系统环境:CentOS Linux release 7.4.1708 (Core)  3.10.0-693.el7.x86_64

软件版本:bind-chroot-9.9.4-51.el7_4.1.x86_64

服务器规划:1台主服务器、1台从服务器,主从服务器都作为DNS缓存服务器,启用DNS转发

主DNS服务器:10.20.20.2

从DNS服务器:10.20.20.3

一、安装与主配置文件

1、安装bind-chroot

CentOS7不同于6,只需要安装bind-chroot,就会自动安装主程序包bind和库bind-libs。同时安装bind-utils(包含host和dig程序的包)

# yum install bind-chroot bind-utils

# systemctl start named-chroot.service

# systemctl enable named-chroot.service

CentOS7下安装了bind-chroot之后,若要使用named-chroot.service,则需要关闭named.service。两者只能运行一个。

参考:https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/networking_guide/sec-bind

2、主配置文件named.conf

acl trusted {

        192.168.10.0/;  #定义一个acl列表

};

options {

    listen-on port  { 10.20.20.2; };  #指定监听端口和ip,可以指定多个ip

   listen-on-v6 port  { none; };

   directory       "/var/named";

   dump-file       "/var/named/data/cache_dump.db";

   statistics-file "/var/named/data/named_stats.txt";

   memstatistics-file "/var/named/data/named_mem_stats.txt";

    allow-query     { trusted; };  #允许查询的客户端列表

    allow-recursion    { trusted; };  #运行通过本服务器递归查询的客户端列表

    forward    first;  #转发模式,first选项代表首先查询forwarders中的DNS服务器,如果查询失败,则从根服务器开始递归查询(需要定义zone "."区域),only选项代表只查询forwarders中的服务器,如果查询失败也不会继续从根服务器进行递归查询

    forwarders    {      #转发DNS查询的权威DNS服务器列表

        202.103.24.68;

        202.103.44.150;

        223.5.5.5;

        223.6.6.6;

        114.114.114.114;

        8.8.8.8;

    };

    recursion yes;  #允许递归查询

    dnssec-enable no;  #DNSSEC相关选项,国内的DNS服务器基本没有配置DNSSEC,因此关闭

    dnssec-validation no;

   bindkeys-file "/etc/named.iscdlv.key";

   managed-keys-directory "/var/named/dynamic";

   pid-file "/run/named/named.pid";

   session-keyfile "/run/named/session.key";

};

logging {  

        channel default_debug {

                severity dynamic;

        };

};

zone "." IN {  

    type hint;

    file "named.ca";

};

#正向解析

zone "st.local" IN {  #本地区域配置

    type master;  #主服务器

    file "st.local.zone";  #区域解析文件,位于CHROOT-PATH/var/named/

    allow-update { none; };  

    allow-transfer { 10.20.20.3; };  #允许同步区域的从服务器列表

    notify yes;  #定时通知从服务器刷新区域信息,时间间隔为区域解析文件中的refresh值

};

#反向解析

zone "20.20.20.in-addr.arpa" IN {

  type master;

  file "10.20.20.zone";

  allow-update { none; };

  allow-transfer { 10.20.20.3; };

  notify yes;

};

这里直接在named.conf里面写zone的配置,也可以单独写到其他文件里,用include包含进来。zone里定义的区域解析文件位于CHROOT-PATH/var/named中,新建或cp的时候注意zone文件的权限,应定义为named用户或归属named组。

二、区域解析文件

1、正向解析

$TTL 1D

$ORIGIN st.local.

@       IN SOA  ns1.st.local. admin.st.local. (

                                      ; serial

                                        1D      ; refresh  #服务器刷新时间

                                        1H      ; retry  #重新刷新的时间

                                        1W      ; expire  #宣告失效的时间

                                        3H )    ; minimum  #缓存保留时间

                NS      ns1.st.local.

                NS      ns2.st.local.

        IN      MX       mail.st.local.

ns1     IN      A       10.20.20.2

ns2     IN      A       10.20.20.3

mail    IN      A       10.20.20.2

如果修改区域解析文件后不能同步至从服务器,则需要更改serial值大于当前值。从服务器在同步主服务器时,会比对serial值,如果发现大于当前值,则立即同步。

2、反向解析

$TTL 1D

$ORIGIN 20.20..in-addr.arpa.

@       IN SOA  ns1.st.local. admin.st.local. (

                                      ; serial

                                        1D      ; refresh

                                        1H      ; retry

                                        1W      ; expire

                                        3H )    ; minimum

                NS      ns1.st.local.

