配置DNS服务器Word文件下载.docx
《配置DNS服务器Word文件下载.docx》由会员分享,可在线阅读,更多相关《配置DNS服务器Word文件下载.docx(11页珍藏版)》请在冰豆网上搜索。
(3)主机地址记录A
(4)别名记录CNAME
(5)邮件交换器记录MX
(6)指针记录PTR
7、正向查找和逆向查找
正向查找是将名称映射为IP地址的请求。
是最常见的查找类型,并被用来查找服务器的IP地址。
进而开始建立到该地址的连接。
这种类型的请求要求进行“名称到地址”的解释。
逆向查找是将IP地址映射到名称的请求。
逆向查找的请求进行“地址到名称”的解释。
8、现存的DNS区域
DNS区域可分为主区域、从区域与短区域3种类型。
主区域:
有配置DNS的数据文件,例如在/var/name里面的正向及反查文件。
创建新的主区域是指创建拥有原始的区域资料、可以提供授权的域。
从区域:
主要是进行主区域的数据备份,同时也提供Internet上面的查询功能。
使用主/从区域的最大优点在于“单点维护”的能力,即修改主区域就可让从区域的数据同時更新。
短区域:
会將此区域的所有要求转送到其它的服务器。
9、测试
(1)用host命令查询域名
登录Linux的控制台,执行host命令,检查出现结果是否正确。
host
hasaddress192.168.0.2//正向解释成功
host192.168.0.2
2.0.168.192.IN-ADDR.ARPAdomainnamepointer//反向解释成功
isanicknamefor
hasaddress192.168.0.2//别名解释成功
mailishandled(pri=10)by//邮件服务器解释成功
(2)使用nslookup进行测试
Nslookup有交互式和非交互式两种使用方式。
v非交互式:
仅仅查询一条数据。
使用格式为:
Nslookup[name|IP]
v交互方式:
不带参数直接启动Nslookup进入。
交互方式中可以使用的命令有:
?
/help:
命令帮助
ctrl+d/exit:
退出命令
ctrl+c:
中断命令(不退出)
setall:
查看设置
server[name]:
设置查询的名字服务器
setq=any查询任何类型
setq=mx查询邮件服务器
setq=ns查询名字服务器
10、使用配置文件配置DNS服务器
◆配置文件及相关概念
在bind中,配置named一共需要配置五个文件:
(1)启动文件/etc/named.conf
设置通用named参数,给出由该服务器所在的域数据库信息的源。
(2)缓存文件/var/named/named.ca
指向根域服务器。
(3)自反文件/var/named/named.local
用于本地解析自反地址。
(4)正向域区文件/var/named/named.hosts
映射主机名IP地址的区文件。
(5)反向域区文件/var/named/named.rev
映射IP地址到主名的反向域的区文件。
◆名字服务器的数据库文件实例
(1)启动文件named.conf示例:
options{
directory"
/var/named"
;
};
zone"
."
{
typehint;
;
线索
file"
named.ca"
};
0.0.127.in-addr.arpa"
typemaster;
named.local"
"
named.hosts"
0.168.192.in-addr.arpa"
named.rev"
(2)缓存文件named.ca在安装时生成,不需要配置。
(3)自反文件named.local实例
@INSOA..(
305;
序列号
10800;
备份时间
1800;
备份重试时间
3600000;
备份服务器的有效期
86400);
ZONE中记录的最小生存期
INNS.
1INPTRlocalhost.
说明:
原始服务器是.
有关本区问题的联系地址是root@
(4)正向域区文件named.hosts实例:
(负责zone"
)
20010328;
serial
86400;
refresh
1800;
retry
2592000;
expire
default_ttl
)
NS
MX
INMX0.
dnsINA192.168.0.2
//解释为=192.168.0.2
hhINA192.168.0.19
homeINA192.168.0.17
mailINA192.168.0.3
proxyINCNAME.
mailINCNAME.
musicINCNAMEL.
(5)反向域区文件named.rev:
(负责zone"
2001032801;
300;
INNS.
3INPTR.
//3.0.168.192==>
rev->
192.168.0.3
2INPTR.
19INPTR.
17INPTR.
