如何在 Ubuntu 16.04 服务器上配置内网 DNS 服务

DNS

1. 简介

  本文使用 BIND9,用尽量少的步骤,搭建出一个可用的内网 DNS 服务。另外要说明的一点是,本文不仅适用于 Ubuntu 16.04,也使用其后的 Ubuntu 系统(截止到目前位置,最新的 Ubuntu server 版本是 18.04,之后的版本无法保证)。

2. 配置极简内网 DNS 服务

2.1 安装 BIND9

  先更新 APT,之后再安装 BIND9 相关的软件包:

$ sudo apt update
$ sudo apt install bind9 bind9utils bind9-doc

2.2 配置 BIND9 的 IPv4 模式

  这步是要将 BIND9 设置为只支持 IPv4 地址,如果需要用到 IPv6 地址的话,可以跳过这步。   我们需要修改 BIND9 的 systemd unit file:

$ sudo systemctl edit --full bind9

  当然我们也可以直接用文件编辑器修改文件:

$ sudo vim /etc/systemd/system/multi-user.target.wants/bind9.service

  文件内容如下,在 ExecStart 这行的最后加上 -4 就可以了。

...
[Service]
...
ExecStart=/usr/sbin/named -f $OPTIONS -4
...

  修改配置后,需要重启 BIND9,因为 systemd 的 unit file 也变了,所以需要重新载入:

$ sudo systemctl daemon-reload
$ sudo systemctl restart bind9

2.3 修改配置文件 named.conf.options

  该文件(/etc/bind/named.conf.options)需要修改三处:

  • acl 部分:acl 是控制哪些客户端可以连接到这个 DNS 上的,支持子网掩码方式,例子中我把 10.19.250.0/24 网段中的所有 IP 都设为了可访问。
  • recursion 字段:设置成 yes,表示允许递归 DNS 查询。
  • allow-recursion 字段:允许递归查询的客户端范围,这里设置成了之前在 acl 中声明的 trusted。
  • listen-on 字段:表示 DNS 服务监听在哪个地址上,填写本地 IP 即可。
  • allow-transfer 字段:设置成 none 表示不允许其他 DNS 服务器从本 DNS 服务器中查询。
  • forwarders 字段:原因是我们的内网 DNS 服务只提供了很有限的几条 DNS 记录,如果不做点什么的话,APT 源的地址都解析不了。BIND9 提供 DNS 查询的转发机制,当本地 DNS 查询不到,将查询转发到 forwarders 上,并把查询结果缓存到本地 DNS 上,这样问题就解决了。本文使用的是国内公网 DNS:114.114.114.114,大家可以根据自己的需求进行修改。
$ cat /etc/bind/named.conf.options
acl "trusted" {
        10.19.250.0/24;
};
...
options {
        recursion yes;
        allow-recursion { trusted; };
        listen-on { 10.19.250.56; };
        allow-transfer { none; };
        ...
        forwarders {
                114.114.114.114;
        };
        ...
}
...

2.4 修改配置文件 named.conf.local

  假设搭建的内网 DNS 要解析的域名为 example.com,那么 /etc/bind/named.conf.local 内容应改为:

$ cat /etc/bind/named.conf.local

zone "example.com" {
        type master;
        file "/etc/bind/zones/db.example.com";
};

2.5 修改 zone 文件

  zone 文件在 2.4 里已经出现过了,file "/etc/bind/zones/db.example.com";,需要在对应的目录下建立该文件。

$ cat /etc/bind/zones/db.example.com 
$TTL    604800
@   IN  SOA testing.example.com. admin.example.com. (
                  2     ; Serial
             604800     ; Refresh
              86400     ; Retry
            2419200     ; Expire
             604800 )   ; Negative Cache TTL
;

; A records
@       IN      NS      epc.example.com.
example.com.    IN      NS      epc.example.com.
epc.example.com.        IN    A    10.19.250.201
testing.example.com.    IN    A    10.19.250.201

  需要注意的几点是:

  • 不要漏掉域名后面的点,例如:testing.example.com.
  • 我们需要的 A 类型的记录,但是 NS 类型的记录也不要漏掉,不然会报错的。
named-checkconf[39493]: zone example.com/IN: has no NS records
named-checkconf[39493]: zone example.com/IN: not loaded due to errors.
named-checkconf[39493]: _default/example.com/IN: bad zone
  • SOA 类型的记录目前我还不能确定是不是必须,待验证过后再做更新,在这之前,大家还是也把这部分加上吧。

