网络运维所有知识总结篇(19)
时间:2017-09-24 19:27 来源:网络整理 作者:墨客科技 点击:次
2.如果数据库文件和缓存都找不到的话,那么就去查找根。此时是根据named.ca(也就是dig -t NS . 返回的结果,其实这个步骤在安装bind的时候系统默认就已经执行完毕了)中的A记录查询第一个FQDN返回的IP。这样查找到com.这个记录对应的IP,然后返回为Local DNS这个IP地址。 3.Local DNS向返回的这个地址查询baidu.com.这个域名,进行同样的查询知道返回这个域名对应的IP,然后返回给主机。
区域类型: 除了hint、master、slave还有forward。 这个叫做转发服务器,即当DNS服务器收到一个请求后,本地数据库和缓存都找不到,那么默认情况下会向根查找,不过这样效率有点低了,比如像ns.tech.baidu.com查找mark.baidu.com那么其完全可以在主配置文件中定义一个传送区域: zone "baidu.com." IN { type forward; forwarder { 180.76.76.76 }; }; 转发类型有两种: first:即先进行转发,如果转发目标NS查不到的话再向根查找。 only:仅进行转发,如果转发目标NS查不到的话就返回空。 允许递归就以为着允许缓存,而允许缓存就会面临缓存毒化的威胁。 缓存度化:修改DNS的A记录,指向一个钓鱼网站。 默认情况下安装bind的时候也会安装caching-nameserver这个包,就相当于与配置了一台缓存服务器。
bind的管理工具:rndc(Remote Name Daemon Controller) bind stop|status|state|reload(重新载入所有配置文件和区域数据文件)|freeze(冻结某个区域,不让其更新)|reconfig(重新载入主配置文件)|retransfer zone(让某个区域数据库重新传输) 这是一个很强大的DNS远程控制工具。其配置脚本为:/etc/rndc.conf,rndc监听的端口是953。 这个工具在安装bind时已经安装了,不过默认我们不能直接使用这个命令,我们必须经过一下处理才行: 1.使用rndc-confgen生成rndc的主配置文件。 rndc=confgen | tee /etc/rndc.conf 此时发现还是不行,出现:rndc: connect failed: 127.0.0.1#953: connection refused,出现953端口拒绝连接,这个是SELinux搞的鬼,我们在此干脆关闭SELinux得了,不过生产环境不可以。 2.关闭SELinux:setenforce 0;永久关闭/etc/selinux/config中将SELINUX=enforcing改为disabled 然后我们可以观察其主配置文件:cat /etc/rndc.conf | egrep -v '^$|^#' key "rndc-key" { algorithm hmac-md5; secret "GpZvEHkq/gnzsPg/GpWkkA=="; }; options { default-key "rndc-key"; default-server 127.0.0.1; default-port 953; }; 3.然后将/etc/rndc.conf配置文件中指定密钥复制到/etc/named.conf文件中即可。 (责任编辑:admin) |