1、bind安全配置
2、视图
3、bind视图搭建
1、Bind中的安全配置
Bind支持ACL(访问控制列表)功能:主要实现把一个或多个地址归并为一个集合,并通过一个统一的名称调用
格式:acl acl_name {
ip;
ip;
net/prelen;
};
acl mynet {
192.168/43.0/16;
}
Bind中有四个内置的ACL:
none: 没有一个主机
any: 任意主机
local: 本机
localnet: 本机的IP同掩码运算后得到的网络地址
注意:只能先定义,后使用;因此,其一般定义在配置文件中options的前面
访问控制的指令:在【named.rfc1912. zone文件是对区域内起作用的,在name.conf配置文件是对全局其作用的】
allow-query {}: 允许查询的主机;白名单【只有在acl slavers中定义的主机才能查询】
allow-transfer {}:允许区域传送的主机;白名单
allow-recursion {}: 允许递归的主机
allow-update {}: 允许更新区域数据库中的内容
2、Bind视图
Bind视图的引入:服务商为了更好的提供服务(以网络服务商举例),当用户A通过中国移动网络访问DNS服务器时,判断用户来源IP,来给用户提供最近的区域网络中的DNS服务器(也可能时缓存服务器),提供更好的服务;
如果通过中国移动网络去访问中国电信网络中www.bao.com服务器,网络访问是非常慢的;
3、Bind View视图搭建
View视图格式:
view VIEW_NAME {
match-clients { };
}
一个bind服务器可定义多个view,每个view中可定义一个或多个zone
每个view用一来匹配一组客户端
多个view内可能需要对同一个区域进行解析,但使用不同的区域解析库文件
注意:
一旦启用了view,所有的zone都只能定义在view中
仅有必要在匹配到允许递归请求的客户所在view中定义根区域
客户端请求到达时,是自上而下检查每个view所服务的客户端列表
搭建:
网络
配置文件【name.conf】:[root@localhost ~]# vim /etc/named.conf #删除根文件区域
定义ACL
mynet:定义的是允许迭代查询
配置【named.rfc1912.com】:[root@localhost ~]# vim /etc/named.rfc1912.zones
测试:通过:[root@localhost ~]# dig -t A www.node3.com @192.168.43.236 #【通过192.168.43.236可访问成功】
通过:192.168.43.102:解析:[root@localhost ~]# dig -t A www.node3.com @192.168.43.102