Linux系统安全的DNS服务器配置文档格式.docx
《Linux系统安全的DNS服务器配置文档格式.docx》由会员分享,可在线阅读,更多相关《Linux系统安全的DNS服务器配置文档格式.docx(13页珍藏版)》请在冰豆网上搜索。
5、内网用户可以通过本地的DNS服务解析到公网的FQDN。
[步骤提示]
1、在主机和上安装DHCP服务。
(注:
主机名的修改需要在/etc/sysconfig/network和/etc/hosts中进行)
2、在主机和上安装DNS组件。
CentOS5.6提供的组件如下:
bind-libs-9.3.6-16.P1.el5
bind-9.3.6-16.P1.el5
bind-chroot-9.3.6-16.P1.el5
bind-utils-9.3.6-16.P1.el5
caching-nameserver-9.3.6-16.P1.el5.x86_64.rpm(非必需的,BIND配置例子,如果对BIND比较熟悉,可以不安装该组件。
)
3、开启路由器的路由功能,使用如下命令完成。
echo1>
/proc/sys/net/ipv4/ip_forward
4、为了更好地显示编辑的当前目录信息(提示符信息),可以修改PS1变量的选项,通过修改文件/etc/bashrc,将里面的"
$PS1"
="
\\s-\\v\\\$"
]&
&
PS1="
[\u@\h\W]\\$"
下的大写的W改成小写的w(表示完整显示目录信息)。
重新进入系统即可显示当前完整的编辑目录。
类似于如下图(图2-6)所示:
[root@localhost~]#cd/var/named/chroot/
[root@localhost/var/named/chroot]#
图2-6完整显示当前编辑目录示意图
5、在主机上创建DDNS密钥,通过cat查看并记下生成的密钥。
注:
TSIG(TransactionSignature,事务签名)使用加密验证DNS信息。
TSIG是以加密算
法的方式,认证DNS服务器之间的数据传输。
首先必须在主要区域所在服务器上生成加密证书,之后将此证书传递给辅助区域所在服务器,经过配置后由辅助区域所在服务器以加密
方式送往主要区域所在服务器的区域传输请求。
同时提供加密的DDNSTSIG功能确认DNS
之信息是由某特定DNS服务器提供,并且大多数应用于DNS之间区域传输,确保辅助区域
从主要区域复制得到的数据不会由其他假的DNS服务器提供或被篡改截取。
使用命令dnssec-keygen可以产生加密密钥(该命令的详细内容可参见其帮助文档)。
女口
图2-7所示。
[root@dns~]#cd/var/named/chroot/
[root@dns/var/named/chroot]#dnssec-keygen-aHMAC-MD5-b128-nUSER
xxxdns
Kxxxdns.+157+33084
图2-7为DDNS创建密钥示意图
6、在主机上创建TSIG密钥,用于主机区域DNS传送,通过cat查看并记下生成的密钥。
如图2-8所示。
[root@dns/var/named/chroot]#dnssec-keygen-aHMAC-MD5-b128-nHOSTrndc-key
Krndc-key.+157+60882
图2-8为主机客户端创建密钥示意图
7、在上使用/usr/share/doc/dhcp-3.0.5/dhcpd.conf.sample覆盖
/etc/dhcp/dhcpd.conf,并修改其内容。
如图2-9所示。
ddns-update-styleinterim;
ignoreclient-updates;
optiondomain-name"
xxx.net"
;
keyxxxdns{
algorithmhmac-md5;
secretO4gltWAab+aWoBjm9C7Fqw==;
zonexxx.net.{
primary192.168.10.4;
keyxxxdns;
}
zone10.168.192.in-addr.arpa.{
zone20.168.192.in-addr.arpa.{
shared-networkxxx{
subnet192.168.10.0netmask255.255.255.0{
optionrouters192.168.10.254;
optionsubnet-mask255.255.255.0;
optiondomain-name-servers192.168.10.4,192.168.20.5;
optiontime-offset-18000;
rangedynamic-bootp192.168.10.20192.168.10.100;
rangedynamic-bootp192.168.10.120192.168.10.250;
default-lease-time21600;
max-lease-time43200;
subnet192.168.20.0netmask255.255.255.0{
optionrouters192.168.20.254;
optiondomain-name-servers192.168.20.5,192.168.10.4;
rangedynamic-bootp192.168.20.20192.168.20.250;
default-lease-time21600;
max-lease-time43200;
图2-9dhcpd配置文件设置示意图
8、在上配置BIND全局配置文件。
(1)复制全局配置文件模板,使用命令:
#cp-p/var/namedchroot/etc/named.caching-nameserver.confnamed.conf
(2)修改named.conf文件,内容如图2-10所示。
/var/named/chroot/etc/
/var/named/chroot/var/named/
options{
listen-onport53{any;
};
listen-on-v6port53{:
:
1;
directory"
/var/named"
dump-file"
/var/named/data/cache_dump.db"
statistics-file"
/var/named/data/named_stats.txt"
memstatistics-file"
/var/named/data/named_mem_stats.txt"
query-sourceport53;
query-source-v6port53;
allow-query{any;
#202.103.24.68isISP'
sDNSServer.
