DNS子域授权，转发，ACL篇(三)

服务器三台

master：

ip： 192.168.1.10

主域：angrybeans.com

子域的master：由master授权

ip ： 192.168.1.9

主域：ops.angrybeans.com   

子域的slave从服务器：

ip： 192.168.1.11

• 子域授权

master配置：

1./etc/named.conf

listen-on port 53 { 192.168.1.10; };

dnssec-enable no;
        dnssec-validation no;
        dnssec-lookaside no;

2. /var/named/angrybeans.zone

$TTL 3600
$ORIGIN angrybeans.com.


@ IN SOAns1admin (
2017012606
4H
2H
12H
1D
);


IN NSns1
IN NSns2
IN MX  10m1     
IN MX  20m2
ops IN NS ns1.ops        //授权子域NS记录
ops IN A 192.168.1.10    //授权子域A记录
ns1 IN A 192.168.1.10
ns2 IN A 192.168.1.9
a IN A192.168.1.2
b IN A192.168.1.3

子域的matser设置：

1./etc/named.conf

listen-on port 53 { 192.168.1.9; };

dnssec-enable no;
        dnssec-validation no;
        dnssec-lookaside no;

2.  /var/named/ops.angrybeans.com 
$TTL 3600
$ORIGIN ops.angrybeans.com.
@ IN SOAns1admin(

2016012601
3H
1H
4H
6H
)


IN NSns1
IN NSns2
ns1 IN A 192.168.1.23
ns2 IN A 192.168.1.24

子域的slave设置：

1./etc/named.conf

listen-on port 53 { 192.168.1.11; };

dnssec-enable no;
        dnssec-validation no;
        dnssec-lookaside no;

2./etc/named.rfc1912.zones 

zone "ops.angrybeans.com" IN {
type slave;
file "slaves/ops.angrybeans.com";
masters { 192.168.1.9; };
};

• 域名转发

上面子域授权中slave只能解析出属于子域内管辖的域，比如不能正向解析出ns1.angrybeans.com，因为从子域的master同步过来的记录里面没有ns1.angrybeans.com的A记录，因此，要想正向解析出非子域内的地址的话，需要转发，我们将转发的服务器指定可以解析
ns1.angrybeans.com就可以了，这里指定为master(192.168.1.10)，以为192.168.1.10当然可以转发它自己了。下面配置192.168.1.11以192.168.1.10作为转发器。

1.被转发的服务器(192.168.1.10)需要配置 

vim  /etc/named.conf

用//注释掉只允许本机查询这个选项，如下

//allow-query     { localhost; };

2.配置192.168.1.11

vim /etc/named.rfc1912.zones

//添加以下内容：

zone "angrybeans.com" IN {
type forward;
forward only;
forwarders { 192.168.1.10; };
};

将服务都重启以下

3.检查语法

named-chkconf

4.测试，在192.168.1.11上面测试，只要属于ns1.angrybeans.com解析的都可以解析出来，比如像在转发器里面有记录的flower.angrybeans.com

[root@localhost ~]# dig -t A flower.angrybeans.com


; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6 <<>> -t A flower.angrybeans.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38321
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2


;; QUESTION SECTION:
;flower.angrybeans.com. INA


;; ANSWER SECTION:
flower.angrybeans.com. 3305INA 192.168.1.4


;; AUTHORITY SECTION:
angrybeans.com. 3162INNS ns1.angrybeans.com.
angrybeans.com. 3162INNS ns2.angrybeans.com.


;; ADDITIONAL SECTION:
ns2.angrybeans.com. 3162INA 192.168.1.9
ns1.angrybeans.com. 3162INA 192.168.1.10


;; Query time: 0 msec
;; SERVER: 192.168.1.11#53(192.168.1.11)
;; WHEN: Tue Jan 26 19:01:22 2016
;; MSG SIZE  rcvd: 123

• ACL访问控制

说明：DNS的查询分为：递归查询和迭代查询，

acl的访问控制方式为在/etc/named.conf里面设置访问列表，列表名可以自定义，而定义好后在/etc/named.rfc1912.zones里面通过访问控制指令

allow-query   是否允许哪些地址查询

allow-transfer   是否允许向哪些地址传送

allow-recursion    是否允许递归查询，默认在/etc/named.conf 里面设置的recursion  yes  是允许递归的

allow-update   是否允许动态更新dns记录，危险动作

而访问控制指令则有内建的四个命令：

none   都不允许

any    都允许

local  只允许本机

localnet  本机所在的网络

示例：

1.vim  /etc/named.conf

//最最前面添加，因为是一个全局配置，小范围配置要放在前面

acl slaves {
        192.168.1.11;
        127.0.0.1;
};

2.vim  /etc/named.rfc1912.zones

zone "angrybeans.com" IN {

        type master;
        file "angrybeans.zone";
        allow-transfer { none; } ;


};

不过用    dig -t axfr angrybeans.com @192.168.1.9测试失败了，恼人。。。

 

子域授权