自己对BIND9配置模版很详细的注释，给大家分享

shellyxz

示宽度不够，好像格式乱掉了，我把打包的配置文件附上吧。 named.tar.gz (4.51 KB, 下载次数: 275)

2011-03-29 23:04 上传

点击文件名下载附件
named.conf

1. //named.conf 注释说明 by shellyxz@163.com
   
2. // 此文件对bind9的默认配置文件的说明
   
3. //options 语句指定全局选项，对于某些特定区域服务器，某些选项以后可能会被覆盖。bind9的选项超过100个.....
   
4. options
   
5. {
   
6.         // Those options should be used carefully because they disable port
   
7.         // randomization
   
8.         // query-source    port 53;       
   
9.         // query-source-v6 port 53;
   
10.        
    
11.         // Put files that named is allowed to write in the data/ directory:
    
12.         directory "/var/named"; //让named程序cd到指定的目录。任何输出文件也写入这个目录中
    
13.         dump-file                 "data/cache_dump.db";//数据库路径，rndc dumpdb命令用到
    
14.         statistics-file         "data/named_stats.txt";//服务器统计信息文件的路径，rndc stats使用
    
15.         memstatistics-file         "data/named_mem_stats.txt";//每次访问的使用的内存信息
    
16. 
    
17. };
    
18. //日志处理方式配置，bind9有很强大的日志处理能力，可以满足不同用户的要求，具体要参考相关资料
    
19. logging
    
20. {
    
21. /*      If you want to enable debugging, eg. using the 'rndc trace' command,
    
22. *      named will try to write the 'named.run' file in the $directory (/var/named).
    
23. *      By default, SELinux policy does not allow named to modify the /var/named directory,
    
24. *      so put the default debug log file in data/ :
    
25. */
    
26.         channel default_debug {  //通道，消息能去的地方：syslog、文件或者/dev/null,这儿是bind中预先
    
27.                                  //定义的default_debug通道，日志记录到named.run文件中，严重性为dynamic
    
28.                 file "data/named.run";//文件通道
    
29.                 severity dynamic;//严重性，也就是syslog中的级别
    
30.                 print-category   yes;//不同的print选项增加或者减少消息前缀
    
31.                 print-severity   yes;//增加严重性前缀
    
32.         };       
    
33. };
    
34. //
    
35. //
    
36. //view语句用于创建分离式DNS(split DNS),view将一个用于控制哪些客户能看到哪个view的
    
37. //访问列表，用于view中所有区的一些选项，最后还有区本身打包一起。语法如下：
    
38. // view view-name {
    
39. //         match-clients { address_match_list };
    
40. //         view_optionl;.....
    
41. //         zone_statement;....
    
42. //    };
    
43. view "localhost_resolver"  //配置仅缓存服务器的配置方法。
    
44. {
    
45. /* This view sets up named to be a localhost resolver ( caching only nameserver ).
    
46. * If all you want is a caching-only nameserver, then you need only define this view:
    
47. */
    
48.         match-clients                 { localhost; };
    
49. #######################################################################################################
    
50.         //说明：match-clients 后面所给的是address_match_list，也就是访问控制列表（说明在这可以引用acl)
    
51.         //有4个表是预先定义的：
    
52.         //any  #所有主机
    
53.         //localnets  #本地上所有主机
    
54.         //localhost  #机器本身
    
55.         //none       #没有任何主机
    
56.         //总结：!!!在不同的view中，这是个很关键的位置，控制了不同的机器的查询(当然还有其他选项配合使用!!
    
57. ########################################################################################################
    
58.         match-destinations        { localhost; };
    
59.         recursion yes;      // 运行递归查询
    
60.         # all views must contain the root hints zone:
    
61.         include "/etc/named.root.hints";
    
62. //“hint”是一个列出根域(".")服务器的DNS记录的集合，可以使用以下方法生成
    
63. //dig @f.root-servers.net . ns > named.root.hints
    
64. //dig . ns > named.root.hints
    
65. //前者直接从根得到结果，后者是来自于本地服务器的缓存,所以结果可能不正确，尽管概率很小
    
66. 
    
67.         /* these are zones that contain definitions for all the localhost
    
68.          * names and addresses, as recommended in RFC1912 - these names should
    
69.          * ONLY be served to localhost clients:
    
70.          */
    
71.         include "/etc/named.rfc1912.zones";
    
72. };
    
73. view "internal" //内部view
    
74. {
    
75. /* This view will contain zones you want to serve only to "internal" clients
    
76.    that connect via your directly attached LAN interfaces - "localnets" .
    
77. */
    
78.         match-clients                { localnets; };
    
79.         //由于是内部view，所以是默认是localnets，也可以自己定义哪些主机可以访问，格式如下：
    
80.         //match-clients     { 192.168.0.0/16; 206.168.198.192/28; };
    
81.         match-destinations        { localnets; };
    
82.         recursion yes;
    
83.         // all views must contain the root hints zone:
    
84.         include "/etc/named.root.hints";
    
85. 
    
86.         // include "named.rfc1912.zones";
    
87.         // you should not serve your rfc1912 names to non-localhost clients.
    
88. 
    
89.         // These are your "authoritative" internal zones, and would probably
    
90.         // also be included in the "localhost_resolver" view above :
    
91. 
    
