Linux 下DNS故障排除攻略.doc

网站首页 | 业界社区 | 技术社区 | 极客社区 | 游戏社区 | 科技博客 | IT大百科 | 同事录注册 登录 | 搜索 | 帮助 TechWeb-技术社区 硬件选配 经验谈:Linux 下DNS故障排除攻略12下一页返回列表 上一主题 | 下一主题 眼镜兄 TW版主帖子696精华1积分914最后登录2008-1-281# 打印 字体大小: tT 发表于 2007-6-5 14:07 | 只看该作者 转贴 经验谈:Linux 下DNS故障排除攻略 【IT168 专稿】DNS是网络服务的基础，要长期不断地保持其正常运作，每一个DNS服务器都应该定期检测。域名系统的配置和管理是一项比较复杂和繁琐的系统管理任务，它对整个网络的运行影响极大。为了保证DNS服务器的正常运行，不仅要使用可靠的服务器软件版本，而且要对DNS服务器进行合理配置，同时还要跟踪服务器软件和操作系统的各种漏洞。一、保持DNS服务器配置正确/ ?2 w5 C: OCg- U) g% C3 ?) o9 o9 F; B Linux上的域名服务由named守护进程控制，该进程从主文件/etc/named.conf中获取信息，包括一组将主机名称映射为IP地址的文件。Linux下DNS主要配置文件如表-1所示，named配置文件族如表-2所示，named.conf文件的配置8 bj% t+ N6 x* 1 A$ g+ X+ c) Z F如表-3所示。+ k3 e7 t1 W. C4 % R表-1DNS主要配置文件! R, e8 K5 T7 S; 1 P& I表-2named配置文件族* a2 b, q6 H9 H( F6 a3 F. X% Q! w$ M( r X# z; k/ g表-3named.conf文件的配置9 w3 o% , ?2 $ C6 r! L8 z2 ?- ?. b9 Y# _2 S/ J) A7 % 6 9 Q; V n. a3 p. c0 X$ 3 w; b0 B0 . V$ m1 w7 a 可以看到DNS配置文件是一个复杂的系统。伴随DNS建立出现的许多问题都会引起相同的结果。但大多数问题是由于配置文件中的语法错误而导致的。收藏 分享 评分 回复 引用 订阅 TOP 眼镜兄 TW版主帖子696精华1积分914最后登录2008-1-282# 发表于 2007-6-5 14:07 | 只看该作者 二、了解DNS服务器Bind 9目录结构 了解bind 9 目录结构如图1 。2 B! U$ q5 h9 3 N; R: S 图1 说明：如果BIND 9运行的chroot（牢监）模式下,所有配置在目录/var/named/chroot/内，如果BIND 9运行的非chroot（正常）模式下,所有配置在目录/var/named 内。回复 引用 TOP 眼镜兄 TW版主帖子696精华1积分914最后登录2008-1-283# 发表于 2007-6-5 14:08 | 只看该作者 三、掌握Linux下DNS 客户端配置方法 BIND软件是一个客户端/服务器系统，客户端程序称为转换程序（resolver），它负责产生域名信息查询，将这类信息发送到服务器。服务器的 named守护进程负责回答转换程序的查询。作为客户端，首先要在用户的计算机上配置客户端程序（转换程序），即向DNS服务器获得域名解析/反解析服 务。域名服务器客户端包括几个文件。域名服务器客户端包括三个文件。 1./etc/hosts! N( k& 7 N+ w3 N /etc/hosts是主机的一个列表文件 包含（本地网络中）已知主机的一个列表。如果系统的 IP 不是动态生成，就可以使用它。对于简单的主机名解析（点分表示法），在请求 DNS 或 NIS 网络域名服务器之前，/etc/host.conf 通常会告诉解析程序先查看此文件。 2./etc/host.conf 文件/etc/host.conf是用来控制本地转化程序设置的文件，该文件告诉转换程序实用哪些服务已经依照什么顺序进行查询。该文件的子段可以实用空格和制表符合分隔。/etc/host.conf文件配置选项见表4.9 R2 C/ z2 |! Q: V 一个典型的/etc/host.conf文件：- I% Z5 Z5 S q order bind hosts multi on; BD. h/ 5 2 L& Y2 d nospoof on$ 3 q, , |9 H7 4 | trim / . A: F+ F8 y/ Z# T; j alert on6 X/ z) U3 6 f& d9 x7 g0 G7 r 上面文件中该解析程序首先使用DNS然后使用/etc/hosts文件查找主机名。