bind中的ACL和rndc

	DNS除了服务器外,还具有一些访问控制和视图功能。

	访问控制是指仅对定义的网络进行解析,视图也就是智能解析。

		1》访问控制是通过acl函数来实现的,acl把一个或多个地址归为一个集合,随后可通过此统一的名称对此集合内的所有主机进行统一调用。

		2》注意:只能先定义,后使用,因此一般定义在配置文件中,处于options的前面。

		3》格式:

			acl acl_name {

				ip; 具体的ip地址

				net/prelen; 表示一个网段

				……

			};

				示例:

					acl mynet {

						172.16.0.0/16;

						10.10.10.10;

					};

		4》bind 有四个内置的acl:

			none:  没有一个主机

			any:  任意主机

			localhost:  本机

			localnet:  本机的IP同掩码运算后得到的网络地址

		5》定义好后,在下方的options中或在其他的zone中进行调用。其中的访问控制的指令:

			allow-query {}:  允许查询的主机;白名单

			allow-transfer {}:允许区域传送的主机;白名单

			allow-recursion {}:  允许递归的主机, 建议全局使用

			allow-update {}:允许更新 

	rndc

		1》由于DNS服务器的重要性,每次修改配置文件、解析库文件后不可能都要进行重启服务器操作,否则会导致用户在重启过程当中出现无法解析的情况。因此就需要有种管理机制能够平滑的去管理这些操作,这种机制rndc。

		2》rndc是bind安装包提供的一种控制域名服务运行的工具。它监听tcp的953端口,它可以运行在其他计算机上,通过网络与DNS服务器进行连接,然后根据管理员的指令对named进程进行远程控制,此时,管理员不需要DNS服务器的根用户权限。

		3》使用rndc可以在不停止DNS服务器工作的情况下进行数据的更新,使修改后的配置文件生效。

		4》rndc与DNS服务器实时连接时,需要通过数字证书进行认证。rndc在连接通道中发送命令时,必须使用经过服务器认证的密钥加密。可以使用rndc-confgen命令产生密钥和相应的配置,再把这些配置分别放入name.conf和rndc的配置文件rndc.conf中。

		5》rndc: remote name domain controller,是一个服务,用来提供辅助性的管理功能,该服务监听在主机tcp的935号端口,默认与bind 安装在同一主机,且只能通过127.0.0.1连接DNS服务的named。因此仅允许本地使用,不允许远程。

智能DNS解析

	智能DNS解析也就是DNS的视图,bind view,view功能的实现也是需要结合acl来实现的。

	1》view是一个函数,一个bind服务器可定义多个view ,每个view 中可定义一个或多个zone,用来实现不同的来源ip解析不同的结果。

	2》每个view 用来匹配一组客户端

	3》多个view 内可能需要对同一个区域进行解析,但使用不同的区域解析库文件

	4》格式:

		view VIEW_NAME {

			match-clients { testacl; };

			zone “adc.com” {

					type master;

					file “adc.com.zone”;

					};

			include “/etc/named.rfc1912.zones”;

		} ;

	5》注意:

		1。一旦启用了view ,所有的zone 都只能定义在view中

		2。仅在允许递归请求的客户端所在view中定义根区域

		3。客户端请求到达时,是自上而下检查每个view 所在服务的客户端列表

DNS基础排除

	1》例如:dig A example.com

		; <<>> DiG 9.9.4-RedHat-9.9.4-14.el7 <<>> Aexample.com

		;; global options: +cmd

		;; Got answer:

		;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id:30523

		...

	2》SERVFAIL:The nameserver encountered a problem while processing the query.

		可使用dig +trace 排错,可能是网络和防火墙导致

	3》NXDOMAIN :The queried name does not exist in the zone.

		可能是CNAME 对应的A记录不存在导致

	4》REFUSED :The nameserver refused the client's DNS request due to policy restrictions.

		可能是DNS 策略导致

	5》NOERROR 不代表没有问题,也可以是过时的记录

	6》查看是否为权威记录,flags:aa 标记判断

	7》被删除的记录仍能返回结果,可能是因为* 记录存在

			如:*.example.com. . IN A 172.25.254.254

	9》注意“.”的使用

	10》避免CNAME指向CNAME记录,可能产生回环

		test.example.com. IN CNAME lab.example.com.

		lab.example.com. IN CNAME test.example.com.

	11》正确配置PTR 记录,许多服务依赖PTR ,如sshd,MTA

	12》正确配置轮询round-robin

DNS中的AC、rndc、智能DNS解析和基础排错的更多相关文章

  1. JavaScript中登录名的正则表达式及解析(0基础)

    简言 在JavaScript中,经常会用到正则表达式来进行模式匹配.例如,登录名验证,密码强度验证,字符串查找或替换等操作.现在就开始吧,零基础写出你的第一个正则表达式! 在做用户注册时,都会用到登录 ...

