在CentOS中設置DNS

第1步：安裝必要的包

在開始考慮以下說明之前，我們希望在我們的網站上，Linux中已有標準DNS的常規配置指南。我們建議使用完全的材料如果您應該設置通常訪問Internet網站的設置。接下來，我們將展示如何安裝具有客戶端部件的主本地DNS服務器。

在此過程結束時，將通知您已成功添加到系統中的所有包。之後，去下一步。

第2步：全局DNS服務器設置

現在我們想演示如何編輯主要配置文件，以及在那裡添加哪個行。我們不會分開居住每一行，因為它將需要很多時間，因此官方文檔中提供所有必要的信息。

您可以使用任何文本編輯器編輯配置對象。我們通過在控制台中進入Sudo yum安裝納米來安裝方便的納米。

所有必要的包都將下載，如果它們已經存在於分發中，您將收到通知“無關緊要”。

我們將繼續編輯文件本身。通過sudo nano /etc/named.conf打開它。如有必要，請替換所需的文本編輯器，然後字符串將如下：sudo vi /etc/named.conf。

下面我們介紹了您需要插入已打開文件的內容，或者通過添加缺少行來驗證它。

之後，按Ctrl + O記錄更改。

您無需更改文件名，只需單擊“輸入”。

通過Ctrl + X留下文本編輯器。

正如早之前所說的那樣，配置文件將需要插入某些行指定DNS服務器行為的一般規則。

// named.conf。

//由Red Hat Bind包提供配置ISC綁定命名（8）DNS

//服務器作為緩存只有名稱服務器（僅用LocalHost DNS解析器）。

//請參閱/ usr / share / doc / bind * / sample /例如命名配置文件。

選項 {

傾聽端口53 {127.0.0.1; 192.168.1.101;}; ### master DNS IP ###

＃listen-on-v6端口53 {:: 1; };

目錄“/ var /命名”;

轉儲文件“/var/named/data/cache_dump.db”;

統計文件“/var/named/data/named_stats.txt”;

Memastatistics-file“/var/named/data/named_mem_stats.txt”;

允許 - 查詢{localhost; 192.168.1.0/24;}; ### IP範圍###

允許 - 轉移{localhost; 192.168.1.102; }; ###從屬DNS IP ###

- 如果要構建權威DNS服務器，請不要啟用遞歸。

- 如果您正在構建遞歸（緩存）DNS服務器，則需要啟用

遞歸。

- 如果遞歸DNS服務器具有公共IP地址，則必須啟用訪問權限

控制以將查詢限制為合法用戶。未能這樣做

導致您的服務器成為大規模DNS放大的一部分

攻擊。在網絡中實施BCP38會很大程度上

減少這種攻擊表面

遞歸是;

DNSSEC啟用是的;

DNSSEC驗證是;

dnssec-lookaside auto;

/ * isc dlv鍵的路徑* /

綁定文件“/etc/named.iscdlv.key”;

託管鍵 - 目錄“/ var /命名/動態”;

pid-file“/ urned/named.pid”;

session-keyfile“/ chamed/session.key”;

};

記錄{

channel default_debug {

文件“data / named.run”;

嚴重程度動態;

};

區域“。”在 {

暗示;

文件“named.ca”;

};

區域“unixmen.local”{

型大師;

文件“forward.unixmen”;

允許更新{無; };

};

區域“1.168.192.in-addr.arpa”{

型大師;

文件“reverse.unixmen”;

允許更新{無; };

};

包括“/etc/named.rfc1912.zones”;

包括“/etc/named.root.key”;

確保一切都完全如上所示暴露，然後轉到下一步。

第3步：創建直接和反向區域

有關源的信息，DNS服務器使用直接和逆區域。直接允許您按主機名接收IP地址，返回VIA IP給出域名。必須提供特殊規則的每個區域的正確操作，我們提供的創建進一步提出。

對於直接區域，我們將通過相同的文本編輯器創建一個單獨的文件。然後字符串將如下所示：sudo nano /var/named/forward.unixmen。

您將收到通知它是一個空對象。粘貼以下內容：
$ ttl 86400。
@在soa masterdns.unixmen.local。 root.unixmen.local。（
2011071001;序列
3600;刷新。
1800;重試。
604800;過期
86400;最小TTL
)
@在ns masterdns.unixmen.local。
@在ns eduartdns.unixmen.local。
@在192.168.1.101
@在192.168.1.102
@在192.168.1.103中
Masterdns在192.168.1.101中
eduartydns在192.168.1.102中
客戶在192.168.1.103中