如果由于某种原因不能使用域名服务器了，我们还可以使用主机文件中列 出的那些主机名。该机器上允许使用多个IP地址，主机通过重新解析主机名字（从IP地址逆向查找返回的主机名字）来检查IP欺骗。- ?) T _$ t i5 / e) W! % , S J: F& 3 K9 MZ, x1 z2 sR% * s 3./etc/resolv.conf* p0 * O 8 T& R) /etc/resolv.conf是转化程序配置文件，当配置转换程序使用BIND域名服务查询主机时，我们必须告诉转换程序使用哪一个域名服务器。用来 完成这项任务的工具就是/etc/resolv.conf 文件。/etc/resolv.conf 文件配置选项见表5。# f; s+ l$ SU6 M( D9 M; k9 N 一个典型的/etc/resolv.conf文件：5 A$ - O/ w1 lx, F# B0 G# t) 7 A3 x; i0 3 s, domain nameserver serach 回复 引用 TOP 眼镜兄 TW版主帖子696精华1积分914最后登录2008-1-284# 发表于 2007-6-5 14:08 | 只看该作者 四、熟悉DNS资源纪录格式6 F; V, i, E I7 |% $ s6 v DNS域名数据库由资源记录（RR，resource records）组成和区文件指令组成。每个资源纪录都是一个类别的组成。每个DNS域名数据库由SOA RR开始，同时包括NS RR。对于正向解析文件包括A RR、MX RR、CNAME RR等。反向解析文件包括PTR RR 。RR文件基本格式：name ttl IN type rdata. o0 b; I/ j7 E6 Z0 z2 |各个字段由空格和制表符隔开。各个字段含义如下：name字段：& H5 , B _) A; k. r. ：根域（Root Domain），以圆点“.”表示。根域只有一个，它没有上级域。在互联网上，根域一般不需要表示出来。 ：默认域，文件使用$ORIGIN domain来说明默认域。; E+ T7 X+ x O7 U; ) : m标准域名：以“.”结束的域名，或是一个相对域名。; T- Y$ C/ M, vb8 & M空 ：纪录最后一个带有名字的域对象。ttl: ttl全称Time To Live。以秒为单位记录该资源记录中谢谢存放在高速缓存这的时间长度。通常此处设定值为空，表示采用SOA中最小ttl值。IN: 将该纪录标识为一个Internet DNS资源纪录。1 d5 Z& c2 _) 7 Ntype字段：A记录：A (Address) 记录是用来指定主机名（或域名）对应的IP地址记录。用户可以将该域名下的网站服务器指向到自己的web server上。同时也可以设置您域名的二级域名。MX(Mail eXchanger)记录：邮件交换记录，用户可以将该域名下的邮件服务器指向到自己的邮件服务器上，然后即可自行操控所有的邮箱设置。您只需在线填写您服务器的IP地址，即可将您域名下的邮件全部转到您自己设定相应的邮件服务器上。% V( C! * K! b b% q. rCNAME（Canonical NAME）记录：别名记录。这种记录允许您将多个名字映射到同一台计算机。通常用于同时提供Web和邮件服务的计算机。例如，有一台计算机名为 “”（A记录）。 它同时提供Web和邮件服务，为了便于用户访问服务。可以为该计算机设置两个别名（CNAME）：WWW和MAIL。 这两个别名的全称就是和“”。实际上他们都指向“”。% L5 $ c6 f: _# s3 w2 b+ sSOA（Start Of Authority）记录 ： SOA纪录一个授权区的开始，SOA纪录后的所有信息是) j, ( j8 I6 0 r. 9 P# H控制这个域的。每个配置文件都必须包含一个SOA纪录，以标示服务器所管理的起始地方。& _% B: M6 n+ m4 V/ y& b7 N配置文件的第一个纪录必须是SOA纪录。/ u$ M0 X6 l. i6 I* D! JPTR（domian name PoinTeR）记录：用于地址到主机名的映射。HINFO（Host INFOrmation）记录：该记录由一组描述主机的信息稳步文件组成。通常包括硬件名称和操作系统名称。rdata字段：A :存放IP地址。3 / F2 v4 Z# o% I4 % B9 K! ) JCNAME： 设定主机别名。- b. l8 Y- u% % i& p/ GHINFO： 通常分为两行，分别对应。Hardware ：“计算机硬件名称”。