bind中的ACL和rndc

	DNS除了服务器外,还具有一些访问控制和视图功能。

	访问控制是指仅对定义的网络进行解析,视图也就是智能解析。

		1》访问控制是通过acl函数来实现的,acl把一个或多个地址归为一个集合,随后可通过此统一的名称对此集合内的所有主机进行统一调用。

		2》注意:只能先定义,后使用,因此一般定义在配置文件中,处于options的前面。

		3》格式:

			acl acl_name {

				ip; 具体的ip地址

				net/prelen; 表示一个网段

				……

			};

				示例:

					acl mynet {

						172.16.0.0/16;

						10.10.10.10;

					};

		4》bind 有四个内置的acl:

			none:  没有一个主机

			any:  任意主机

			localhost:  本机

			localnet:  本机的IP同掩码运算后得到的网络地址

		5》定义好后,在下方的options中或在其他的zone中进行调用。其中的访问控制的指令:

			allow-query {}:  允许查询的主机;白名单

			allow-transfer {}:允许区域传送的主机;白名单

			allow-recursion {}:  允许递归的主机, 建议全局使用

			allow-update {}:允许更新 

	rndc

		1》由于DNS服务器的重要性,每次修改配置文件、解析库文件后不可能都要进行重启服务器操作,否则会导致用户在重启过程当中出现无法解析的情况。因此就需要有种管理机制能够平滑的去管理这些操作,这种机制rndc。

		2》rndc是bind安装包提供的一种控制域名服务运行的工具。它监听tcp的953端口,它可以运行在其他计算机上,通过网络与DNS服务器进行连接,然后根据管理员的指令对named进程进行远程控制,此时,管理员不需要DNS服务器的根用户权限。

		3》使用rndc可以在不停止DNS服务器工作的情况下进行数据的更新,使修改后的配置文件生效。

		4》rndc与DNS服务器实时连接时,需要通过数字证书进行认证。rndc在连接通道中发送命令时,必须使用经过服务器认证的密钥加密。可以使用rndc-confgen命令产生密钥和相应的配置,再把这些配置分别放入name.conf和rndc的配置文件rndc.conf中。

		5》rndc: remote name domain controller,是一个服务,用来提供辅助性的管理功能,该服务监听在主机tcp的935号端口,默认与bind 安装在同一主机,且只能通过127.0.0.1连接DNS服务的named。因此仅允许本地使用,不允许远程。

智能DNS解析

	智能DNS解析也就是DNS的视图,bind view,view功能的实现也是需要结合acl来实现的。

	1》view是一个函数,一个bind服务器可定义多个view ,每个view 中可定义一个或多个zone,用来实现不同的来源ip解析不同的结果。

	2》每个view 用来匹配一组客户端

	3》多个view 内可能需要对同一个区域进行解析,但使用不同的区域解析库文件

	4》格式:

		view VIEW_NAME {

			match-clients { testacl; };

			zone “adc.com” {

					type master;

					file “adc.com.zone”;

					};

			include “/etc/named.rfc1912.zones”;

		} ;

	5》注意:

		1。一旦启用了view ,所有的zone 都只能定义在view中

		2。仅在允许递归请求的客户端所在view中定义根区域

		3。客户端请求到达时,是自上而下检查每个view 所在服务的客户端列表

DNS基础排除

	1》例如:dig A example.com

		; <<>> DiG 9.9.4-RedHat-9.9.4-14.el7 <<>> Aexample.com

		;; global options: +cmd

		;; Got answer:

		;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id:30523

		...

	2》SERVFAIL:The nameserver encountered a problem while processing the query.

		可使用dig +trace 排错,可能是网络和防火墙导致

	3》NXDOMAIN :The queried name does not exist in the zone.

		可能是CNAME 对应的A记录不存在导致

	4》REFUSED :The nameserver refused the client's DNS request due to policy restrictions.

		可能是DNS 策略导致

	5》NOERROR 不代表没有问题,也可以是过时的记录

	6》查看是否为权威记录,flags:aa 标记判断

	7》被删除的记录仍能返回结果,可能是因为* 记录存在

			如:*.example.com. . IN A 172.25.254.254

	9》注意“.”的使用

	10》避免CNAME指向CNAME记录,可能产生回环

		test.example.com. IN CNAME lab.example.com.

		lab.example.com. IN CNAME test.example.com.

	11》正确配置PTR 记录,许多服务依赖PTR ,如sshd,MTA

	12》正确配置轮询round-robin

DNS中的AC、rndc、智能DNS解析和基础排错的更多相关文章

  1. JavaScript中登录名的正则表达式及解析(0基础)

    简言 在JavaScript中,经常会用到正则表达式来进行模式匹配.例如,登录名验证,密码强度验证,字符串查找或替换等操作.现在就开始吧,零基础写出你的第一个正则表达式! 在做用户注册时,都会用到登录 ...