                NS      ns2.st.local.

        IN      MX       mail.st.local.

       IN      PTR     ns1.st.local.

       IN      PTR     ns2.st.local.

       IN      PTR     mail.st.local.

三、测试配置文件

# named-checkconf -z

zone st.local/IN: loaded serial

zone 20.20..in-addr.arpa/IN: loaded serial

# named-checkzone st.local var/named/st.local.zone

zone st.local/IN: loaded serial

OK

# named-checkzone 20.20..in-addr.arpa var/named/10.20..zone

zone 20.20..in-addr.arpa/IN: 20.20..in-addr.arpa/MX 'mail.st.local' (out of zone) has no addresses records (A or AAAA)

zone 20.20..in-addr.arpa/IN: loaded serial

OK

四、rndc管理工具

配置完成后,可直接使用rndc flush;rndc reload刷新并重载配置

rndc可用选项:

reload 重新装入配置文件和区域

reload zone [class [view]] 重新装入单个区域

refresh zone [class [view]] 安排区域的立即维护

reconfig 仅重新装入配置文件和新区域

stats 将服务器统计信息写入统计文件中

querylog 切换查询日志

dumpdb 将高速缓存转储到转储文件 (named_dump.db)

stop 将暂挂更新保存到主文件并停止服务器

halt 停止服务器,但不保存暂挂更新

trace 将调试级别增加一级

trace level 更改调试级别

notrace 将调试级别设置为 0

flush 刷新服务器的所有高速缓存

flush [view] 为某一视图刷新服务器的高速缓存

status 显示服务器的状态

五、防火墙

# iptables -I INPUT -m state --state NEW -m tcp -p tcp --dport  -j ACCEPT

# iptables -I INPUT -m state --state NEW -m udp -p udp --dport  -j ACCEPT

# iptables-save >/etc/sysconfig/iptables

六、从服务器配置

1、安装bind-chroot

# yum install bind-chroot bind-utils

# systemctl start named-chroot.service

# systemctl enable named-chroot.service

2、主配置文件

acl trusted {

        192.168.10.0/;  

};

options {

    listen-on port  { 10.20.20.3; };

    listen-on-v6 port  { none; };

    directory       "/var/named";

    dump-file       "/var/named/data/cache_dump.db";

    statistics-file "/var/named/data/named_stats.txt";

    memstatistics-file "/var/named/data/named_mem_stats.txt";

    allow-query     { trusted; };  

    allow-recursion    { trusted; };  

    forward    first;  

    forwarders    {      

        202.103.24.68;

        202.103.44.150;

        223.5.5.5;

        223.6.6.6;

        114.114.114.114;

        8.8.8.8;

    };

    recursion yes;  

    dnssec-enable no;  

    dnssec-validation no;

    bindkeys-file "/etc/named.iscdlv.key";

    managed-keys-directory "/var/named/dynamic";

    pid-file "/run/named/named.pid";

    session-keyfile "/run/named/session.key";

};

logging {  

        channel default_debug {

                severity dynamic;

        };

};

zone "." IN {  

    type hint;

    file "named.ca";

};

#正向解析

zone "st.local" IN {

        type slave;  #类型为slave

        masters { 10.20.20.2; };  #主服务器ip

        file "slaves/st.local.zone";  

};

#反向解析

zone "20.20.10.in-addr.arpa" IN {

        type slave;

        masters { 10.20.20.2; };

        file "slaves/10.20.20.zone";

};

注意/var/named/slaves文件夹的权限

3、重载配置

分别重载主从服务器配置。

# rndc flush;rndc reload

4、防火墙

# iptables -I INPUT -m state --state NEW -m tcp -p tcp --dport  -j ACCEPT

# iptables -I INPUT -m state --state NEW -m udp -p udp --dport  -j ACCEPT

# iptables-save >/etc/sysconfig/iptables

参考

http://www.361way.com/bind-dnscache/4802.html

http://www.361way.com/bind-dns/4807.html

https://www.server-world.info/en/note?os=CentOS_7&p=dns

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/networking_guide/sec-bind

CentOS7下BIND配置主从服务器和缓存服务器的更多相关文章

  1. Centos7下安装配置Redsocks

    Redsocks是一个开源的网络程序,代码依赖开源的libevent网络库.Redsocks允许你将所有TCP连接重定向到SOCKS或HTTPS代理,比如Shadowsocks(Centos7下安装配 ...

  2. Windows下安装配置免安装MySQL5.7服务器

      Windows下安装配置免安装MySQL5.7服务器 1.下载.解压安装包 从MySQL官方网站上下载mysql-5.7.19-winx64.zip 下载完成后,把安装包解压到D:\DevSoft ...