Os-type：操作系统名。MX ：通常分为两行，分别对应。Preference-value：优先级别数字（数字越小优先级别越高）。Mail eXchanger：邮件服务器名称。NS ：域名服务器名称。PTR ：主机真实名称。Hostname ：存放本纪录的主机名称。 K+ E E, K4 ?S- M$ h9 BContact：管理域的管理员邮件地址，因为 符号在文件中表示默认域，所以邮件地址以.代替，如改为： 。Serial : 本区信息文件的版本号，文件每次修改后要将其数值增加1。 q! h4 ! , d, $ DRefresh：辅助域名服务器多长时间更新一次数据库记录,以秒为单位。Retry：辅助域名服务器更新数据库失败后，多长时间再试,以秒为单位。! g5 a7 C* i7 - t! Q: bExpire：如果辅助域名服务器无法从主服务器上更新数据，原有数据何时失效,以秒为单位。+ p$ 6 i/ g6 x6 e% n5 t+ 6 qMinimun：如果资源记录中没有设定ttl，以此处设定的时间为准。回复 引用 TOP 眼镜兄 TW版主帖子696精华1积分914最后登录2008-1-285# 发表于 2007-6-5 14:10 | 只看该作者 五、学会使用测试DNS服务器方法 1.使用host命令1 g/ S F9 _) % d( H$ i7 C #host #正向查询主机地址# has address / p. f. H1 G4 I0 n& S. g4 q #host #正向查询域名#+ j9 |$ l- e; Z) 92. domain name pointer * J3 u X$ i6 |) 5 C( : k1 2. nslookup nslookup命令用来测试正向、反向的解析是否正常。nslookup可以向服务器直接查询信息，一般情况下均使用交互模式。此时会出现提示符“”，nslookup提供了许多命令，下面列举其中一些常用的详细说明。help命令：显示帮助信息，以及一些简单的命令的作用。 exit 命令：退出nslookup命令。 Rn( I$ X9 l. N8 G( i. % Y( q; rlserver命令：查找指定的域名服务器并将其设置为默认的域名服务器。 server命令：和lserver相似，解析另一台域名服务器并将其设置为默认的域名服务器，不同在于本命令使用当前默认的域名服务器来解析。 set命令：修改工作参数，它也是nslookup中最常用的命令。1 a! z: | L- c0 P, t$ H6 lset命令包含下面几种命令。 set class：设置查询的类型，一般情况下为Internet。 + ) V1 ?* j6 - |: d2 _9 b& w set debug：设置调试模式。 set nodebug：设置为非调试模式。( j2 t4 m8 - G k6 V set d2：设置详细调试模式。 set nod2：设置为非详细调试模式。 set nodefname：设置为defname，会在所有没有加“o”的名字后，自动加上默认的域名。 set domain：设置默认的域名。 set port：DNS的默认端口为53，用本命令可以设置其他端口，一般用于调试。 set q(querytype)：改变查询的信息的类型，默认的类型为A记录。) C2 y/ O7 b) C$ n7 set recurse：设置查询类型为递归，它是默认的方式。 set norecurse：设置查询类型为迭代。 set retry：设置重试的次数，默认值为4。5 k5 1 T- : P9 o set root：设置默认的根服务器。 set timeout：设置等待应答的限制时间（单位为秒），如果超时还可以重试，就会将超时值加倍，重新查询。默认的超时值为5秒。$ j* q4 M0 r+ T L8 6 I( U% s 这里笔者介绍了Bind 9 DNS服务器的一些基层知识，掌握这些基础知识对于DNS故障排除是非常重要的，下篇文章中笔者会介绍一些重要的Dns故障排除工具。回复 引用 TOP 眼镜兄 TW版主帖子696精华1积分914最后登录2008-1-286# 发表于 2007-6-5 14:11 | 只看该作者 六、掌握DNS故障排除工具使用方法 第一次配置DNS对于Linux新手是一个挑战。DNS是一个很复杂的系统，一不小心就有可能使系统不能正常运行。伴随DNS建立出现的许多问题都会引起相同的结果，但大多数问题是由于配置文件中的语法错误而导致的。DNS是一组文件构成的，所以需要不同的工具检查对应的文件。