第九周--作业

1、简述DNS服务器原理，并搭建主-辅服务器

DNS工作原理：

1、当在浏览器中输入URL时，浏览器会先检查自己的缓存是否有域名IP的映射关系，有则直接使用IP进行通信
2、如浏览器没有缓存，则操作系统检查本地hosts文件是否有域名IP的映射关系，有则使用IP进行通信
3、如果hosts没有这个域名的映射，则查找本地DNS解析器缓存是否有映射关系，有则直接返回完成域名解析
4、如果还未找到映射关系，首先会找TCP/IP参数中设置的首选DNS服务器，也就是本地DNS服务器，如果服务器已缓存了映射关系，则使用这个IP地址映射返回完成域名解析，此时解析不具有权威性
5、如果本地DNS服务器缓存已经失效，进行递归查询

主-辅服务器：

?

环境要求：

需要四台主机

DNS主服务器：10.0.0.8

DNS从服务器:10.0.0.18

web服务器：10.0.0.17

DNS客户端：10.0.0.7

  

前提准备：

关闭SElinux

关闭防火墙

时间同步<br><br>实现步骤：<br>主DNS服务配置：从DNS服务配置：web服务配置：DNS客服端服务配置：

[root@localhost ~]#vim /etc/named.conf
#注释掉下面两行
// listen-on port 53 { 127.0.0.1; };
// allow-query { localhost; };
#只允许从服务器进行区域传输
allow-transfer { 从服务器ip; };

[root@localhost ~]#vim /etc/named.rfc1912.zones
#添加以下内容（指定解析文件路径）
zone "magedu.org" IN {
type master;
file "magedu.org.zone";
};

[root@localhost ~]#vim /var/named/magedu.org.zone
$TTL 3H
@ IN SOA master admin.magedu.org. (
0 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
IN NS master
IN NS slave
master IN A 10.0.0.8
slave IN A 10.0.0.18
www IN A 10.0.0.17

[root@localhost ~]#vim /etc/named.conf
#注释掉下面两行
// listen-on port 53 { 127.0.0.1; };
// allow-query { localhost; };
#不允许任何服务器进行区域传输
allow-transfer { none; };

[root@localhost ~]#vim /etc/named.rfc1912.zones
#添加以下内容（指定解析文件路径）
zone "magedu.org." IN {
type slave;
masters { 10.0.0.48; };
file "slaves/magedu.org.slave";
};

[root@localhost ~]#yum -y install httpd
echo www.magedu.org > /var/www/html/index.html

[root@localhost ~]#yum -y install bind-utils-9.11.4-26.P2.el7.x86_64
#修改配置环境
vim /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
NAME=eth0
ONBOOT=yes
BOOTPROTO=static
IPADDR=10.0.0.7
PREFIX=24
DNS1=10.0.0.8
DNS2=10.0.0.18

　　

客服端测试结果：

 

2、搭建并实现智能DNS

利用view实现智能DNS

环境要求：

需要五台主机
DNS主服务器和web服务器1：10.0.0.8/24，172.16.0.8/16
web服务器2：10.0.0.7/24
web服务器3：172.16.0.7/16
DNS客户端1：10.0.0.6/24
DNS客户端2：172.16.0.6/16

前提准备
关闭SElinux
关闭防火墙
时间同步

实现步骤：

1：DNS服务器的网卡配置

?

#配置两个IP地址

#eth0：10.0.0.8/24

#eth1: 172.16.0.8/16

ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group

default qlen 1000

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

inet 127.0.0.1/8 scope host lo

valid_lft forever preferred_lft forever

inet6 ::1/128 scope host

valid_lft forever preferred_lft forever

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group

default qlen 1000

link/ether 00:0c:29:f9:8d:90 brd ff:ff:ff:ff:ff:ff

inet 10.0.0.8/24 brd 10.0.0.255 scope global noprefixroute eth0

valid_lft forever preferred_lft forever

inet6 fe80::20c:29ff:fef9:8d90/64 scope link

valid_lft forever preferred_lft forever

3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group

default qlen 1000

link/ether 00:0c:29:f9:8d:11 brd ff:ff:ff:ff:ff:ff

inet 172.16.0.8/16 brd 172.16.0.255 scope global noprefixroute eth1

valid_lft forever preferred_lft forever

inet6 fe80::20c:29ff:fe11:8d90/64 scope link

valid_lft forever preferred_lft forever

　　

2：主DNS服务端配置文件实现 view

?

yum install bind -y

  

vim /etc/named.conf

#在文件最前面加下面行

acl beijingnet {

10.0.0.0/24;

};

acl shanghainet {

172.16.0.0/16;

};

acl othernet {

any;

};

  

#注释掉下面两行

// listen-on port 53 { 127.0.0.1; };

// allow-query { localhost; };

  

#其它略

  

# 创建view

view beijingview {

match-clients { beijingnet;};

include "/etc/named.rfc1912.zones.bj";

};

view shanghaiview {

match-clients { shanghainet;};

include "/etc/named.rfc1912.zones.sh";

};

view otherview {

match-clients { othernet;};

include "/etc/named.rfc1912.zones.other";

};

include "/etc/named.root.key";

　　

3：实现区域配置文件

?

vim /etc/named.rfc1912.zones.bj

zone "." IN {

type hint;

file "named.ca";

};

zone "magedu.org" {

type master;

file "magedu.org.zone.bj";

};

  

vim /etc/named.rfc1912.zones.sh

zone "." IN {

type hint;

file "named.ca";

};

zone "magedu.org" {

type master;

file "magedu.org.zone.sh";

};

  

vim /etc/named.rfc1912.zones.other

zone "." IN {

type hint;

file "named.ca";