11、启动named
管理员修改完DNS的配置文件,需要执行/etc/rc.d/init.d/
namedrestart来使更改生效。
12、配置从域名服务器
配置从域名服务器,只需要配置一个named.conf,其它数据从主服务器中得到。
0.0.127.IN-ADDR.ARPA"
{
typeslave;
sgu.name"
masters{192.168.0.2;
0.168.192.IN-ADDR.ARPA"
sgu.rev"
作业:
1.说明在创建DHCP作用的过程中需要输入那些必要信息?
2.怎样才能使某一台计算机成为DHCP客户机?
3、什么是DNS服务?
DNS服务器用哪个端口提供服务呢?
用什么协议?
4、DNS数据库文件中的MX,A,CNAME,PTR,NS,SOA的含义是什么?
配置防火墙
1、防火墙的任务
防火墙系统是一种网络安全部件,它可以是硬件,也可以是软件,也可能是硬件和软件的结合。
防火墙处于被保护网络和其它网络的边界,接收进出被保护网络的数据流,并根据防火墙所配置的访问控制策略进行过滤或做出其它操作。
防火墙系统不仅能够保护网络资源不受外部的侵入,而且还能够拦截从被保护网络向外传送有价值的信息。
2、防火墙技术
按照实现技术分类防火墙的基本类型有:
◆包过滤型
◆代理服务型
◆状态检测型
a)防火墙的包过滤技术
包过滤(PacketFilter)通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。
包过滤是一种安全筛选机制,它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。
b)防火墙的应用代理技术
代理服务(ProxyService)系统一般安装并运行在双宿主机上。
双宿主机是一个被取消路由功能的主机,与双宿主机相连的外部网络与内部网络之间在网络层是被断开的。
这样做的目的是使外部网络无法了解内部网络的拓扑。
这与包过滤防火墙明显不同,就逻辑拓扑而言,代理服务型防火墙要比包过滤型更安全。
C)防火墙的状态检测技术
状态检测防火墙在网络层由一个检测模块截获数据包,并抽取与应用层状态有关的信息,并以此作为依据决定对该连接是接受还是拒绝。
检测模块维护一个动态的状态信息表,并对后续的数据包进行检查。
一旦发现任何连接的参数有意外的变化,该连接就被中止。
状态检测检查OSI七层模型的所有层,以决定是否过滤,而不仅仅对网络层检测,状态检测型防火墙如图所示。
目前许多包过滤防火墙中都使用多层状态检测。
3、iptables简介
◆iptables/netfilter包过滤防火墙其实由两个组件构成,一个是netfilter、一个是iptables。
◆iptables只是一个管理内核包过滤的根据,它可以加入、插入或删除核心包过滤表格(链)中的规则,这些规则告诉内核中的netfilter组件如何去处理信息包。
也就是说,实际上真正执行这些过滤规则的是netfilter及相关模块(如iptables模块和nat模块)。
◆netfilter是Linux内核中的一个通用架构,它提供了一系列的表(tables),每个表由若干个链(chains)组成,而每个链可以由一条或若干条规则(rule)组成。
可以这样理解,netfilter是表的容器,表是链的容器,而链又是规则的容器。
◆系统缺省的表为“filter”,该表中包含了INPUT、FORWARD、OUTPUT等3个链。
每一个链中有一条或数条规则,每一条规则都是这样定义的“如果数据包头符合这样的条件,就这样处理数据包”。
当一个数据包到达一个链时,系统就会从第一条规则开始检查,看是否符合该规则所定义的条件:
如果满足,系统将根据该条规则所定义的方法处理该数据包;
如果不满足则继续检查下一条规则。
最后,如果该数据包不符合该链中任一条规则,系统就会根据该链预先定义的策略(policy)来处理该数据包。
a)iptables的规则(rules)
规则就是网络管理员预定义的条件,规则一般定义为“如果数据包符合这样的条件,就这样处理这个数据包”。
规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(TCP、UDP和ICMP)和服务类型(如HTTP、FTP和DNS)。
当数据包与规则匹配时,iptables就会根据规则所定义的方法来处理这些数据包,如允许通过(ACCEPT)、拒绝(REJECT)和丢弃(DROP)等。
配置防火墙主要就是添加、修改和删除这些规则。