* l4 Z$ i- h* 8 W D5 _7 b2 zI, 9 Z. e4 h E1 1、dlint, , F Y- U! V& z- a, A5 o! , l l$ U# U+ ( ? z/ $ : q 除了系统安装产生的工具（nslookup, dig, host, named-checkzone, named-checkconf, rndc）外，这里介绍一个开放源代码的工具：dlint。一个配置不完善的DNS服务器存在很大的安全漏洞。dlint可以帮助分析DNS配置文件中的问题，它是一个专门检查DNS配置文件的开放源代码的软件，要运行它系统须安装Perl语言和dig命令。: q |) % t# d: l# rrpm qa|grep perl % N j9 2 Z8 o& A1 X) Ldig hostname anyPerl 5.8.0) Y2 |: M0 L: y% O& / l; DiG 9.2.1 9 f( 5 d$ ? 5 o1 V; global options:printcmd, ?% 8 0 J& B+ # _2 l软件下载和安装：: ; 0 q3 ) E& |5 i#wget /pub/dlint1.4.0.tar.gz gunzip dlint1.4.0.tar.gz- _A# O) C8 Q) A1 - z, p8 r#tar vxf dlint1.4.0.tar；#cd dlint1.4.0 u- s6 V3 a# R0 r9 l#make install6 z% ; J: 6 q2 q- s系统会将dlint安装在/usr/bin/目录下。dlint首先检查配置文件的拼写错误。P; L$ j7 c2 V2 Y 有A（Address）记录的主机名称必须有PTR（也称pointer，中文名称PTR反向解析，负责定义逆向的IP地址到主机名的映射）记录。如果有 A记录的主机名称没有PTR记录，那么配置文件不能通过。dlint可以在用户配置文件中为A记录查找丢失的PTR记录。( - P6 v) c Xdlint会记录区带的每一条PTR记录是否有对应的A记录存在。- ; D& Y; M0 N1 F, q3 Jdlint会以递归的方式检查子区带，查找它们的配置问题。dlint软件可以分析任何DNS区带。dlint软件包的主要脚本是dlint，使用方法是：#/usr/bin/dlint domain回复 引用 TOP 眼镜兄 TW版主帖子696精华1积分914最后登录2008-1-287# 发表于 2007-6-5 14:12 | 只看该作者 2、DNS服务器的工作状态检查* B. j5 U7 p( L 1使用dnstop# j2 b; 9 V) |. |6 Y9 t 在维护DNS服务器时，网管员希望知道哪些用户在使用DNS服务器，同时也希望能对DNS状态做一个统计。这里我们可以使用dnstop查询DNS服务器的工作状态。软件下载和安装：#wegt /dnstop/dnstop-20040309-1.i386.rpm& T, Q$ r+ S1 o+ U6 Q; j8 B3 I#rpm ivh dnstop-20040309-1.i386.rpm运行dnstop软件，如果想查看通过eth0的DNS网络流量可以使用命令；1 & I) M8 S4 h& N+ b( e1 _#dnstop -s eth0( d9 P h0 L+ R) |. C0 new queries, 6 total queries Mon Jul6 09:54:35 2004 2 S6 w& v9 Y) K, O- ISources count % - - - 17 4 66.7 9 L7 n* S% L: . Y7 r/ O5 j43 1 16.7 2 1 16.7在运行dnstop的过程中，可以敲入如下命令： s, d, t, 1, 2, 3, ctrl+r, ctrl+x，以交互方式来显示不同的信息。 1：（TLD）记录查询的顶级域名。0 T5 X4 w) m7 Q5 r/ f 2：（SLD）记录查询的二级域名。 3：（SLD）记录查询的三级域名。0 K3 q: Z3 J% _5 E1 k, f! ( a s：（Source）记录发送DNS查询的客户端的IP地址表。) ! t6 D, h# & s, w6 . F d：（Destinations）记录DNS查询的目的服务器的IP地址表。% O9 K: k% D* E( V* Bs2 O t：（Query Type）记录查询的详细类型。 ctrl+r：重新记录。 ctrl+x：退出。