centos7上使用bind解析子域名
2020年4月8日,本文有效期预计3年。
假设有这样的练习:
在云服务商甲那里购买了域名yunfwa.com,自己有带公网IP的5.5.5.6服务器乙(centos 7.x环境),目标是用乙服务器实现web.yunfwa.com及其三级子域名的解析。
具体来说,web.yunfwa.com想解析到5.5.5.7
www.web.yunfwa.com也解析到5.5.5.7
blog.web.yunfwa.com想解析到5.5.5.8
第一步,在服务器乙上安装DNS解析软件bind,并启动
# yum install bind bind-utils caching-nameserver –y
# systemctl start named
bind-chroot在这个练习里未使用。
第二步,放行防火墙DNS服务端口 53 udp
# firewall-cmd --zone=public --add-port=53/udp --permanent 添加(--permanent永久生效,没有此参数重启后失效) # firewall-cmd --zone=public --query-port=53/udp 查看 # systemctl restart firewalld 重启防火墙
另外两条firewall命令
# firewall-cmd --reload 重新载入 # firewall-cmd --zone=public --remove-port=53/udp --permanent 删除
第三步,修改各配置文件
三.1 修改主配置文件,允许所有ipv4地址来访问DNS解析,并拒绝所有ipv6访问;并且
# vi /etc/named.conf
修改以下内容
listen-on port 53 { any; }; // 所有网卡上允许ipv4 listen-on-v6 port 53 { none; }; // 禁止ipv6 allow-query { any; }; // 允许所有人访问 allow-query-cache { any; }; // 不懂 recursion no; // 根据上下文注释,公网上自己提供DNS时设置为no更安全
三.2 在rfc1912.zones文件中增加web.yunfwa.com区域
# vi /etc/named.rfc1912.zones
在末尾增加以下内容
zone "web.yunfwa.com" IN { type master; file "web.yunfwa.com.zx"; allow-update { none; }; };
三.3 在/var/named/目录下,新增web.yunfwa.com.zx文件
# cd /var/named/ # cp -p named.localhost web.yunfwa.com.zx # chmod 644 web.yunfwa.com.zx # vi web.yunfwa.com.zx
web.yunfwa.com.zx根据3.2的定义,是一个正向解析文件,反向在我们这种情况下不知道怎么提供,算了。
这个文件要对named可读,所以用了chmod,或者用chown root:named web.yunfwa.com.zx命令应该也能达到效果。
文件内容设置如下:
$TTL 1D @ IN SOA @ root.nothereyet.com. ( 1 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum NS @ A 5.5.5.7 www A 5.5.5.7 blog A 5.5.5.8
第四步,在服务器乙检验并重启bind服务
检查zone文件
# named-checkzone web.yunfwa.com /var/named/web.yunfwa.com.zx
正确的话显示OK,即可重启bind(named)服务
# systemctl restart named
如果启动中遇到错误,可以用systemctl -l status named查看出错内容。
接下来用bind-tuils安装的两个命令检查之前设置的子域解析
# dig @5.5.5.6 web.yunfwa.com # nslookup blog.yunfwa.com 5.5.5.6
第五步,在云服务商甲处设置web.yunfwa.com子域的两条解析记录
web的NS类型记录,值为dnsbind.web
dsnbind.web的A类型记录,值为5.5.5.6
如果甲商允许NS直接使用ipv4的地址值,那用一条就够了。
一般一两分钟后,ping blog.web.yunfwa.com就可以看到结果。
另外,更高效的方法,是在甲商处直接指定yunfwa.com的域名解析服务器为自己的公网服务器,全自己来。
参考资料,感谢