http://www.chinaunix.net/jh/16/17788.html dns配置高級篇（我這裏噶j引玉了） http://www.chinaunix.net 作者:cpss 發表於：2003-02-16 19:43:18 作者cpss http://cpss.zz.ha.cn 歡迎轉載，但必須注明出處和作者名稱。 [b:6249f30587] Dns配置高級篇[/b:6249f30587] 這裏假設你已經獨立或參考我的[url=http://cpss.zz.ha.cn/bind/bind.htm]《架設dns攻略》[/url]將dns伺服器成功架設起來，並且dns已經能夠正常運行了。 現在我們dns開始工作了，是不是我們的工作已經OK了呢？不，不，不，named.conf文件還有很多東西需要我們配置呢。 DNS的配置文件named.conf是有非常多的可選項的，這裏只是介紹一點常用的配置。如果你覺得還想繼續研究下去，那也不需要在網上到處找資料的，直接用“man named.conf”就可以得到一個非常非常詳細的說明。 這裏首先感謝我的同事yiming先生對伺服器安全性的不懈研究，否則我們也不會經常安裝、配置最新版本的DNS伺服器了。而且，這個named.conf是他配置的。好了，言歸正傳，Follow me，我們繼續。 1．Options 我們通過options可以定制一個性能更優、安全性更高的dns伺服器。 [color=red:6249f30587]Version “I am cpss”; [/color:6249f30587] 別人想探測我們dns版本，然後根據該版本的漏洞來攻擊我們。休想！配置了這條命令後，別人再探測的版本後就是“I am cpss”了，呵呵。 [color=red:6249f30587]Allow-transfer {192.168.1.1;192.168.1.4;};[/color:6249f30587] 如果沒有配置這一條命令，任何人都可以通過nslookup工具來得到你域裏面的zone文件，也就是說他得到了你的主機列表，然後再分析，再……。當然，slave dns需要你允許它能夠傳送，否則它就得不到master dns上的zone文件，也就沒辦法工作了。這裏假設192.168.1.1和192.168.1.4是該dns伺服器的slave伺服器，在master伺服器上配置了如上命令。 [color=red:6249f30587]Listen-on{192.168.1.2;};[/color:6249f30587] 增加上這條命令，妍佁ns時就不會監聽所有網路介面的53埠了，只監聽指定網路介面的53埠。 [color=red:6249f30587]Blackhole {hatenets;};[/color:6249f30587] 我們不想讓某些網段使用我們的dns伺服器，就用這條命令吧。不過還需要配置一個acl來定義匹配的網段，如下所示： [color=red:6249f30587]acl hatenets { 1.0.0.0/8; 2.0.0.0/8; };[/color:6249f30587] 這兩個網段的地址是無法使用我們的dns了。 2．logging 通過該選項，我們可以生成我們想要的日誌。通過日誌，我們可以更好地維護dns伺服器。 [color=red:6249f30587]Logging { Channel syslog_info { File “/var/log/bindall.log” versions 20 size 2m; Print-category yes; Print-time yes; Severity notice; }; category default { syslog_info; }; };[/color:6249f30587] 上例中我們建立了一個安全級別dnotice的日誌，dns的報錯資訊都會存放在“/var/log/bindall.log”日誌文件了，分析該文件，我們就能輕鬆找出dns工作不正常的原因了。 Logging裏面的安全級別很多，大家可以根據自己需要來制定一個或多個logging。下面是logging的語法： [color=red:6249f30587] logging { [ channel channel_name { ( file path_name [ versions ( number | unlimited ] [ size size_spec ] | syslog ( kern | user | mail | daemon | auth | syslog | lpr | news | uucp | cron | authpriv | ftp | local0 | local1 | local2 | local3 | local4 | local5 | local6 | local7 | null ; [ severity ( critical | error | warning | notice | info | debug [ level ] | dynamic ; ] [ print-category yes_or_no; ] [ print-severity yes_or_no; ] [ print-time yes_or_no; ] }; ] [ category category_name { channel_name; [ channel_name; ... ] }; ] ... };[/color:6249f30587] 3． 這裏是我們named.conf樣本，希望能對你有所幫助。 4．最新版本（2002年11月5日）的named.ca文件。 【發表回復】【查看CU論壇原帖】【關閉】 -------------------------------------------------------------------------------- cpss 回復於：2003-02-16 19:45:07 我們named.conf的樣本 acl hatenets { 1.0.0.0/8; 2.0.0.0/8; }; options { files 10000; # boot file for name server # directory "/var/named"; version "I am cpss"; notify no; datasize 300m; allow-transfer {192.168.1.1; 192.168.1.4; }; blackhole { hatenets; }; interface-interval 0; cleaning-interval 120; listen-on {192.168.1.2; }; statistics-interval 60; logging { channel syslog_query { file "/var/log/bindquery.log" ; severity notice; }; channel syslog_info { file "/var/log/bindall.log" versions 20 size 2m; print-category yes; print-time yes; print-severity yes; severity notice; }; channel syslog_manitenance { file "/var/log/bindmaint.log" versions 10 size 2m; severity notice; }; channel syslog_secu { syslog local6; severity info; }; channel syslog_xfer { file "/var/log/bindxfer.log" versions 20 size 2m; print-category