.0.0.1/32; 192.168.25.0/16; 192.168.26.0/16; };

//私有的外部网络地址范围。

acl our-outer-nets { 192.168.0.0/16; };

//内部的辅DNS服务器地址。

acl transfer-inner-ips { 192.168.25.168 };

//外部的辅DNS服务器地址。

acl transfer-outer-ips { 192.168.0.2; }; options {

version \ directory \ allow-query { any; };

//对于内网地址，和私有的外网地址，提供DNS的递归查询服务。 allow-recursion { our-inner-nets; our-outer-nets; };

//对于非法地址，拒绝提供服务. blackhole { bogus-nets; };

notify yes; recursion yes;

forward first; forwarders {

//递归查询时，如果本地的 cache 没有命中，