b)iptables的链(chains)
链(chains)是数据包传播的路径,每一个链其实就是众多规则中的一个检查清单,每一个链中可以有一条或数条规则。
当一个数据包到达一个链时,iptables就会从链中的第一条规则开始检查,看该数据包是否满足规则所定义的条件,如果满足,系统就会根据该条规则所定义的方法处理该数据包,否则iptables将继续检查下一条规则。
如果该数据包不符合链中任一套规则,iptables就会根据该链预先定义的默认策略来处理数据包。
C)iptables的表(tables)
表(tables)提供特定的功能,iptables内置3个表,即filter表、nat表和managle表,分别用于实现包过滤、网络地址转换(nat)和包重构的功能。
◆filter表。
◆nat表
◆managle表
d)iptables传输数据包的过程
iptables对数据包的传输有特定的处理过程。
当一个数据包进入网卡时,它首先进入PREROUTING链,系统根据数据包的目的地址判断是否需要转发出去。
可能有以下3种情况:
v如果数据包的目的地址是本机,则系统将数据包送往INPUT链,如果通过规则检查,则将该数据包发给相应的本地进程处理;
如果没有通过规则检查,系统就会将这个包丢弃。
v如果数据包的目的地址不是本机,也就是说,这个包将被转发,则系统将数据包送往FORWARD链,如果通过规则检查,则该数据包被发给相应的本地进程处理;
如果没有通过规则检查,系统就会将这个数据包丢弃。
v如果数据包是由本地系统进程产生的,则系统将其发送到OUTPUT链,如果通过规则检查,则该数据包被发给相应的本地进程处理;
e)定义规则
下面用IPtables一步一步地来建立包过滤防火墙。
1.对规则的操作
-A加入(append)一个新规则到一个链的最后。
-I在链内某个位置插入(insert)一个新规则,通常是插在最前面,插入位置序号写在Forward后。
-R在链内某个位置替换(replace)一条规则。
-D删除(delete)链内第一条规则。
2.指定源地址、目的地址、协议和网络接口
-s指定源地址,-d指定目的地址。
-p指定协议,例如-ptcp。
-i或-o指定网络接口。
从NAT的原理可以看出,对于Input链来说,只可能有-i,也即只会有进入的包;
同理,对于Output链来说,只可能有-o,也即只会有出去的包。
只有Forward链既可以有-i的网络接口,也可以有-o的网络接口。
Drop表示符合规则就丢弃包,Accept则表示符合规则就接收包。
3.Iptables规则实例
下面的这个例子主要对内部的各种服务器提供保护。
首先给IPtables规则设置一个存储路径:
iptables-restore/etc/sysconfig/iptables。
然后开始考虑规则。
在这里需要注意的是,服务器/客户机交互是双向的,所以不仅仅要设置数据包出去的规则,还要设置数据包返回的规则,下面先建立针对来自Internet数据包的过滤规则。
(1)首先禁止转发任何包,然后再一步步设置允许通过的包。
(2)先允许源为内网的所有端口的TCP包。
(3)再允许目的为内部网(192.168.5.0/24)的FTP数据包。
(4)允许目的为内网的来自Internet的非连接请求TCP包。
(5)icmp包通常用于网络测试等,故允许所有的icmp包通过。
但是由于黑客常常采用icmp进行攻击,如“pingofdeath”等,所以采用limit匹配扩展加以限制。
对不管来自哪里的icmp包都进行限制,允许每秒通过一个包,该限制触发的条件是10个包。
因此可以写出下面的规则:
(1)iptables-PFORWARDDROP
(2)iptables-AFORWARD-ptcp-s198.168.5.2-ieth0-jACCEPT
(3)iptables-AFORWARD-ptcp-s0/0--sportftp-data-d198.168.5.0/24-ieth0-jACCEPT
(4)iptables-AFORWARD-ptcp-d198.168.80.0/24!
-syn-ieth0-jACCEPT
(5)iptables-AINPUT-picmp-mlimit--limit1/s--limit-burst10-jACCEPT
执行命令IPtables-L,可以查看已经建立的规则,用命令IPtables-save将规则写入文件。
通过以上步骤,建立了一个相对完整的防火墙,只对外开放了有限的几个端口,同时提供了客户对Internet的无缝访问。
升级会员 