yes; print-time yes; print-severity yes; severity notice; }; channel syslog_os { syslog local3; severity info; }; channel syslog_panic { syslog local4; severity info; }; channel syslog_stat { syslog local5; severity info; }; channel syslog_config { file "/var/log/bind_config.log" versions 20 size 2m; print-category yes; print-time yes; print-severity yes; severity info; }; category "xfer-in" { syslog_xfer; }; category default { syslog_info; }; category security { syslog_secu; }; category os { syslog_os; }; category panic { syslog_panic; }; category statistics { syslog_stat; }; category config { syslog_config; }; category maintenance { syslog_manitenance; }; category lame-servers {null; }; category cname {null; }; }; # # type domain source host/file # zone "." { type hint; file "/var/named/named.ca"; }; zone "0.0.127.IN-ADDR.ARPA" { type master; file "local.rev"; }; -------------------------------------------------------------------------------- 阿驍 回復於：2003-02-16 21:20:51 又學到不少東西！ 謝謝 cpss 兄！ -------------------------------------------------------------------------------- Fun-FreeBSD 回復於：2003-02-17 08:26:33 真不錯 -------------------------------------------------------------------------------- herofengj 回復於：2003-02-17 09:32:04 收益非淺，對了老兄對智慧dns有沒有好的建議，比如做負載平衡。 -------------------------------------------------------------------------------- answer 回復於：2003-02-17 11:34:42 好東西，真不錯。 -------------------------------------------------------------------------------- lookthis 回復於：2003-02-17 15:05:15 good! -------------------------------------------------------------------------------- 孤狼彥 回復於：2003-02-18 13:52:40 好 -------------------------------------------------------------------------------- 騾子先生 回復于：2003-02-18 15:38:13 兄弟，寫得真不錯，我也配過DNS，不過不是最安全的呀！！！看了你的，廁所的門一下子就打開了 -------------------------------------------------------------------------------- beggar 回復於：2003-03-16 13:19:09 我覺的version 設置不妥. 如果別人看到.I am cpss的回應,一下就可以知道bind版本在8.2之上了.因d舊版本的bind沒有 version語句.我覺的把他設置d一個舊的版本號更好. -------------------------------------------------------------------------------- 阿驍 回復於：2003-03-16 17:46:26 哈哈 。。 你這招夠狠！ 乾脆寫個 4.x 的版本。 -------------------------------------------------------------------------------- jackyy 回復於：2003-03-18 16:36:38 ding!! -------------------------------------------------------------------------------- ghr470 回復於：2003-03-18 17:02:21 我的dns沒設置好，這個更看不懂 -------------------------------------------------------------------------------- 孤狼彥 回復於：2003-03-19 22:30:31 老大 我的dns的日誌按照這樣設置了 可是在日誌文件裏是空的什l記錄也沒有 我把named重坐F幾次也沒有一條記錄 上什l原因 named的日誌因該放在什l地方 -------------------------------------------------------------------------------- B2Sun 回復於：2003-05-08 08:23:02 表主題: 如何在Openbsd中邦定MAC地址防止IP佔用上網 -------------------------------------------------------------------------------- 大家好，我想用OPENBSD3.2建立一個防火牆 PF 我想在防火牆中加入地址邦定功能，： MAC和IP地址邦定一起！ 這樣就可以搞定限制了別個不會去冒充上網， 如： IP：192.168.4.1-192.168.4.100 /24這個段可以上網 而 IP： 192.168.4.101-254 /24這個段不可以上網 如果沒有MAC地址和IP邦定的話，那就很難辦了！ 如果不能上網的機器在能上網的機器開機之前妍坁爾隉A它就可以上網了，這也是我們不想的事情！ 如果 192.168.4.101的機器把自己的IP改d192.168.4.1就可以上網了 如果 我們做了MAC地址邦定的話，就 是改了IP地址也沒有用，不能上網。 （但還是可以冒充IP！如果可以限制不能改IP地址就好了！） -------------------------------------------------------------------------------- B2Sun 回復於：2003-05-08 08:23:37 ?? -------------------------------------------------------------------------------- giant 回復於：2003-09-24 10:19:47 真不錯，再頂一次