Chinaunix

标题: named优化及安全设定,参阅bind.com [打印本页]

作者: 3645636 时间: 2008-12-21 22:52
标题: named优化及安全设定,参阅bind.com
#isc bind named.conf
acl "xjip" { 192.168.4.0/24; 192.168.7.0/24; 218.0.0.0/8; 222.0.0.0/8; 222.0.0.0/8;  };
options {
acl "hacker" { 0.0.0.0/7; 2.0.0.0/8; 5.0.0.0/8; 7.0.0.0/8; 23.0.0.0/8; 27.0.0.0/8; 31.0.0.0/8; 36.0.0.0/7; 39.0.0.0/8; 41.0.0.0/8; 42.0.0.0/8; 223.0.0.0/8; 240.0.0.0/4; };
version named ;
listen-on { 218.84.9.1; };          //在当前接口上运行named，默认端口为53
listen-on-v6 { none; };                //禁用ipv6支持
zone-statistics yes;
statistics-file "/var/named/named.stats";
auth-nxdomain yes;                //验证nx域名
max-cache-size 32M;                //最大的缓存大小为32MB
tcp-clients 256;       //最大的客户端为256个
recursive-clients 4000;          //服务器同时为用户执行的递归查询的最大数量为4000
interface-interval 0;    //启动named时才检查监听的网络接口
cleaning-interval 480;  //每隔480分钟将统计日志写入文件
lame-ttl 1800;                      //设定缓存有问题服务器指示的秒数为30分钟
max-ncache-ttl 166000;    //为降低网络流量和提升服务器存储否定回答的性能
max-cache-ttl 86400;    //设定了服务器储存普通(肯定)答案的最大时间
directory "/etc/namedb";
pid-file "named.pid";
allow-query { "lan"; };  //已定义的ACL
blackhole { hacker; };    //设定一个地址列表，服务器将不会接收来自这个列表的查询请求
allow-transfer { xjip; };          //允许递归解析的IP
recursion no;                      //开启递归
};

view "internal-in" in {
match-clients { xjip; };
recursion yes;
additional-from-auth yes;
additional-from-cache yes;

view "external" in {
match-clients { any; };
recursion no;
additional-from-auth no;
additional-from-cache no;

作者: llzqq 时间: 2008-12-22 09:28
max-ncache-ttl 166000; //为降低网络流量和提升服务器存储否定回答的性能
max-cache-ttl 86400; //设定了服务器储存普通(肯定)答案的最大时间

这些设定将导致修改域名记录后生效缓慢。

作者: yiweiyiwei 时间: 2009-03-20 10:41
recursion no; //开启递归

设为no是开启递归吗？是我理解错误还是作者笔误？

作者: rhlei 时间: 2009-03-25 20:23
标题: 回复 #4 yiweiyiwei 的帖子
作者笔误了。

作者: yuhongchun 时间: 2009-03-26 08:37
提示: 作者被禁止或删除内容自动屏蔽

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)