- 论坛徽章:
- 0
|
本帖最后由 cityowner 于 2012-03-13 17:42 编辑
快速搭建DNS服务器
1、安装系统,期间选择安装语言为英语,分配/boot为100M,swap分区为内存2倍,其他全部分配给/;设置grup密码,选择没有防火墙和禁止SELinux,时区选择Asia/Shanghai,定制软件安装包,选择最小化(平台RHEL_4 i386 U2 4CD版 )
ip:192.168.10.2
netmask:255.255.255.0
gw:192.168.10.1
dns:192.168.10.2
hostname:dns.cityowner.cn
2、安装dns服务器
先检查系统里面都还缺哪几个安装包
[root@dns soft]# rpm -qa |grep bind-
bind-libs-9.2.4-2
bind-utils-9.2.4-2
ypbind-1.17.2-3
[root@dns soft]# rpm -qa |grep caching-nameserver
安装缺少的软件包,其中caching-nameserver-7.3-3.noarch.rpm在第一张光盘bind-libs-9.2.4-2.i386.rpm和bind-utils-9.2.4-2.i386.rpm在第二张光盘,bind-9.2.4-2.i386.rpm和bind-chroot-9.2.4-2.i386.rpm在第四张光盘
[root@dns bind]# ls -l
total 1236
-rw-r--r-- 1 root root 473080 Jan 6 2005 bind-9.2.4-2.i386.rpm
-rw-r--r-- 1 root root 28917 Jan 6 2005 bind-chroot-9.2.4-2.i386.rpm
-rw-r--r-- 1 root root 574259 Jan 6 2005 bind-libs-9.2.4-2.i386.rpm
-rw-r--r-- 1 root root 140005 Jan 6 2005 bind-utils-9.2.4-2.i386.rpm
-rw-r--r-- 1 root root 22749 Jan 6 2005 caching-nameserver-7.3-3.noarch.rpm
[root@dns bind]# rpm -ivh bind-9.2.4-2.i386.rpm
warning: bind-9.2.4-2.i386.rpm: V3 DSA signature: NOKEY, key ID db42a60e
Preparing...
########################################### [100%]
1:bind
########################################### [100%]
[root@dns bind]# rpm -ivh bind-chroot-9.2.4-2.i386.rpm
warning: bind-chroot-9.2.4-2.i386.rpm: V3 DSA signature: NOKEY, key ID db42a60e
Preparing...
########################################### [100%]
1:bind-chroot
########################################### [100%]
[root@dns bind]# rpm -ivh caching-nameserver-7.3-3.noarch.rpm
warning: caching-nameserver-7.3-3.noarch.rpm: V3 DSA signature: NOKEY, key ID db42a60e
Preparing...
########################################### [100%]
1:caching-nameserver
warning: /etc/named.conf saved as /etc/named.conf.rpmorig
########################################### [100%]
3、增加域名解析区域和相关解析记录
[root@dns ~]# vi /etc/named.conf
#在末尾增加一下内容
zone "cityowner.cn" IN {
type master;
file "cityowner.cn.zone";
allow-update { none; };
};
zone "10.168.192.in-addr.arpa" IN {
type master;
file "10.168.192.in-addr.arpa";
allow-update { none; };
};
|
新增cityowner.cn的正向解析文件cityowner.cn.zone,并修改去文件权限
[root@dns ~]# vi /var/named/chroot/var/named/cityowner.cn.zone
$TTL 86400
@ IN SOA ns1.cityowner.cn master.cityowner.cn. (
2008090301 ; serial (d. adams)
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum default_ttl
@ IN NS ns1.cityowner.cn.
ns1 IN A 192.168.10.2
cityowner.cn. IN A 192.168.10.2
dns IN A 192.168.10.2
ldap IN A 192.168.10.3
ad IN A 192.168.10.4
krb IN A 192.168.10.5
mail IN A 192.168.10.6
mail IN MX 10 mail.cityowner.cn.
;End of file |
[root@dns named]# chown named:named cityowner.cn.zone
新增cityowner.cn的反向解析文件10.168.192.in-addr.arpa,并修改它的权限
[root@dns ~]# vi /var/named/chroot/var/named/10.168.192.in-addr.arpa
$TTL 86400
@ IN SOA ns1.cityowner.cn master.cityowner.cn. (
2008090301 ; serial (d. adams)
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum default_ttl
IN NS ns1.cityowner.cn.