2.6 检查 DNS 配置

  bind9 自带了检查配置文件语法正确性的工具,这可以降低排查错误的难度,所以在进一步测试 DNS 功能之前,我们先来好好利用这些工具检查一下前几步配置是否正确吧。

  先来检查 named.conf.* 文件,如果运行该命令没有任何输出的话,就说明配置一切 OK,如果有的话,根据提示修改,如果遇到问题不知道怎么解决,欢迎留言。

$ sudo named-checkconf

  接下来用命令 named-checkzone 检查 zone 文件,命令格式如下:sudo named-checkzone <domain-name> <zone-file>,第一个参数 <domain-name> 是域名,参考 2.4 中配置的域名,第二参数 <zone-file> 是 zone 文件,参考 2.5 中配置的 zone 文件。

$ sudo named-checkzone example.com /etc/bind/zones/db.example.com
zone example.com/IN: loaded serial 2
OK

  如果输出结果如上,恭喜,配置正确,如果有问题的话,还是要根据提示具体问题具体分析。

2.7 验证

  经过这些配置,终于可以验证一下 DNS 是否能正常工作了,先重启 bind9。

$ sudo systemctl restart bind9.service

  接下来要用 nslookup 检查刚刚配置的域名能否正常解析,如果系统里没有这个命令,输入一下命令安装:

sudo apt install -y dnsutils

  输入以下命令,可以看到 testing.example.com 正确的解析成了 10.19.250.201。恭喜,你成功的配置了 DNS!

$ nslookup testing.example.com
Server:     10.19.250.56
Address:    10.19.250.56#53

Name:   testing.example.com
Address: 10.19.250.201

3. 参考资料

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏编程之旅

在Mac上使用ssh-key免密码登录服务器

从很早之前开始,在搭建测试服务器的时候,就不停的谷歌怎么免密登录服务器,每次配置好免密登录后,到搭建新的服务器时,又忘记了具体的命令,所以决定把这个方法记下来,...

1.3K4
来自专栏北京马哥教育

5分钟教你学会Django系统错误监控

django.utils.log.AdminEmailHandler为django处理系统日志发送邮件的handler

1833
来自专栏PHP实战技术

你的api上锁了吗?

职责单一化,各司其职,后端只负责Api接口编写提供给各种不同类型的客户端去调用,但是客户端和服务器端调用是要有权限限制的,不能任何一个客户端都可以随便调用我们的...

1002
来自专栏吴伟祥

配置Tomcat使用https协议(配置SSL协议) (http自动跳转到https)

1172
来自专栏北京马哥教育

批量管理自动化运维100台小规模服务器

---- 目录 1.脚本背景介绍 2.脚本技术需求分析 2.1 SSH免登陆认证 2.2 Expect实现key分发 2.2 PSSH家族命...

1.9K15
来自专栏北京马哥教育

5分钟教你学会Django系统错误监控

话不多说,直入正题。 先上图,看一下监控的效果。 如下是监控我们网站系统错误的邮件。包含了请求的url地址,以及详细的异常信息。 一、监控所有的request...

3686
来自专栏FreeBuf

新手教程 | 如何使用Burpsuite抓取手机APP的HTTPS数据

* 本文原创作者:smartdone,本文属FreeBuf原创奖励计划,未经许可禁止转载 1.所需条件 · 手机已经获取root权限 · 手机已经成功安装xpo...

6157
来自专栏Samego开发资源

shell脚本加密 | shc

2903
来自专栏向治洪

在Windows下搭建Gitlab服务器

一.GitLab简介 GitLab 是一个用于仓库管理系统的开源项目。使用Git作为代码管理工具,并在此基础上搭建起来的web服务。 可通过Web界面进行访问...

1.5K10
来自专栏记事本

2018上海大学生安全竞赛web3解析

先看后缀名绕过吧。看着有点熟悉,总感觉在哪见过,后来才想起是pwnhub的公开赛里见过,考察的是end()函数。给个例子输出就清楚了。

59945

扫码关注云+社区

领取腾讯云代金券