Securing BIND and DNS [BIND及DNS安全] Part I

易先生

---------------------安装
rpm -ivh /rhel5/Server/bindxxxxxxxxxxx.rpm
rpm -ivh /rhel5/Server/caching-nameserver-9.3.3-7.el5.i386.rpm(不装这个没有模板)
---------------------named.conf(主设定文件)
cd /var/named/chroot/etc
cp -cp named.caching-nameserver.conf named.conf
vi /var/named/chroot/etc/named.conf
找到
listen-on port 53 { 127.0.0.1; };
改为
listen-on port 53 { any; };
# 监听系统的所有端口可写为 { 127.0.0.1; 172.16.185.10; }这里{ any; }意思为所有端口
找到
allow-query    { localhost; };
改为
allow-query    { any; };
# 指明可用以用本DNS进行解析的域这里可以写any, none, localhost, localnets
# localnets指的是本地的所有网络，没搅清和any有什么不同
找到
view localhost_resolver {
    ........................
};
在view localhost_resolver之前加入[注意一定要在之前至于为什么，下回分解]
acl "vmnet1" {
        172.16.185.0/24;
};
# 自定义一个ACL这里指的是172.16.185.x这个网段
# 这个ACL可以用于listent-on allow-query及下面的match-clients match-destinations
view xiaosc.home {
        match-clients           { localhost; vmnet1; };        #查询者的源地址
        match-destinations      { localhost; vmnet1; };    #查询者的目标地址
        recursion yes;                                                   #进行递归查询
        include "/etc/xiaosc.home.zones";                     #引入一个设定文件
};
--------------------------xiaosc.home.zones(设定文件)
vi /var/named/chroot/etc/xiaosc.home.zones
内容
zone "xiaosc.home" IN {              #正解区域
        type master;                        #反这个定为主域
        file "xiaosc.home.zone";         #正解文件
        allow-update { none; };         #是否允许其它机器update，这个用于有主次DNS的情况
};
zone "185.16.172.in-addr.arpa" IN {          #反解区域
        type master;
        file "185.16.172.in-addr.arpa.zone";   #反解文件
        allow-update { none; };
};
-------------------xiaosc.home.zone(正解文件)
cp -cp /var/named/chroot/var/named/localdomain.zone /var/named/chroot/var/named/xiaosc.home.zone
vi /var/named/chroot/var/named/xiaosc.home.zone
$TTL    86400
@               IN SOA  ns.xiaosc.home root.xiaosc.home (
                                        42              ; serial (d. adams)
                                        3H              ; refresh
                                        15M             ; retry
                                        1W              ; expiry
                                        1D )            ; minimum
@               IN NS           ns.xiaosc.home
@               IN MX 10        mail.xiaosc.home
@               IN A            172.16.185.10
mail            IN A            172.16.185.10
pop             IN CNAME        mail
smtp            IN CNAME        mail
www             IN A            172.16.185.20
ftp             IN A            172.16.185.20
*               IN CNAME        172.16.185.20
-----------------------185.16.172.in-addr.arpa.zone(反解文件)
cp -cp /var/named/chroot/var/named/0.0.0.127.local /var/named/chroot/var/named/185.16.172.in-addr.arpa.zone
vi /var/named/chroot/var/named/185.16.172.in-addr.arpa.zone
$TTL    86400
@       IN      SOA     ns.xiaosc.home. root.xiaosc.home.  (
                                      1997022700 ; Serial
                                      28800      ; Refresh
                                      14400      ; Retry
                                      3600000    ; Expire
                                      86400 )    ; Minimum
@       IN NS           ns.xiaosc.home.
10      IN PTR          ns.xiaosc.home.
10      IN PTR          mail.xiaosc.home.
20      IN PTR          www.xiaosc.home.
20      IN PTR          ftp.xiaosc.home.


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/8899/showart_402641.html