基于linux实现DNS互联网的搭建
实验 实现DNS互联网的搭建,在客户端使用浏览器(links www.wrz.com)可以访问到www主机的网站。
客户端 | 172.17.0.148 |
Local DNS | 172.17.0.149 |
根域 | 172.17.0.150 |
Com主域 | 172.17.0.151 |
Com从域 | 172.17.0.152 |
Wrz域 | 172.17.0.153 |
www主机提供web服务 | 172.170.154 |
实验需求:准备7台虚拟机对应如上表。(由于要同时打开7台虚拟机,建议不适用图形化)
实验所需命令:
Iptables -F 清空防火墙
Systemctl start named(centos7)
Service named start(centos6)
Rndy reload重新加载配置文件
Rndc flush 清空DNS缓存
检测配置文件语句
named-checkconf
named-checkzone wrz.com /var/named/wrz.com.zone
客户端的配置:
只需要将DNS的解析IP设置为localDNS的IP地址就行,修改桥接网卡配置文件。
实现命令:vim /etc/sysconfig/network-scripts/ifcfg-eth1 添加或修改DNS1=172.17.0.149
可以cat /etc/resolv.conf文件查看DNS解析地址IP
www主机的配置:(只是提供了一个web服务)
systemctl start httpd开启文件服务
vim /var/www/html/index.html在/var/www/html下编辑index.html文件
wrz域的配置:
修改配置文件/etc/named.conf
在域的配置文件中添加wrz域:
vim /etc/named.rfc1912.zones
配置/var/named/wrz.com.zone文件(named.localhost为模板文件,复制一份修改就好,但是注意权限问题)
cp -p /var/naemd/named.localhost /var/named/wrz.com.zone
测试
systemctl start named 开启服务(ss -nutl查看端口是否打开)
com主域的配置:(配置过程和wrz域类似)
修改配置文件/etc/named.conf
可以加一条安全策略:
allow-transfer{172.17.0.152}只允许com从域来获取数据
修改vim /etc/named.rfc1912.zones
zone "com" IN {
type master;
file "com.zone";
};
配置/var/named/com.zone文件
cp -p /var/naemd/named.localhost /var/named/com.zone
vim /var/named/com.zone
$TTL 1D
@ IN SOA dns1 mail.com. (
0 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
@ NS dns1
@ NS dns2
dns1 A 172.17.0.151
dns2 A 172.17.0.152
wrz NS dns3 (委派给wrz域)
dns3 A 172.17.0.153
测试:
com从域的配置:
修改配置文件/etc/named.conf
vim /etc/named.conf
//listen-on port 53 { 127.0.0.1; };
//allow-query { localhost; };
dnssec-enable no;
dnssec-validation no;
allow-transfer {none;};安全策略,和com主域安全策略配合,不允许其他IP连接访问DNS数据
修改域文件vim /etc/named.rfc1912.zones
zone "com" IN {
type slave;
masters { 172.17.0.151;};
file "slaves/com.zone.slave";
};
由于和IP172.17.0.151为主从域的关系,这里只要把主域 /var/named/wrz.com.zone中的序列号增大,主从复制的关系,会在/var/named/slaves下自动生成com.zone.slave文件。
测试:
根域的配置:
配置文件/etc/named.conf
vim /etc/named.conf
//listen-on port 53 { 127.0.0.1; };
//allow-query { localhost; };
dnssec-enable no;
dnssec-validation no;
zone "." IN {
type master;
file "name.zone";
};
配置根域:
vim /var/named/name.zone
$TTL 1D
@ IN SOA dns1 rname.invalid. (
0 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
@ NS dns1
com NS dns2
dns1 A 172.17.0.150
dns2 A 172.17.16.151 委派为com主域
测试:
localDNS的配置:
修改配置文件/etc/named.conf
vim /etc/named.conf
//listen-on port 53 { 127.0.0.1; };
//allow-query { localhost; };
dnssec-enable no;
dnssec-validation no;
修改/var/named/named.ca根域存放的文件,设置根指向我们设定的根IP172.17.0.150(建议先把named.ca文件备份一下,便于还原)
vim /var/named/named.ca
客户端最终测试:
注意:由于机器较多,中间任一出现问题都会导致实验失败,注意防火墙的关闭,named服务的启动
一般的错误提示:
NXDOMAIN:域名错误或不存在
REFUSED:拒绝访问 策略问题
SERVFAIL:防火墙或者网络,权限问题