更详细信息可以查看man dnstop。. O. q T3 8 I- ay/ T7 : N: k 2nslookup nslookup即域名服务器查找（Name Server Lookup），用来查找DNS服务器上的DNS记录。这个命令可以指定查询的类型，可以查到DNS记录的生存时间，还可以指定使用哪个DNS服务器进行 解析。运行nslookup需要安装bind-untils，nslookup有两种运行模式：交互式和非交互式运行模式。交互式运行模式允许用户通过域 名服务器检索各种主机，并可以打印出主机名称列表。非交互式运行模式用来打印所请求的某个主机或域的特定的信息。下面是一个发生错误的实例：#nslookup5 n; q) / S& L( R d0 K9 6 * Cant find server name for address : Timed out * Default servers are not available + g) 3 T1 l8 f7 hDefault Server: UnKnown ) Y0 J6 L, C% q( Address: 发生错误的原因：一般的错误都是因为数据库文件或配置文件笔误所致，比如，少个“.”或者文件内容不正确等；另外一个主要的原因是执行 nslookup 的系统所使用的 server（如 ）不能查询其反解（92.）。如果出现错误，该命令将不能启动。+ I! v5 V5 B1 y8 0 解决方法：增加服务器IP 所在的 reverse zone （如92.），确定其中有 server 本身的反解功能。* X& H, E3 j( C) J% T K; t9 ) N如果dns没有错误nslookup会输出相关信息：# nslookup Server: 8+ r) l/ V+ W$ Z5 - BAddress: 8#53Non-authoritative answer: canonical name = .9 A. z4 t* t, l8 s, 3 L& v% P) GName: Address: 06 q2 U! LQ5 k: _9 DName: 4 q5 6 0 J: Address: 29 |( e% ?/ v8 P: C+ b! a包括DNS服务器ip地址和端口。回复 引用 TOP 眼镜兄 TW版主帖子696精华1积分914最后登录2008-1-288# 发表于 2007-6-5 14:15 | 只看该作者 3dig1 e$ 9 q& q$ g8 - 4 F& m2 r- k0 I dig工具向DNS服务器发送named查询。dig可以查询单一或多个域名服务器。dig的功能比 nslookup 强大很多，而且使用简单，不像nslookup需要设置set选项。下面是 dig 的一些比较常用的命令：dig server .#dig 最基本的用法 Q7 U: 3 w; B% / Cdig server . AXFR#用 dig 查看 zone 数据传输dig server . IXFR=N#用 dig 查看 zone 数据的增量传输! t: z! D9 I% Zdig -x 28 server#用 dig 查看反向解析* |# d& P1 Z8 QBdig . +nssearch#查找一个域的授权DNS服务器$ z+ T! v& I* C0 i7 kdig +trace#从根服务器开始追踪一个域名的解析过程 t( g* n4 f; o8 * SP& s 4named-checkzone6 O3 k1 J; q; b8 q2 r: W. R% Q/ Y2 e- m0 d; t* x2 M named-checkzone通过检查句法的正确性来检查区带（zone）文件的正确性。named-checkzone如果没有检查到错误，会返回一个简单的“OK”字符。下面是一个例子：named-checkzone q /var/named/localhost.zonedns_zone_load: couldnot find NS and/or SOA records or bad datted quad上面信息说明可能是没有定义SOA记录或A记录设定了一个错误IP地址。查看/var/named/localhost. zone文件后发现一行： h 3 X4 q6 t5 N0 G7 1D IN A 127.0.0.l显然是一个拼写错误，“I”错误拼写为“1”，如果找到错误文件，就可以很快排除故障。# % X/ d4 e0 M& p6 _/ g4 U! _( C- iT4 R H 5named-checkconf% z2 Y* c3 a# I% l h* D8 Z. Z) f named-checkconf通过检查named.conf句法的正确性来检查named文件的正确性。