named优化及安全设定,参阅bind.com

3645636

#isc bind named.conf
acl "xjip" { 192.168.4.0/24; 192.168.7.0/24; 218.0.0.0/8; 222.0.0.0/8; 222.0.0.0/8;  };
options {
acl "hacker" { 0.0.0.0/7; 2.0.0.0/8; 5.0.0.0/8; 7.0.0.0/8; 23.0.0.0/8; 27.0.0.0/8; 31.0.0.0/8; 36.0.0.0/7; 39.0.0.0/8; 41.0.0.0/8; 42.0.0.0/8; 223.0.0.0/8; 240.0.0.0/4; };
version named ;
listen-on { 218.84.9.1; };           //在当前接口上运行named，默认端口为53
listen-on-v6 { none; };                  //禁用ipv6支持
zone-statistics yes;
statistics-file "/var/named/named.stats";
auth-nxdomain yes;                 //验证nx域名
max-cache-size 32M;                 //最大的缓存大小为32MB
tcp-clients 256;         //最大的客户端为256个
recursive-clients 4000;            //服务器同时为用户执行的递归查询的最大数量 为4000
interface-interval 0;       //启动named时才检查监听的网络接口
cleaning-interval 480;  //每隔480分钟将统计日志写入文件
lame-ttl 1800;                         //设定缓存有问题服务器指示的秒数为30分钟
max-ncache-ttl 166000;       //为降低网络流量和提升服务器存储否定回答的性能
max-cache-ttl 86400;       //设定了服务器储存普通(肯定)答案的最大时间
directory "/etc/namedb";
pid-file "named.pid";
allow-query { "lan"; };  //已定义的ACL
blackhole { hacker; };     //设定一个地址列表，服务器将不会接收来自这个列表的查询请求
allow-transfer { xjip; };           //允许递归解析的IP
recursion no;                        //开启递归
};


view "internal-in" in {
        match-clients { xjip; };
        recursion yes;
        additional-from-auth yes;
        additional-from-cache yes;

view "external" in {
        match-clients { any; };
        recursion no;
        additional-from-auth no;
        additional-from-cache no;

llzqq

max-ncache-ttl 166000;       //为降低网络流量和提升服务器存储否定回答的性能
max-cache-ttl 86400;       //设定了服务器储存普通(肯定)答案的最大时间

这些设定将导致修改域名记录后生效缓慢。

yiweiyiwei

recursion no;                        //开启递归

设为no是开启递归吗？是我理解错误还是作者笔误？

rhlei

作者笔误了。