  3. CentOS7下Mysql5.7主从数据库配置

    本文配置主从使用的操作系统是Centos7,数据库版本是mysql5.7. 准备好两台安装有mysql的机器(mysql安装教程链接) 主数据库配置 每个从数据库会使用一个MySQL账号来连接主数据库 ...

  4. 【Linux】DNS服务-BIND从服务器、缓存服务器及转发服务器配置(三)

    环境 操作系统:CentOS 6.5 DNS软件:bind(安装参照:[Linux]DNS服务-BIND基础配置(二)) BIND从服务器 从服务器就是在bind的主配置文件中添加从域example. ...

  5. Centos7 下代理配置

    对于提供服务的服务器来说,一般都配置在内网环境中,而在内网下公司处于安全的考虑,一般不开放外网的访问权限.这时如果想要访问外网,一般需要配置公司提供的代理服务器再进行使用.下面介绍几种配置代理的方法: ...

  6. Centos7下mysql的主从配置

    最近,有朋友业务并发量比较大,让我帮他配置个主从,来缓解数据库的压力.下面就是我配置的,有需要的朋友可以借鉴下. 首先,我得到2台服务器: 172.18.2.142(主) 172.18.2.141(从 ...

  7. CentOS7+mysql5.6配置主从

    一.安装环境 操作系统:CentOS-7-x86_64-DVD-1611.iso数据库版本:mysql-5.6.39-linux-glibc2.12-x86_64.tar.gz数据库地址: 192.1 ...

  8. Centos7下安装配置elasticsearch 6.3.1

    1)下载 Elasticsearch 6.3.1 地址:https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.3.1 ...

  9. centos7下安装配置redis3.0.4

    安装redis 1.进入redis官网(redis.io)下载redis稳定版安装包,目前稳定版本为3.0.4 2.在linux  /usr文件夹下新建redis文件夹,拷贝安装包redis-3.0. ...

随机推荐

  1. Spark 编程模型(中)

    先在IDEA新建一个maven项目 我这里用的是jdk1.8,选择相应的骨架 这里选择本地在window下安装的maven 新的项目创建成功 我的开始pom.xml文件配置 <project x ...

  2. linux优化之全过程

    基于开放源代码的Linux给用户提供了这样一个平台:可以根据自己的软.硬件环境,定制自己的Linux应用环境.因此,根据每个用户不同的应用范围定制应用环境,可以将Linux系统的性能提升到新的高度. ...

  3. IntelliJ IDEA创建maven web项目(IDEA新手适用)

      步骤一:首先先创建一个project,在这里就是创建一个maven的工作空间 步骤二:按照下面的步骤操作就可以了,最后next 首先,选择左边的maven 然后在右边Creater from ar ...

  4. UVA-839-二叉树-一个有意思的题目

    题意: 一颗二叉树可以看成一个杠杆,左右俩边有重量,有到支点长度,判断整个树是否平衡(根据杠杆原理),如果当前结点有左孩子,那么当前左边的重量就是左孩子的总和,右边同理 递归,发现scanf和cin的 ...

  5. hive 上篇

    hive 是以hadoop为基础的数据仓库,使用HQL查询存放在HDFS上面的数据,HSQL是一种类SQL的语句,最终会被编译成map/reduce,HSQL可以查询HDFS上面的数据:不支持记录级别 ...

  6. Mysql 开启Federated引擎以及使用

    FEDERATED是其中一个专门针对远程数据库的实现.但通过FEDERATED引擎创建的表只是在本地有表定义文件,数据文件则存在于远程数据库中通过这个引擎可以实现类似Oracle 下DBLINK的远程 ...

  7. quartz 的简单使用

    0.依赖: <!-- 引入quartz对应的依赖 --> <dependency> <groupId>org.quartz-scheduler</groupI ...

  8. NPOI操作word文档1

    1.首先进行XWPFDocument类的实例化,该类的实例对应一个word文档 XWPFDocument MyDoc = new XWPFDocument(); 2.设置页面的大小 CT_SectPr ...

  9. FireDACQuery FDQuery New

    FDQuery FDQuery1->ChangeCount;也有UpdatesPending属性 FDQuery1->ApplyUpdates() ExecSQL('select * fr ...

  10. 创建一个多进程(multiprocessing.Process)

    进程是资源的集合,每个进程至少包含一个线程 import multiprocessing #导入进程模块import time, threading #导入线程 def thread_run(): p ...