};

zone "magedu.org" {

type master;

file "magedu.org.zone.other";

};

  

chgrp named /etc/named.rfc1912.zones.bj

chgrp named /etc/named.rfc1912.zones.sh

chgrp named /etc/named.rfc1912.zones.other

　　

4：创建区域数据库文件

?

vim /var/named/magedu.org.zone.bj

$TTL 1D

@ IN SOA master admin.magedu.org. (

2019042214 ; serial

1D ; refresh

1H ; retry

1W ; expire

3H ) ; minimum

NS master

master A 10.0.0.8

websrv A 10.0.0.7

www CNAME websrv

  

vim /var/named/magedu.org.zone.sh

$TTL 1D

@ IN SOA master admin.magedu.org. (

2019042214 ; serial

1D ; refresh

1H ; retry

1W ; expire

3H ) ; minimum

NS master

master A 10.0.0.8

websrv A 172.16.0.7

www CNAME websrv

  

vim /var/named/magedu.org.zone.other

$TTL 1D

@ IN SOA master admin.magedu.org. (

2019042214 ; serial

1D ; refresh

1H ; retry

1W ; expire

3H ) ; minimum

NS master

master A 10.0.0.8

websrv A 127.0.0.1

www CNAME websrv

  

chgrp named /var/named/magedu.org.zone.bj

chgrp named /var/named/magedu.org.zone.sh

chgrp named /var/named/magedu.org.zone.other

  

systemctl start named

rndc reload

　　

5：实现位于不同区域的三个WEB服务器

?

#分别在三台主机上安装http服务

#在web服务器1：10.0.0.8/24实现

yum install httpd

echo www.magedu.org in Other > /var/www/html/index.html

systemctl start httpd

#在web服务器2：10.0.0.7/16

echo www.magedu.org in Beijing > /var/www/html/index.html

systemctl start httpd

#在web服务器3：172.16.0.7/16

yum install httpd

echo www.magedu.org in Shanghai > /var/www/html/index.html

　　

6：客户端测试

?

#分别在三台主机上访问

#DNS客户端1：10.0.0.6/24 实现，确保DNS指向10.0.0.8

curl www.magedu.org

www.magedu.org in Beijing

#DNS客户端2：172.16.0.6/16 实现，确保DNS指向172.16.0.8

curl www.magedu.org

www.magedu.org in Shanghai

#DNS客户端3：10.0.0.8 实现，，确保DNS指向127.0.0.1

curl www.magedu.org

www.magedu.org in Other

　　

3、使用iptable实现: 放行ssh,telnet, ftp, web服务80端口，其他端口服务全部拒绝

?

[root@centos7 ~]# iptables -A INPUT -p tcp -m multiport --dport 21,22,23,80 -j ACCEPT

[root@centos7 ~]#iptables -A INPUT -j REJECT

[root@centos7 ~]#iptables -nvL

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination

   12   872 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 21,22,23,80

    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreach

　　

3、NAT原理总结

?

NAT的产生：

由于网络的飞速发展和网络应用的极速增多，致使IPv4可用地址空间逐渐枯竭。尽管IPv6可以在根本上解决地址枯竭问题，但IPv4发展到IPv6还需要一个过渡，而这便产生了NAT

 

NAT的作用：

IP地址分为公网IP与私网IP。一般情况下，在互联网中，公网IP可直接访问，私网IP无法直接访问。而NAT则是将私网IP地址转换为公网IP地址（将IP报文头部的私网IP地址改为可以提供访问的公网IP地址），从而实现用户上网<br>功能或服务器在互联网上提供服务。NAT还可以使得一个公网IP代表多个不同的内网IP，这样便节省了IP地址资源

 

NAT的类型和分类：

静态转换：私有地址与公有地址进行一对一的映射。这种一对一映射无法缓解可用公有地址短缺的问题。

动态转换：私有地址与公有地址进行一对多的映射。首先建立公有地址地址池，私有地址向外通信时，会从公有地址地址池中选择非在用的公有地址进行映射，当通信结束时，释放映射关系，公有地址重新恢复到地址池中待用。弊端：<br>若私有地址向外通信，而公有地址地址池中无可用公有地址时，会等待公有地址释放后在进行通信。

端口转换：在大多数网络中，一般都使用的是IP上的某个端口（如80、443、3389等），所以不需要进行全地址映射，只需要私有地址端口映射到公有地址端口上，直接访问公有地址加端口号的形式便可以。这样可以使得一个公有地<br>址可以对应多个私有地址，从而大大缓解了公有地址紧缺的问题。

Easy IP：为小型网络，一般为家庭、小型网吧、办公室等内部主机不多的地方。通过拨号方式获取一个临时公网IP地址进行外网的访问

　　

4、iptables实现SNAT和DNAT，并对规则持久保存

实现SNAT和DNAT都需要开启内核数据转发功能

?

[root@localhost ~]# vim /etc/sysctl.conf

# 把下列选项改正1

net.ipv4.ip_forward=0

...

net.ipv4.ip_forward=1

　　

SNAT：

?

基于nat表的target，适用于固定的公网IP

 

SNAT选项：

 

--to-source [ipaddr[-ipaddr]][:port[-port]]

--random

 

语法：

iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j SNAT --to-source ExtIP

　

DNAT：

?

nat表的target，适用于端口映射，即可重定向到本机，也可以支持重定向至不同主机的不同端口，但不支持多目标，即不支持负载均衡功能

 

DNAT选项：

 

--to-destination [ipaddr[-ipaddr]][:port[-port]]

 

语法：

iptables -t nat -A PREROUTING -d ExtIP -p tcp|udp --dport PORT -j DNAT --todestination InterSeverIP[:PORT]