保存更改並關閉文本編輯器。

我們現在轉向反向區域。它需要一個/var/named/reverse.unixmen文件。

這也將是一個新的空文件。插入：
$ ttl 86400。
@在soa masterdns.unixmen.local。 root.unixmen.local。（
2011071001;序列
3600;刷新。
1800;重試。
604800;過期
86400;最小TTL
)
@在ns masterdns.unixmen.local。
@在ns eduartdns.unixmen.local。
@在ptrunixmen.local。
Masterdns在192.168.1.101中
eduartydns在192.168.1.102中
客戶在192.168.1.103中
101在ptr masterdns.unixmen.local。
102在ptr eduartydns.unixmen.local。
103在ptr client.unixmen.local。

保存時，請勿更改對象名稱，但只需按Enter鍵即可。

現在指定的文件將用於直接和反向區域。如有必要，您應該編輯它們以更改一些參數。您也可以在官方文檔中讀到它。

第4步：啟動DNS服務器

完成以前的所有說明後，您已可以啟動DNS服務器，以便將來很容易檢查其性能並繼續設置重要參數。任務如下所示：

在控制台中，輸入命名的sudo systemctl啟用，以將DNS服務器添加到啟動操作系統時自動啟動的自動啟動。

輸入超級用戶密碼確認此操作。

您將收到符號引用的創建通知，這意味著該操作已經成功。

通過systemctl開始命名實用程序。您可以以相同的方式阻止它，僅在停止時替換“開始”選項。

顯示“身份驗證彈出窗口”時，請從根本中輸入密碼。

正如您所看到的，指定服務的管理根據與所有其他標準公用事業相同的原則，即使在新手用戶也不應該存在任何問題。

第5步：更改防火牆的參數

有關DNS服務器的正確操作，您需要打開端口53，該端口53通過防火牆標準防火牆進行。在終端中，您需要只引入三個簡單的命令：

第一個功能aigewall-cmd -permanent --dd-port = 53 / tcp的視圖，並負責打開TCP協議端口。將其插入控制台，然後單擊“輸入”。

您必須收到“成功”通知，這表明該規則的成功應用程序。之後，請插入防火牆-cmd -permanent --dd-port = 53 / UDP字符串以打開UDP協議端口。

只有在重新啟動防火牆後，才會應用所有更改，該防火牆通過防火牆-cmd -reload命令執行。

防火牆沒有更多的變化來生產。保持在狀態上保持不斷，以便沒有訪問問題。

第6步：調整訪問權限

現在有必要設置要保護DNS服務器功能的主要權限和訪問權限，並保護通常的用戶免受更改參數的能力。我們將通過SELinux以標準方式製作。

所有後續命令必須代表超級用戶激活。要不斷地輸入密碼，我們建議您為當前終端會話啟用永久根訪問。為此，請在控制台中輸入su。

指定訪問密碼。

之後，交替輸入以下命令以創建最佳訪問配置：
chgrp命名為-r / var /命名
chown -v root：named /etc/named.conf
RESTORECON -RV / VAR /命名
RestoreCon /etc/named.conf。

在此，完成主DNS服務器的一般配置。它仍然是為了編輯多個配置文件和測試錯誤。我們提供所有這一切來弄清楚下一步。

第7步：測試錯誤並完成設置

我們建議從錯誤檢查開始，以便將來，它不必更改剩餘的配置文件。這就是為什麼我們將在一步中考慮一下，以及我們為測試的正確輸出提供適當輸出的樣本。

在終端中輸入名為CheckConf /etc/named.conf。這將允許您檢查全局參數。如果結果，則不會遵循輸出，這意味著一切都配置正確。否則，學習消息，並從中推出，解決問題。
接下來，您需要通過插入named-checkzone unixmen.local /var/named/forward.unixmen字符串來檢查直接區域。
輸出示例如下：unixmen.local / in：loaded串行2011071001 OK。

通過named-checkzone unixmen.local /var/named/reverse.unixmen大致相同和反向區域。

正確的輸出應該是：unixmen.local / in：加載串行2011071001 OK。

我們現在繼續前進到主網絡接口的設置。它需要添加當前DNS服務器的數據。為此，請打開/ etc / sysconfig / network-scripts / ifcfg-enp0s3文件。

檢查內容如下所示。如有必要，請插入DNS參數。
類型=“以太網”
bootproto =“無”
defroute =“是”
IPv4_failure_fatal =“否”
ipv6init =“是”
ipv6_autoconf =“是”
ipv6_defroute =“是”
IPv6_failure_fatal =“否”
名稱=“ENP0S3”
UUID =“5D0428B3-6AF2-4F6B-9FE3-4250CD839EFA”
onboot =“是”
hwaddr =“08：00：27：19：68：73”
ipaddr0 =“192.168.1.101”
prefix0 =“24”
Gateway0 =“192.168.1.1”
DNS =“192.168.1.101”
ipv6_peerdns =“是”
IPv6_peerroutes =“是”