  2. Bind+DLZ构建企业智能DNS/DNS

    Bind+DLZ构建企业智能DNS   目录:一.简介二.服务规划三.安装BIND及基本环境四.配置Bind-View-DLZ-MYSQL五.添加相关记录并进行测试六.配置从DNS七.补充 一.简介: ...

  3. DNS—正、反向解析;委派;主从;子域;转发;智能dns等的实现

    前言:DNS,耳熟能详的东西,内容太多,小编也不太好讲清,只能写几个实验详解,供大家参考. 一.简单介绍 1.DNS:通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析). 端 ...

  4. DNS正、反向解析+负载均衡+智能DNS+密钥认证

    主机名 IP 软件包 系统版本 内核版本 实验环境 master 192.168.30.130 bind.x86_64 32:9.8.2-0.17.rc1.el6_4.6 bind-chroot.x8 ...

  5. 简单介绍智能DNS解析+双线路接入

    导读:在讨论这个问题,其中群友老孤同志也提供了不少非常有参考价值的资料,所以我们再把这些资料再整理一次,从比较底层的技术原理上重新进行一次分析.   我们知道,因为南电信北网通现象的存在,我们的服务器 ...

  6. 智能DNS解析之edns-client-subnet篇

    摘要:智能DNS解析是CDN的重要组成部份,所谓的智能也就是根据请求用户来对同一域名作出相应不同解析(目前大多数域名注册商还没提供线路解析的服务),所以CDN的调度准确性也就完全依靠DNS智能解析,但 ...

  7. Linux DNS分离解析与构建智能DNS服务器

    一 构建DNS分离解析 方法一 : [root@localhost ~]# vim /etc/named.conf [root@localhost ~]# cd /var/named/ [root@l ...

  8. Bind+DLZ+MySQL智能DNS的正向解析和反向解析实现方法

    使用文本配置文件的配置方式结合bind的最新的acl和view特性来实现智能DNS想必很多人已经很熟悉了,使用MySQL数据库来存放zone文件的方式可能也不少.对于两者都熟悉的,实现 Bind+DL ...

  9. C#实现DNS解析服务和智能DNS服务

    C#实现DNS解析服务有一个开源项目ARSoft.Tools.Net, ARSoft.Tools.Net是一个非常强大的开源DNS控件库,包含.Net SPF validation, SenderID ...

随机推荐

  1. Uva 816 Abbott的复仇(三元组BFS + 路径还原)

    题意: 有一个最多9*9个点的迷宫, 给定起点坐标(r0,c0)和终点坐标(rf,cf), 求出最短路径并输出. 分析: 因为多了朝向这个元素, 所以我们bfs的队列元素就是一个三元组(r,c,dir ...

  2. HttpModule用户的验证

    HttpModule是向实现类提供模块初始化和处置事件.当一个HTTP请求到达HttpModule时,整个ASP.NET Framework系统还并没有对这个HTTP请求做任何处理,也就是说此时对于H ...

  3. openstack -> openinfra

    https://www.openstack.org/assets/software/projectmap/openstack-map.pdf

  4. hihoCoder#1109 最小生成树三·堆优化的Prim算法

    原题地址 坑了我好久...提交总是WA,找了个AC代码,然后做同步随机数据diff测试,结果发现数据量小的时候,测试几十万组随机数据都没问题,但是数据量大了以后就会不同,思前想后就是不知道算法写得有什 ...

  5. SpringBoot入门系列~Spring-Data-JPA自动建表

    1.pom.xml引入Spring-Data-Jpa和mysql依赖 <!-- Spring-data-jpa依赖 --> <dependency> <groupId&g ...

  6. HDU 5950 Recursive sequence 递推转矩阵

    Recursive sequence Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536/65536 K (Java/Other ...

  7. 上下文( Contexts )

    在 Indy9 的服务器中,链接特定(connection specific)的数据被作为线程类的一部分被存储. 实现这个要不然通过使用 thread.data 属性要不然通过继承对应的 thread ...

  8. 关于错误 e297: write error in swap file;E297: 交换文件写入错误

    在linux系统下修改文件vim的时候,忽然报错 E297: 交换文件写入错误 或者 e297: write error in swap file 原因:硬盘空间不足,我去,就剩下16M了

  9. spring SSH整合

    1 导入三大框架依赖的包: 2 配置web.xml: 增加spring的OpenSessionInView过滤器让Spring管理Session保证Session在一个完整的请求过程是开着的,要配置S ...

  10. Hdoj 3697 Selecting courses 【贪心】

    Selecting courses Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 62768/32768 K (Java/Others ...