基于linux实现DNS互联网的搭建

实验 实现DNS互联网的搭建,在客户端使用浏览器(links www.wrz.com)可以访问到www主机的网站。

客户端

172.17.0.148

Local DNS

172.17.0.149

根域

172.17.0.150

Com主域

172.17.0.151

Com从域

172.17.0.152

Wrz

172.17.0.153

www主机提供web服务

172.170.154

实验需求:准备7台虚拟机对应如上表。(由于要同时打开7台虚拟机,建议不适用图形化)

实验所需命令:

Iptables -F 清空防火墙

Systemctl start named(centos7)

Service named start(centos6)

Rndy reload重新加载配置文件

Rndc flush 清空DNS缓存

检测配置文件语句

named-checkconf

named-checkzone wrz.com /var/named/wrz.com.zone

客户端的配置:

只需要将DNS的解析IP设置为localDNS的IP地址就行,修改桥接网卡配置文件。 

实现命令:vim /etc/sysconfig/network-scripts/ifcfg-eth1  添加或修改DNS1=172.17.0.149

可以cat /etc/resolv.conf文件查看DNS解析地址IP

www主机的配置:(只是提供了一个web服务)

systemctl start httpd开启文件服务

vim /var/www/html/index.html在/var/www/html下编辑index.html文件 

wrz域的配置:

修改配置文件/etc/named.conf

在域的配置文件中添加wrz域:

vim /etc/named.rfc1912.zones

配置/var/named/wrz.com.zone文件(named.localhost为模板文件,复制一份修改就好,但是注意权限问题)

cp -p /var/naemd/named.localhost /var/named/wrz.com.zone

测试

systemctl start named 开启服务(ss -nutl查看端口是否打开)

com主域的配置:(配置过程和wrz域类似)

修改配置文件/etc/named.conf

可以加一条安全策略:

allow-transfer{172.17.0.152}只允许com从域来获取数据

修改vim /etc/named.rfc1912.zones

zone "com" IN {

        type master;

        file "com.zone";

    };

配置/var/named/com.zone文件

cp -p /var/naemd/named.localhost /var/named/com.zone

vim /var/named/com.zone

    $TTL 1D

    @       IN SOA  dns1 mail.com. (

                                        0       ; serial

                                        1D      ; refresh

                                        1H      ; retry

                                        1W      ; expire

                                        3H )    ; minimum

    @       NS      dns1

    @       NS      dns2

    dns1    A       172.17.0.151

    dns2    A       172.17.0.152

    wrz NS      dns3   (委派给wrz域)

    dns3    A       172.17.0.153

测试:

com从域的配置:

修改配置文件/etc/named.conf

vim /etc/named.conf

     //listen-on port 53 { 127.0.0.1; };

     //allow-query     { localhost; };

     dnssec-enable no;

     dnssec-validation no;

      allow-transfer {none;};安全策略,和com主域安全策略配合,不允许其他IP连接访问DNS数据

修改域文件vim /etc/named.rfc1912.zones

    zone "com" IN {

            type slave;

            masters { 172.17.0.151;};

            file "slaves/com.zone.slave";

    };

由于和IP172.17.0.151为主从域的关系,这里只要把主域 /var/named/wrz.com.zone中的序列号增大,主从复制的关系,会在/var/named/slaves下自动生成com.zone.slave文件。

测试:

根域的配置:

配置文件/etc/named.conf

vim /etc/named.conf

     //listen-on port 53 { 127.0.0.1; };

     //allow-query     { localhost; };

     dnssec-enable no;

     dnssec-validation no;

zone "." IN {

        type master;

        file "name.zone";

    };

配置根域:

vim  /var/named/name.zone

    $TTL 1D

    @       IN SOA  dns1 rname.invalid. (

                                        0       ; serial

                                        1D      ; refresh

                                        1H      ; retry

                                        1W      ; expire

                                        3H )    ; minimum

    @       NS      dns1

    com     NS      dns2

    dns1    A       172.17.0.150

    dns2    A       172.17.16.151    委派为com主域

测试:

localDNS的配置:

修改配置文件/etc/named.conf

vim /etc/named.conf

     //listen-on port 53 { 127.0.0.1; };

     //allow-query     { localhost; };

     dnssec-enable no;

     dnssec-validation no;

修改/var/named/named.ca根域存放的文件,设置根指向我们设定的根IP172.17.0.150(建议先把named.ca文件备份一下,便于还原)

vim  /var/named/named.ca

客户端最终测试:

注意:由于机器较多,中间任一出现问题都会导致实验失败,注意防火墙的关闭,named服务的启动

一般的错误提示:

NXDOMAIN:域名错误或不存在

REFUSED:拒绝访问 策略问题

SERVFAIL:防火墙或者网络,权限问题