Bind中的安全配置
Bind支持ACL(访问控制列表)功能:主要实现把一个或多个地址归并为一个集合,并通过一个统一的名称调用
格式:acl acl_name {
ip;
ip;
net/prelen;
};
acl mynet {
192.168/43.0/16;
}
Bind中有四个内置的ACL:
- none: 没有一个主机
- any: 任意主机
- local: 本机
- localnet: 本机的IP同掩码运算后得到的网络地址
注意:只能先定义,后使用;因此,其一般定义在配置文件中options的前面
访问控制的指令:在【named.rfc1912. zone文件是对区域内起作用的,在name.conf配置文件是对全局其作用的】
- allow-query {}: 允许查询的主机;白名单【只有在acl slavers中定义的主机才能查询】
- allow-transfer {}:允许区域传送的主机;白名单
- allow-recursion {}: 允许递归的主机
- allow-update {}: 允许更新区域数据库中的内容
Bind视图
Bind视图的引入:服务商为了更好的提供服务(以网络服务商举例),当用户A通过中国移动网络访问DNS服务器时,判断用户来源IP,来给用户提供最近的区域网络中的DNS服务器(也可能时缓存服务器),提供更好的服务;
如果通过中国移动网络去访问中国电信网络中www.bao.com服务器,网络访问是非常慢的;
Bind View视图搭建
View视图格式:
view VIEW_NAME {
match-clients { };
}
- 一个bind服务器可定义多个view,每个view中可定义一个或多个zone
- 每个view用一来匹配一组客户端
- 多个view内可能需要对同一个区域进行解析,但使用不同的区域解析库文件
注意:
- 一旦启用了view,所有的zone都只能定义在view中
- 仅有必要在匹配到允许递归请求的客户所在view中定义根区域
- 客户端请求到达时,是自上而下检查每个view所服务的客户端列表
搭建:
网络
配置文件【name.conf】:[root@localhost ~]# vim /etc/named.conf #删除根文件区域
定义ACL
配置【named.rfc1912.com】:[root@localhost ~]# vim /etc/named.rfc1912.zones
测试:通过:[root@localhost ~]# dig -t A www.node3.com @192.168.43.236 #【通过192.168.43.236可访问成功】
通过:192.168.43.102:解析:[root@localhost ~]# dig -t A www.node3.com @192.168.43.102
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)