对于配置正确的named.conf文件，named-checkconf不会显示任何信息。下面是一个检查的例子。# named-checkconf /etc/named.conf& : E 4 N$ i( 2 E B7 /etc/named.conf:23: unknown option fi1e上面信息说明在第23行有一个错误语句，原来是把“file”错误拼写为“fi1e”。找到错误原因，用vi修改配置文件，就可以很快排除故障。另外，建议不要使用Red Hat Linux提供的一个图形化的配置工具（它可能带来许多严重的问题，因此从RHEL 4开始就取消了这个工具）redhat-config-bind，Linux网络管理员还是应当使用命令行配置DNS服务器管理工作。Linux命令行和 redhat-config-bind 相比具有许多优点：( m5 I# A; a0 m0 L( N t9 s 命令行更加灵活，使用命令行通常比使用redhat-config-bind时具有更多选项。 命令行运行更快，不必等待Linux处理图形。, G7 g3 I g+ _f N6 j$ Fredhat-config-bind工具不能显示所有错误信息，而命令行提供的错误信息都可以在命令行下看到。: sB, 7 D1 J8 P/ P* u rredhat-config-bind工具是一个单独软件，也是一个出错源。 6.whois5 L/ L p) _. m; , k7 a- k whois命令会去查找并显示指定帐号的用户相关信息，因为它是到network solutions的whois数据库去查找，所以该帐号名称必须在上面注册方能寻获，且名称没有大小写的差别。图2 是whois命令实例输出，由于whois输出的内容比较多我们主要关注最后的界面：5 R( a9 P9 |, o, m2 P7 M图2 whois命令对的解析1 B9 Q! E W. r0 % % ! r3 X8 nY 可以看到whois功能非常强大，除了可以查询DNS服务器的IP地址外还可以查询到其具体物理位置、电话传真。需要说明的是whois对于TLD（记录 查询的顶级域名）的.com 和.net以及 .edu域名查询比较可靠。为了工具精确查询可以使用下面三个whios服务器：$ _$ u. 6 F) . V, 7 / l# whois # whois - T% y; N& w) x O3 # whois 回复 引用 TOP 眼镜兄 TW版主帖子696精华1积分914最后登录2008-1-289# 发表于 2007-6-5 14:15 | 只看该作者 7. traceroute ( W5 i6 V$ h+ w) P6 t8 D traceroute命令用来显示数据包到主机间的路径。traceroute让你追踪网络数据包的路由途径，预设数据包大小是38bytes，用户可另行设置。traceroute 命令实例：* h* f N( p! o/ n8 J* b# traceroute -m 4traceroute: Warning: has multiple addresses; using 0& / t! l4 E9 J6 B; u8 dtraceroute to (0), 8 hops max, 38 byte packets9 ) b- p4 7 C% x! i# R+ h! B9 r1 ()6.591 ms1.966 ms1.144 ms/ i9 A- L6 E; # I* y. d |2* * *3* * *4* * *traceroute通过发送小的数据包到目的设备直到其返回，来测量其需要多长时间。一条路径上的每个设备traceroute要测3次。输出结果中包 括每次测试的时间(ms)和设备的名称（如有的话）及其ip地址。traceroute最早是由van jacobson在1988写出的小程序。当时主要是解决他自己碰到的一些网络的问题。 8.host3 D$ E0 # R* h* u5 l- 8 - U) X) M2 VG, G4 c9 y) z host命令能够用来查询域名，然而它可以得到更多的信息。host -t mx 可以查询出的mx记录，以及处理mail的host的名字。host -l 会返回所有注册在下的域名。host -a 则会显示这个主机的所有域名信息。如果要测试 DNS，可以使用host命令。