  2. Bind+DLZ构建企业智能DNS/DNS

    Bind+DLZ构建企业智能DNS   目录:一.简介二.服务规划三.安装BIND及基本环境四.配置Bind-View-DLZ-MYSQL五.添加相关记录并进行测试六.配置从DNS七.补充 一.简介: ...

  3. DNS—正、反向解析;委派;主从;子域;转发;智能dns等的实现

    前言:DNS,耳熟能详的东西,内容太多,小编也不太好讲清,只能写几个实验详解,供大家参考. 一.简单介绍 1.DNS:通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析). 端 ...

  4. DNS正、反向解析+负载均衡+智能DNS+密钥认证

    主机名 IP 软件包 系统版本 内核版本 实验环境 master 192.168.30.130 bind.x86_64 32:9.8.2-0.17.rc1.el6_4.6 bind-chroot.x8 ...

  5. 简单介绍智能DNS解析+双线路接入

    导读:在讨论这个问题,其中群友老孤同志也提供了不少非常有参考价值的资料,所以我们再把这些资料再整理一次,从比较底层的技术原理上重新进行一次分析.   我们知道,因为南电信北网通现象的存在,我们的服务器 ...

  6. 智能DNS解析之edns-client-subnet篇

    摘要:智能DNS解析是CDN的重要组成部份,所谓的智能也就是根据请求用户来对同一域名作出相应不同解析(目前大多数域名注册商还没提供线路解析的服务),所以CDN的调度准确性也就完全依靠DNS智能解析,但 ...

  7. Linux DNS分离解析与构建智能DNS服务器

    一 构建DNS分离解析 方法一 : [root@localhost ~]# vim /etc/named.conf [root@localhost ~]# cd /var/named/ [root@l ...

  8. Bind+DLZ+MySQL智能DNS的正向解析和反向解析实现方法

    使用文本配置文件的配置方式结合bind的最新的acl和view特性来实现智能DNS想必很多人已经很熟悉了,使用MySQL数据库来存放zone文件的方式可能也不少.对于两者都熟悉的,实现 Bind+DL ...

  9. C#实现DNS解析服务和智能DNS服务

    C#实现DNS解析服务有一个开源项目ARSoft.Tools.Net, ARSoft.Tools.Net是一个非常强大的开源DNS控件库,包含.Net SPF validation, SenderID ...

随机推荐

  1. LeetCode 188. Best Time to Buy and Sell Stock IV (stock problem)

    Say you have an array for which the ith element is the price of a given stock on day i. Design an al ...

  2. express中间件的意思

    中间件就是请求req和响应res之间的一个应用,请求浏览器向服务器发送一个请求后,服务器直接通过request定位属性的方式得到通过request携带过去的数据,就是用户输入的数据和浏览器本身的数据信 ...

  3. 细说php第八章笔记(初稿)

    8.1 函数的定义      函数是被命名的:      函数是独立的:      函数执行特定的任务:      函数可以用将一个返回值返回给调用他的程序 函数的优越性      提高程序的重用性 ...

  4. HttpModule用户的验证

    HttpModule是向实现类提供模块初始化和处置事件.当一个HTTP请求到达HttpModule时,整个ASP.NET Framework系统还并没有对这个HTTP请求做任何处理,也就是说此时对于H ...

  5. 7-14 电话聊天狂人(25 分)(Hash表基本操作)

    7-14 电话聊天狂人(25 分) 给定大量手机用户通话记录,找出其中通话次数最多的聊天狂人. 输入格式: 输入首先给出正整数N(≤10​5​​),为通话记录条数.随后N行,每行给出一条通话记录.简单 ...

  6. HDU 3664 (水地推)

    http://acm.hdu.edu.cn/showproblem.php?pid=3664 题意:给出数字n,问n的所有的排列中满足Ai>i 数字恰好为 k的排列的个数. sl : dp dp ...

  7. 主席树初探--BZOJ1901: Zju2112 Dynamic Rankings

    n<=10000的序列做m<=10000个操作:单点修改,查区间第k小. 所谓的主席树也就是一个值域线段树嘛..不过在这里还是%%fotile 需要做一个区间查询,由于查第k小,需要一些能 ...

  8. 【Tomcat】Tomcat性能分析

    一.预研任务介绍和预研目标 任务介绍: Apache Tomcat是目前较为流行的web服务器,以其技术先进.性能稳定著称,其次它还是一个免费开源的项目. Tomcat性能分析的意义在于能为日常工作中 ...

  9. SQL SERVER 小技巧

    SQL SERVER 小技巧(不用exec实现in()的功能) declare @x varchar(20) SET @x='1,2,3' SELECT @x select * from data00 ...

  10. Ubuntu 16.04无法在WPS中输入中文的问题解决

    1. sudo gedit /usr/bin/wps 增加 export XMODIFIERS="@im=fcitx" export QT_IM_MODULE="fcit ...