一、实验环境
1、介绍
转发服务器(Forwarding Server)接收查询请求,但不直接提供DNS解析,而是将所有查询请求发送到另外的DNS服务器,将查询的结果返回后保存到缓存中。如果没有指定转发服务器,DNS服务器会直接使用根区域记录,先根服务器发送查询,这样许多非常重要的DNS信息都会暴露到Interne上。
转发服务器分为两种类型
- 完全转发服务器:将所有区域的DNS查询请求发送到其它DNS服务器。
- 条件转发服务器:允许DNS服务器根据特定的条件(域名、IP地址、查询类型等)将查询请求转发给不同的上游DNS服务器。
转发器的注意事项
- 转发器的查询模式必须允许递归查询,否则无法正确完成转发
- 转发服务器列表如果为多个DNS服务器,则会依次尝试,知道查询到信息为止
- 避免转发器嵌套,如果在Server1上配置DNS转发到Server2,则避免在Server转发到Server3
DNS的配置文件
- 全局配置文件:/etc/named.conf
- 主配置文件:/etc/named.rfc1912.zones
- 正反向区域解析文件:/var/named/xxx
2、拓扑图
| 正向记录 | 反向记录 | 备注 |
|---|---|---|
| www.meaauf.com | 192.168.1.11 | web服务器 |
| ftp.meaauf.com | 192.168.1.12 | ftp服务器 |
二、主DNS配置
1、安装DNS服务
dnf -y install bind
2、修改全局配置文件
vim /etc/named.conf
修改下列内容
listen-on port 53 { any; };
listen-on-v6 port 53 { any; };
allow-query { any; };
dnssec-validation no;# managed-keys-directory "/var/named/dynamic";
# geoip-directory "/usr/share/GeoIP";
# pid-file "/run/named/named.pid";
# session-keyfile "/run/named/session.key";
3、修改主配置文件
编辑主配置文件
vim /etc/named.rfc1912.zones
追加以下内容
zone "meaauf.com" IN {type master;file "meaauf.com.zone";
};
zone "1.168.192.in-addr.arpa" IN {type master;file "meaauf.com.ref";
};
新建正向区域解析文件
cp -p /var/named/named.localhost /var/named/meaauf.com.zone
vim /etc/named/meaauf.com.zone
修改为下列内容
$TTL 1D
@ IN SOA @ rname.invalid. (0 ; serial1D ; refresh1H ; retry1W ; expire3H ) ; minimumNS @A 192.168.1.1
www A 192.168.1.1
ftp A 192.168.1.2
新建反向区域解析文件
cp -p /var/named/named.loopback /var/named/meaauf.com.ref
vim /var/named/meaauf.com.ref
修改为下列内容
$TTL 1D
@ IN SOA @ rname.invalid. (0 ; serial1D ; refresh1H ; retry1W ; expire3H ) ; minimumNS @A 192.168.1.1
1 PTR www.meaauf.com.
2 PTR ftp.meaauf.com.
开启服务并加入开机自启,调整防火墙规则
systemctl enable --now named.service
firewalld-cmd --add-service=dns --permanent
firewalld-cmd --reload
三、配置转发DNS服务器类型为完全转发
1、配置IP地址,将DNS指向主DNS服务器
nmcli connection modify ens160 ipv4.method ipv4.addresses 192.168.1.2/24 ipv4.dns 192.168.1.1
nmcli connection modify up ens160
2、安装DNS服务
dnf -y install bind
3、修改全局配置文件
vim /etc/named.conf
开启服务并加入开机自启,调整防火墙规则
systemctl enable --now named.service
firewalld-cmd --add-service=dns --permanent
firewalld-cmd --reload
四、客户端配置
1、配置IP地址和,将DNS指向转发DNS服务器
nmcli connection modify ens160 ipv4.method ipv4.addresses 192.168.1.10/24 ipv4.dns 192.168.1.2
nmcli connection modify up ens160
2、使用nslookup测试DNS
nslookup
> www.meaauf.com
> ftp.meaauf.com
> 192.168.1.1
五、如果配置转发DNS服务器类型为条件转发
1、修改全局配置文件,将完全转发语句删除
vim /etc/named.conf
修改为下图
2、修改主配置文件
vim /etc/named.rfc1912.zones
在文件末尾追加以下内容
zone "meaauf.com" IN { # 指定转发区域type forward; # 指定区域为条件转发类型forwarders { 192.168.1.1; }; # 设置转发服务器列表
};
重启DNS服务
systemctl restart named
3、使用nslookup测试DNS
nslookup
> www.meaauf.com
> ftp.meaauf.com
)
漏洞修复指南丨年度更新)
)
)
)
)