DNS高级应用之ACL和View

一、环境准备： 1、准备三台主机，要求如下 (1) DNS服务器双网卡：eth0：192.168.10.203 eth1: 172.16.2.10 （2）测试机1双网卡： eth0: 172.16.2.11； 公司外部地址 （3）测试机2单网卡： eth0：192.168.10.103；公司内部地址

2、确保DNS服务器已经安装完整，并且可以正常使用

3、实验要求： (1)DNS服务器只响应来自测试机2的查询请求，拒绝来自测试机1的查询请求 (2)利用view，分别响应来自两台测试机查询www.mylinux.com主机请求，但分别回复不同IP地址给测试机 二、ACL配置：acl要在配置文件的最上方定义 1、定义acl，编辑/etc/named.conf,修改内容如下

2、应用acl，编辑/etc/named.rfc1912.zones,将acl应用到mylinux.com域中；

3、检查/etc/named.conf和/etc/named.rfc1912.zones语法

4、重新载入主配置文件，查看日志是否载入成功

5、测试acl是否生效： (1)测试机1进行测试：

(2)测试机2进行测试：

6、测试完成,DNS服务器只响应来自测试机1的查询请求，不响应来自测试机2的查询请求 三、View搭建 1、编辑/etc/named.conf, 删除根区域信息

2、定义两个acl，内容如下：

3、编辑/etc/named.rfc1912.zones;修改内容如下： view work { \\定义视图名称为work，用于公司内部网络 match-clients { my_work; }; \\定义view视图匹配哪些地址 allow-recursion { my_work; }; \\定义可以递归查询的主机 zone "." IN { type hint; file "named.ca"; }; \\将根域定义到work视图中 zone "localhost.localdomain" IN { type master; file "named.localhost"; allow-update { none; }; }; zone "localhost" IN { type master; file "named.localhost"; allow-update { none; }; }; zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN { type master; file "named.loopback"; allow-update { none; }; }; zone "1.0.0.127.in-addr.arpa" IN { type master; file "named.loopback"; allow-update { none; }; }; zone "0.in-addr.arpa" IN { type master; file "named.empty"; allow-update { none; }; }; zone "mylinux.com" IN { type master; file "mylinux.com.zone"; \\定义my_work中的区域数据库文件 }; }; view my_internet { \\定义来源自互联网的视图my_internet match-clients { my_internet; };\\定义那些地址应用到my_internet中 allow-recursion { none; }; \\不允许来自互联网用户的递归请求 zone "mylinux.com" IN { type master; file "mylinux.com.zone.internet";\\定义视图my_internet中的区域数据库文件 }; }; 4、编辑区域数据库文件： (1)mylinux.com.zone内容如下：

(2)mylinux.com.zone.internet内容如下

5、测试主配置文件和区域数据库文件语法：

6、重新载入配置文件

7、测试 (1)测试机1测试

(2)测试机2测试结果：

8、测试完成，当测试机1请求查询www.mylinux.com主机时，DNS服务器响应的是172.16.10.100和172.168.10.101地址；当测试机2请求查询www.mylinux.com主机时，DNS服务器响应的是192.168.10.100和192.168.10.101地址