forwarders{202.103.24.68;
forwardfirst;
};
keyxxxtransfer{
secret4iWdKDIHv5l08l5Wp9LMLA==;
server192.168.20.5{
keys{xxxtransfer;
keyxxxdns{
logging{
channeldefault_debug{
file"
data/named.run"
severitydynamic;
viewxxx_LAN_resolver{
match-clients{192.168.10.0/16;
match-destinations{any;
recursionyes;
include"
/etc/named」an.zones"
viewxxx_WAN_resolver{
match-clients{any;
/etc/namedwan.zones"
图2-10named.conf文件配置示意图
9、在上配置BIND主配置文件
(1)复制主配置文件模板。
cp—/var/named/chroot/etc/named.rfc1912.zonesnamed_lan.zonescp—/var/named/chroot/etc/named.rfc1912.zonesnamed_wan.zones
(2)修改添加named_lan.zones文件,内容如图2-11所示。
zone"
IN{
typemaster;
xxx.net.lan.zero"
allow-update{keyxxxdns;
allow-transfer{keyxxxtransfer;
10.168.192.in-addr.arpa"
10.168.192.local"
20.168.192.in-addr.arpa"
20.168.192.local"
allow-transfer{keyxxxtransfer;
图2-11主配置文件示意图
(1)
(3)修改添加named_wan.zones文件,内容如图2-12所示。
xxx.net.wan.zero"
allow-update{none;
图2-12主配置文件示意图
(2)
10、在上配置BIND区域文件。
(1)复制正向解析及反向解析文件模板,命令如下所示。
cp—/var/named/chroot/var/named/named.zeroxxx.net.lan.zerocp—/var/named/chroot/var/named/named.zeroxxx.net.wan.zerocp—/var/named/chroot/var/named/named.local10.168.192.local
cp—/var/named/chroot/var/named/named.local20.168.192.local
(2)修改文件.lan.zero,如图2-13所示。
图2-13正向区域文件配置
(1)
(3)
修改文件.wan.zero,如图2-14所示。
图2-14正向区域文件配置
(2)
(4)修改文件10.168.192.local,如图2-15所示。
$TTL
86400
@
IN
SOA
dns.xxx.net.root.xxx.net.(
1997022700;
Serial28800;
Refresh
14400;
Retry
3600000;
Expire
86400);
Minimum
NS
dns.xxx.net.
4
PTR
图2-15反向区域文件配置
(1)
(5)修改文件20.168.192.local,如图2-16所示。
$TTL86400
图2-16反向区域文件配置
(2)
11、在上修改/var/named/chroot/var/named系统权限。
命令如下:
chown-Rnamed:
named/var/named/chroot/var/named/
12、在上启动DHCPDNS服务。
13、在上修改/etc/sysconfig/dhcrelay文件,内容如下。
INTERFACES=eth0
DHCPSERVERS=92.168.10.4”
14、在上配置BIND全局配置文件。
(1)复制全局配置文件模板。
cp—/var/named/chroot/etc/named.caching-nameserver.confnamed.conf
2)修改named.conf文件,如图2-17所示。
allow-query{any;
图2-17全局配置文件示意图
server192.168.10.4{
};
recursionyes;
图2-17全局配置文件示意图(续)
15、在上配置BIND主配置文件。
(1)复制主配置文件模板,命令如下:
cp—/var/named/chroot/etc/named.rfc1912.zonesnamed_lan.zones
(2)修改named」an.zones文件,内容如图2-18所示。
typeslave;
masters{192.168.10.4;
file"
slaves/xxx.net.lan.zero"
slaves/10.168.192.local"
slaves/20.168.192.local"
图2-18dns1的主配置文件示意图
16、修改上named的权限。
/var/named/chroot/var/named/
17、在上启动DHCP中继代理、DNS服务,命令如下:
servicedhcrelaystart
servicenamedstart
18、测试
为了实现路由器的功能,可用一台主机(设置双网卡,Linux和Windows均可以)充当
路由器。
(1)DHCP测试
图2-19是DHCP中继代理测试效果图。
C;
\riWI>
0TS\«
yrlvM:
2Xvad.
H廿印・左*.■•电*■・i«
PrLnwrpbnaSufF£
x...・・■
HodsTyifW鼻i«
IPRoiitingEnuAblsrl・
IhF1H£
Pl-OMyjdiMihLed.-.___._
DMUliList..■・・■■
T\tlbrrn«
tnrinpl^r本地连扶*
Cunritictlunm«
cIficIMSSufflx©
eacrlptioft*•»
■■七*■■B
Fh忖址話Ad.dM-S-6^i«
«
»
DhcpEnabled.■■■■■■ftutncenfieniirflitianEn^nhledIPAddref^.
Subaiu^HuLuh»
«
■-■«
>
I^nFnultGntewiy.«
..9DHCPSe-fuer-.
DHS£
erwei*±
r・.・<
.・」・〜
rzTfiffl-frJ/lGTGJkl..
Obtnine^・
LHdiEffEMpir^E4
d\Po冲打审方门上乳几口“k;
GtXinig^"
€rle3pt>
M注Idtx^rir
Vi盹^!
£
申.
Ko卽4昭&
pt
1pt.net
AcccHMPCHfiCft4AU<
C0>
se-9C-2?
-73-2Z-0fl
Yes
Vcs
14ii.lt6H.2H.・IM
aSE.aE6.3SE»
B
1¥
2・・£
B・28^54
ii9£
.l«
B.Mi.5
152.168.18,4
2H11uP11:
?
M:
St
261123017=2U^fc
图2-19DHCP中继代理为客户端分配
IP地址
(2)DNS测试
使用nslookup命令DNS查询。
如图2-20所示。
M江IdhiczrvViTtial野.
图2-20DNS查询
(3)DDNS测试
可在客户端使用nslookup的交互模式中使用ls命令查询区域中的所有记录。
(4)辅助DNS测试。