2 IN PTR ns1.cityowner.cn.
2 IN PTR cityowner.cn.
2 IN PTR dns.cityowner.cn.
3 IN PTR ldap.cityowner.cn.
4 IN PTR ad.cityowner.cn.
5 IN PTR krb.cityowner.cn.
6 IN PTR mail.cityowner.cn.
; End of File |
[root@dns named]# chown named:named 10.168.192.in-addr.arpa
4、启动dns服务器
[root@dns named]# service named start
Starting named: [ OK ]
5、让dns服务器开机自启动
[root@dns named]# chkconfig named --level 35 on
6、启动项优化
[root@dns named]# ntsysv
保留下面几项就可以
cpuspeed ;监控系统空闲百分比,降低和加快系统时钟频率和电压,闲时将能耗降到最低,忙时最大化系统执行速度
crond ;周期性计划任务
iptables ;防火墙
microcode_ctl ;Intel IA32系列處理器适用,可以編碼以及發送新的微代碼到kernel以更新Intel IA32系列處理器
named ;dns服务器
network ;网络服务
sshd ;安全远程登陆服务器
syslog ;日志记录
xinetd ;超级守护进程
7、测试dns服务器
[root@dns named]# ping cityowner.cn -c 2
PING cityowner.cn (192.168.10.2) 56(84) bytes of data.
64 bytes from 192.168.10.2: icmp_seq=0 ttl=64 time=0.029 ms
64 bytes from 192.168.10.2: icmp_seq=1 ttl=64 time=0.000 ms
--- cityowner.cn ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 10009ms
rtt min/avg/max/mdev = 0.000/0.014/0.029/0.015 ms, pipe 2
[root@dns named]# ping dns.cityowner.cn -c 2
PING dns.cityowner.cn (127.0.0.1) 56(84) bytes of data.
64 bytes from dns.cityowner.cn (127.0.0.1): icmp_seq=0 ttl=64 time=0.789 ms
64 bytes from dns.cityowner.cn (127.0.0.1): icmp_seq=1 ttl=64 time=0.035 ms
--- dns.cityowner.cn ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 0.035/0.412/0.789/0.377 ms, pipe 2
[root@dns named]# nslookup
> dns.cityowner.cn
Server:
192.168.10.2
Address:
192.168.10.2#53
Name:
dns.cityowner.cn
Address: 192.168.10.2
> 192.168.10.2
Server:
192.168.10.2
Address:
192.168.10.2#53
2.10.168.192.in-addr.arpa
name = dns.cityowner.cn.
2.10.168.192.in-addr.arpa
name = cityowner.cn.
2.10.168.192.in-addr.arpa
name = ns1.cityowner.cn.
2.10.168.192.in-addr.arpa
name = ns2.cityowner.cn.
> set type=mx
> mail.cityowner.cn
Server:
192.168.10.2
Address:
192.168.10.2#53
mail.cityowner.cn
mail exchanger = 10 mail.cityowner.cn.
8、安全
#开放本地回环界面
[root@dns ~]# iptables -A INPUT -i lo -j ACCEPT
[root@dns ~]# iptables -A OUTPUT -o lo -j ACCEPT
#开放本机ssh服务供局域网内机器登陆使用
[root@dns ~]# iptables -A INPUT -p tcp -s 192.168.10.0/24 --dport 22 -j ACCEPT
[root@dns ~]# iptables -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -d 192.168.10.0/24 --sport 22 -j ACCEPT
#开放本机和外部dns主机互动查询,第一次是适用的udp数据包
[root@dns ~]# iptables -A OUTPUT -p udp --sport 53 --dport 53 -j ACCEPT
[root@dns ~]# iptables -A INPUT -p udp --sport 53 --dport 53 -j ACCEPT
#开放本机和外部dns主机互动查询,第二次是适用的tcp数据包
[root@dns ~]# iptables -A OUTPUT -p tcp --sport 53 --dport 53 -j ACCEPT
[root@dns ~]# iptables -A INPUT -p tcp --sport 53 --dport 53 -j ACCEPT
#开放本子网用户可以使用本机dns服务,第一次查询适用的是udp数据包
[root@dns ~]# iptables -A INPUT -p udp -s 192.168.10.0/24 --dport 53 -j ACCEPT
[root@dns ~]# iptables -A OUTPUT -p udp -d 192.168.10.0/24 --sport 53 -j ACCEPT
#开放本子网用户可以使用本机dns服务,第二次查询适用的是tcp数据包
[root@dns ~]# iptables -A INPUT -p tcp -s 192.168.10.0/24 --dport 53 -j ACCEPT
[root@dns ~]# iptables -A OUTPUT -p tcp -d 192.168.10.0/24 --sport 53 -j ACCEPT
#设置默认策略为禁止数据包进出
[root@dns ~]# iptables -P INPUT DROP
[root@dns ~]# iptables -P OUTPUT DROP
#讲防火墙配置信息写入配置文件
[root@dns ~]# service iptables save
[root@dns ~]# ls -l /etc/sysconfig/iptables
-rw------- 1 root root 948 Sep 6 04:23 /etc/sysconfig/iptables
9、重启计算机
[root@dns ~]# reboot
[ 本帖最后由 cityowner 于 2008-9-7 12:51 编辑 ] |
|
免费注册
发表于 2008-09-07 12:23