92.         zone "my.internal.zone" {
    
93.                 type master;//区的类型，有：master(主)、slave(从)、stub(存根)、delegation-only(仅授权)
    
94.                             //master:区的主服务器，必须在声明master区时提供一条file语句，文件是DNS资源记录的集合
    
95.                             //slvae:区的从服务器，正常情况下从服务器保留区数据库的一个完整副本
    
96.                             //stub：也是从服务器，但是和slave的区别是，只传送NS记录。
    
97.                 file "my.internal.zone.db";//dns数据文件
    
98. #############################################################################################################
    
99. //当然这还有很多选项可以选择，选项的含义都很简单，从语义上可以看
    
100. //allow-query { address_mathc_list }; [any]   
     
101. //allow-transfer { address_match_list }; [any]
     
102. //allow-update { address_match_list }; [none]
     
103. //如果一个区用于动态更新，就会出现上面这个选项，列表说明可以发生更新的主机，动态更新仅适用于master区。动态更
     
104. //新的概念另看其他资料。大体上是针对动态ip做的处理，bind让DHCP守护进程通知BIND它所做的地址分配情况,因而可随时
     
105. //更新DNS数据库的内容，具体情况查阅相关资料
     
106. ##############################################################################################################
     
107.         };
     
108.         zone "my.slave.internal.zone" { //区从服务器
     
109.                 type slave;
     
110.                 file "slaves/my.slave.internal.zone.db";
     
111.                 masters { /* put master nameserver IPs here */ 127.0.0.1; } ;
     
112.                 //masters语句列出了一台或则多台机器的ip地址，可以从这些ip地址得到区数据库。
     
113.                 // put slave zones in the slaves/ directory so named can update them
     
114.         };       
     
115.         zone "my.ddns.internal.zone" { //动态更新区
     
116.                 type master;           
     
117.                                        
     
118.                 allow-update { key ddns_key; }; //上面有说明
     
119.                 file "slaves/my.ddns.internal.zone.db";
     
120.                 // put dynamically updateable zones in the slaves/ directory so named can update them
     
121.         };                       
     
122. };
     
123. //key语句定义了用于某个特定服务器身份验证的有名字的加密密钥。
     
124. key ddns_key //ddns_key这是个key-id，key_id必须在首次使用之前在named.conf文件中定义
     
125. {
     
126.         algorithm hmac-md5; //加密算法，TSIG有多种加密算法，但是bind只实现了hmac-md5一种
     
127.         secret "use /usr/sbin/dns-keygen to generate TSIG keys";
     
128.         //用dns-keygen产生的TSIG（transaction signature）事物签名。TSGI只用于服务器之间的消息和响应上，
     
129.         //而不用在服务器和解析器之间。事物签名验证双方的身份，证实数据没有被篡改过。
     
130.         
     
131. };
     
132. ##############################################################################################
     
133. //DNS安全的策略有访问控制列表、TSIG，还有DNSSEC，它是对DNS的扩展，使用公钥加密，对区数据的来源
     
134. //进行验证，并验证完整性。DNSSEC依赖于一条信任链：根服务器提供顶级域的有效信息，顶级域提供二级
     
135. //域的有效信息，以此类推。DNSSEC的配置说明如下：
     
136. //trusted-keys语句用于实现RFC2535中规定的DNSSEC安全机制。该语句的每一项都是一个5元组，标识出与
     
137. //该域的域名服务器进行安全通信所需的域名、标志、协议、算法和密钥。
     
138. // trusted-keys{
     
139. //       domain flags protol algorithm key;
     
140. //       domain flags protol algorithm key;
     
141. //             ....
     
142. //              ｝
     
143. ##############################################################################################
     
144. view    "external"
     
145. {
     
146. /* This view will contain zones you want to serve only to "external" clients
     
147. * that have addresses that are not on your directly attached LAN interface subnets:
     
148. */
     
149.         match-clients                { any; };
     
150.         //这是外部view，所以允许所有主机查询
     
151.         match-destinations        { any; };
     
152. 
     
153.         recursion no;         
     
154.         //对来自于外部的查询，禁止递归，一定程度上减轻服务器负担，提高安全
     
155.         // you'd probably want to deny recursion to external clients, so you don't
     
156.         // end up providing free DNS service to all takers
     
157. 
     
158.         allow-query-cache { none; };//控制了查找缓存数据和根服务器线索文件的主机
     
159.         // Disable lookups for any cached data and root hints
     
160. 
     
161.         //每个view都必须包含线索文件,怎么得到线索文件上面有说明
     
162.         include "/etc/named.root.hints";
     
163. 
     
164.         // These are your "authoritative" external zones, and would probably
     
165.         // contain entries for just your web and mail servers:
     
166.         // 对外的权威区域
     
167.         zone "my.external.zone" {
     
168.                 type master;
     
169.                 file "my.external.zone.db";
     
170.         };
     
171. };
     
172. #################################################################################################
     
173. # 以上就是named.conf原始配置文件的全部内容，当然要满足特定环境的需要还有很多东西需要改变或者添加                                                                                          
     
174. # 下面做些总结：                                                                                
     
175. # 1.DNS服务器有各种工作方式，缓存域名、转发、从域名、主域名、分离域名等方式，还可以配合起来使用;   
     
176. # 2.split DNS的实现原理：通过view语句match-clients、match-destination等选项实现；                  
     
177. # 3.每个view中必须包含hints文件，hints文件可以通过 dig @root-server . ns > file 的方式实现;     
     
178. # 4.注意区数据文件里边的各种RR，记得在更新区数据文件后，一定提高SOA记录里serial number值;      
     
179. #################################################################################################

复制代码

aiwsuoai

很不错。值得分享！

linux_biao

请问那个115到121那段有什么作用吗？我看不太懂。动态更新是指？

wyasr

很不错。值得分享！

woxizishen

有點亂有點淺.樓主如果你真心想給大象分享詳儘配置。應該舉出實例。那些配置參數網上一搜大把。
比如:
1.DDNS在網上流傳的有多種說法
  一種:動態解析域名、
  一種:只是動態解析內部電腦名稱代替wins服務器的功能而已。