DNS子域授權，acl以及日志系統

1、子域授權；

正向的子域授權：#cd /var/named

隻需編輯區域解析檔案#vim magedu.com.

在裡面添加記錄

   dep1        IN     NS      dns.dep1

   dns.dep1     IN    A      192.168.1.17

并修改上面的序列号加一

還要編輯主伺服器的區域解析檔案，添加記錄

              IN     NS     ns2

 ns2          IN     A       172.16.100.9

在子域伺服器上編輯#vim/var/named/dep1.magedu.com. zone

$TTL 600

@      IN   SOA     dns.dep1.magedu.com.    admin.dep1.magedu.com. (

                    2013081201

                    2H

                    10M

                    7D

                    6H )

      IN   NS      dns

      IN   MX   10  mail                           10表示優先級

dns    IN   A       192.168.1.17

mail   IN   A        192.168.1.18

www    IN   A        192.168.1.19

修改屬組為named，權限為640

#vim /etc/named.rfc1912.zones子域的區域配置檔案

zone “dep1.magedu.com” IN {

       type master;

       file “dep1.magedu.com.zone”;

};

  #named-checkconf

   #named-checkzone “dep1.magedu.com” /var/named/dep1.magedu.com.zone

   #rndc reload

*子域不能解析父域，

要想子域能夠解析父域，就要

      ①可以把子域的DNS指向父域，

      ②在子域上面做轉發，父域接收子域的轉發請求

2、 DNS的轉發

在/etc/named.conf裡面需要注釋掉的選項：

      //listen-on port 53 { 127.0.0.1; };

      //listen-on-v6 port 53 { ::1; };

      //allow-query     { localhost; };

      //dnssec-enable yes;

       //dnssec-validation yes;

       //dnssec-lookaside auto;

       //managed-keys-directory "/var/named/dynamic";

      //include "/etc/named.root.key";

      forward only

      forwarders { IP; };    定義轉發就能夠實作解析了

隻轉發google.com.hk，不轉發其他站點的

（1）完成轉發需要注釋掉的選項：

       //listen-on port 53 { 127.0.0.1; };

       //listen-on-v6 port 53 { ::1; };

       //allow-query     { localhost; };

       //dnssec-enable yes;

       //include "/etc/named.root.key";

（2）定義#vim /etc/named.rfc1912.zones

zone “google.com.hk” IN {

      type forward;

      forwarders { 172.16.0.1; };

};              就定義好了隻轉發google.com.hk，不轉發其他站點的

3、acl和view；

bind通路控制清單：

   acl string { address_match_element; ... };

在/etc/named.conf裡面定義，寫在options上邊,例如：

acl allowxfer {

     172.16.100.1;

     172.16.100.9;

};                         定義可以區域傳送的ip

acl queryclients {

};                          定義允許查詢的主機。

定義好了在zone裡面定義allow-query { queryclients }就完成了

VIEW

view "WAN" {

match-clients { 172.16.0.0/16; };

zone "magedu.com" IN {

type master;

file "internal"

}；

view VIEW_NAME {

match-clients { any; }；

file "external";

*注意在配置的時候一定要将所有的區域都包含在view中，包括跟的區域。

4、日志系統的使用；

file: /etc/named.conf

bind:

categroy: 記錄哪個功能産生的日志資訊，一共内置有15種category；

channel: 日志資訊記錄到何處，一般有兩種形式，一種為file，另一種為syslog；同時，還需要指定日志級别；

   一個category産生的日志可以發往多個channel；而一個channel隻能為一個category記錄日志；

channel CHANNEL_NAME {

file /path/to/somefile|syslog facility;

severity LEVEL;

category CATEGORY { CHEANNEL; };

例如logging {

channel querylog {

               file "var/log/bindquery.log" versions 10 size 10M;  表示生成的檔案大小為10M，超過後會儲存檔案。直到儲存3個檔案，當又生成新檔案時，會删除掉最先儲存的檔案。

               severity dynamic;

               print-time yes

               print-category yes;

               print-severity yes;

          category queries { querylog;}

#touch var/log/bindquery.log

#chown named：named var/log/bindquery.log

本文轉自 宋鵬超 51CTO部落格，原文連結：http://blog.51cto.com/qidian510/1274651，如需轉載請自行聯系原作者