有以下两种格式： host standard-address host IP-address 7 L2 p) 7 b1 t% N4 * Z如果你从一个标准地址入手： host DNS将显示IP地址： 3 m. S9 E+ , u Whost 7 o5 F* tQ+ K4 g* v/ w+ 4 h 反之如果你从一个IP地址入手，DNS将显示标准地址。 只有Internet主机才有IP地址（仿真终端是没有的）。因此，可以使用host命令检查计算机是否与Internet直接连接。如使用host能测 试出IP地址，说明该计算机是与Internet连接的。 如果指定的地址是未与Internet直接连接的计算机的。将看到： host not found 9.GUI工具 VisualRoute是一个 Liunx集成化、可视的连接分析软件，它集成了PING、TRACETOUTE 、WHOIS等功能。VisualRoute能直观的回答：“我为什么不能访问到那里？”这样的问题，它能把IP数据包所经历路径显示在世界地图上，它还 能分析出网络故障的发生地点，并分析所经历节点采用的WEB SERVER软件，还能报告ICMP和TTL错误。图3是VisualRoute集成的WHOIS工作界面。b4 l4 N0 ?7 P1 i 注意防火墙以及Selinux对DNS服务器的影响 Iptablesl# N# t/ H. b- 9 o- z9 n如果使用Iptables防火墙注意打开53端口：# iptables -A FORWARD -i eth0 -p tcp -dport 53 -j ACCEPT#iptables -A FORWARD -i eth0 -p udp -dport 53 -j ACCEPT回复 引用 TOP 眼镜兄 TW版主帖子696精华1积分914最后登录2008-1-2810# 发表于 2007-6-5 14:16 | 只看该作者 Selinuxl 增强安全性的Linux（SELinux）是美国安全部的一个研发项目，它的目的在于增强开发代码的Linux内核，以提供更强的保护措施，防止一些关于 安全方面的应用程序走弯路，减轻恶意软件带来的灾难。SELinux是一种严格细分程序和文件的访问权限、防止非法访问的OS安全功能。设定了监视并保护 容易受到攻击的功能（服务）的策略。具体而言，主要目标是Web服务器httpd、DNS服务器named，以及dhcpd、nscd、ntpd、 portmap、snmpd、squid、syslogd。SElinux把所有的拒绝信息输出到：/var/log/messages 位置。如果某个服务比如bind不能正常启动，请查询messages文件来确认是否是SELinux造成服务不能运行。安装配置Bind DNS服务器时候请先关闭Selinux 。 方法1：z7 + F2 w* E+ Y* E% x3 w 使用命令行方式，编辑配置文件修改/etc/sysconfig/selinux文件：#SELINUX=enforcing, $ n/ c6 E4 x3 O) jSELINUX=disabled4 ; J/ P8 R. D4 R% b8 c重新启动配置生效。# + u$ Wp9 J; d/ 方法2： 使用图形界面，选择安全工具设置Selinux 关闭如图4.。1 p K$ k# J( h, s8 s7 5 Y% S; A( s) 1 E% I3 V: x8 K* I7 I R7 H, M R7 G0 Z 指定DNS服务器管理端口. _+ G1 b, h; r9 x. m BIND是最著名的DNS服务器之一。由于DNS查询通常由系统自动完成，所以其53端口不方便更改，但可以指定在哪个IP地址进行监听。在配置文件 named.conf中有一个全局配置项目options，包含了监听特定网络的命令。例如，如果想让named仅在54地址上提 供DNS查询，可以使用以下代码： options. .listen-on 54, ;allow-query192.168.0/24; 127.0.0/8; c6 I$ o9 j: n4 M8 . .! J 6 _( P* w( & L! Z K由于DNS服务的特殊性，必须允许本机回路的连接。关注DNS服务器日志信息% Gq1 v4 U( G* n1 对于排除Linux的系统故障来说，日志文件是极其重要的工具。DNS日志可以记录服务器CPU的占用时间、查询的统计信息及配置中存在的问题，经 常分析日志可以了解服务器的负载、性能、安全性，从而及时地采取措施，纠正错误。BIND软件默认情况下把DNS日志写到/var/log /messages文件中。由于这个文件中的日志信息是由syslog生成的，所以并不全是关于BIND的日志信息，要详细分类地记录DNS服务器的运