1、bind安全配置
2、視圖
3、bind視圖搭建
1、Bind中的安全配置
Bind支援ACL(通路控制清單)功能:主要實作把一個或多個位址歸并為一個集合,并通過一個統一的名稱調用
格式:acl acl_name {
ip;
ip;
net/prelen;
};
acl mynet {
192.168/43.0/16;
}
Bind中有四個内置的ACL:
none: 沒有一個主機
any: 任意主機
local: 本機
localnet: 本機的IP同掩碼運算後得到的網絡位址
注意:隻能先定義,後使用;是以,其一般定義在配置檔案中options的前面
通路控制的指令:在【named.rfc1912. zone檔案是對區域内起作用的,在name.conf配置檔案是對全局其作用的】
allow-query {}: 允許查詢的主機;白名單【隻有在acl slavers中定義的主機才能查詢】
allow-transfer {}:允許區域傳送的主機;白名單
allow-recursion {}: 允許遞歸的主機
allow-update {}: 允許更新區域資料庫中的内容
2、Bind視圖
Bind視圖的引入:服務商為了更好的提供服務(以網絡服務商舉例),當使用者A通過中國移動網絡通路DNS伺服器時,判斷使用者來源IP,來給使用者提供最近的區域網絡中的DNS伺服器(也可能時緩存伺服器),提供更好的服務;
如果通過中國移動網絡去通路中國電信網絡中www.bao.com伺服器,網絡通路是非常慢的;
3、Bind View視圖搭建
View視圖格式:
view VIEW_NAME {
match-clients { };
}
一個bind伺服器可定義多個view,每個view中可定義一個或多個zone
每個view用一來比對一組用戶端
多個view内可能需要對同一個區域進行解析,但使用不同的區域解析庫檔案
注意:
一旦啟用了view,所有的zone都隻能定義在view中
僅有必要在比對到允許遞歸請求的客戶所在view中定義根區域
用戶端請求到達時,是自上而下檢查每個view所服務的用戶端清單
搭建:
網絡
配置檔案【name.conf】:[root@localhost ~]# vim /etc/named.conf #删除根檔案區域
定義ACL
mynet:定義的是允許疊代查詢
配置【named.rfc1912.com】:[root@localhost ~]# vim /etc/named.rfc1912.zones
測試:通過:[root@localhost ~]# dig -t A www.node3.com @192.168.43.236 #【通過192.168.43.236可通路成功】
通過:192.168.43.102:解析:[root@localhost ~]# dig -t A www.node3.com @192.168.43.102