dns配置高级篇（我这里抛砖引玉了）

作者cpss  http://cpss.zz.ha.cn

  欢迎转载，但必须注明出处和作者名称。

 
[b:6249f30587]
Dns配置高级篇[/b:6249f30587]

 

这里假设你已经独立或参考我的[url=http://cpss.zz.ha.cn/bind/bind.htm]《架设dns攻略》[/url]将dns服务器成功架设起来，并且dns已经能够正常运行了。

 

现在我们dns开始工作了，是不是我们的工作已经OK了呢？不，不，不，named.conf文件还有很多东西需要我们配置呢。

DNS的配置文件named.conf是有非常多的可选项的，这里只是介绍一点常用的配置。如果你觉得还想继续研究下去，那也不需要在网上到处找资料的，直接用“man named.conf”就可以得到一个非常非常详细的说明。

这里首先感谢我的同事yiming先生对服务器安全性的不懈研究，否则我们也不会经常安装、配置最新版本的DNS服务器了。而且，这个named.conf是他配置的。好了，言归正传，Follow me，我们继续。

 

 

1．Options 我们通过options可以定制一个性能更优、安全性更高的dns服务器。

[color=red:6249f30587]Version “I am cpss”;    [/color:6249f30587]      IT资讯之家 www.it55.com

别人想探测我们dns版本，然后根据该版本的漏洞来攻击我们。休想！配置了这条命令后，别人再探测的版本后就是“I am cpss”了，呵呵。

[color=red:6249f30587]Allow-transfer {192.168.1.1;192.168.1.4;};[/color:6249f30587]

如果没有配置这一条命令，任何人都可以通过nslookup工具来得到你域里面的zone文件，也就是说他得到了你的主机列表，然后再分析，再……。当然，slave dns需要你允许它能够传送，否则它就得不到master dns上的zone文件，也就没办法工作了。这里假设192.168.1.1和192.168.1.4是该dns服务器的slave服务器，在master服务器上配置了如上命令。

[color=red:6249f30587]Listen-on{192.168.1.2;};[/color:6249f30587]

增加上这条命令，启动dns时就不会监听所有网络接口的53端口了，只监听指定网络接口的53端口。

[color=red:6249f30587]Blackhole {hatenets;};[/color:6249f30587]

我们不想让某些网段使用我们的dns服务器，就用这条命令吧。不过还需要配置一个acl来定义匹配的网段，如下所示：

[color=red:6249f30587]acl hatenets {

1.0.0.0/8;

www.it55.com在线教程

2.0.0.0/8;

};[/color:6249f30587]
这两个网段的地址是无法使用我们的dns了。

 

 

2．logging 通过该选项，我们可以生成我们想要的日志。通过日志，我们可以更好地维护dns服务器。

[color=red:6249f30587]Logging {

        Channel syslog_info {

        File  “/var/log/bindall.log” versions 20 size 2m;

        Print-category yes;

        Print-time yes;

        Severity notice;

                      };

        category         default {

               syslog_info;

                                    };

    &nbs it55.com

（编辑：IT资讯之家 www.it55.com）

共7页: 上一页 1 [2] [3] [4] [5] [6] [7] 下一页