linux dns server怎么配置，linux服务器配置dns步骤

***：本文主要探讨Linux下DNS服务器的配置及步骤。首先需安装相关的DNS服务软件如BIND等。安装完成后，要对主配置文件进行编辑，包括定义区域（正向和反向）、设置域名服务器的相关参数等。需在区域文件中配置域名与IP地址的映射关系。还需设置权限、启动服务并进行测试，以确保DNS服务器能正确解析域名与IP地址的对应关系。

《Linux服务器DNS配置全攻略》

一、DNS简介

DNS（Domain Name System），即域名系统，是互联网的一项服务，它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访问互联网，在Linux服务器环境下，正确配置DNS服务器对于网络服务的正常运行至关重要。

二、安装DNS服务相关软件（以BIND为例）

1、检查系统更新

- 在大多数Linux发行版中，首先要确保系统是最新的，以CentOS为例，可以使用以下命令：

yum update -y

- 对于Ubuntu系统，可以使用：

apt - get update && apt - get upgrade -y

2、安装BIND软件包

- 在CentOS系统中：

yum install bind -y

- 安装过程中，yum会自动解决软件包的依赖关系，安装BIND及其相关的依赖包。

- 在Ubuntu系统中：

apt - get install bind9 -y

- BIND（Berkeley Internet Name Domain）是互联网上最常用的DNS服务器软件之一，安装完成后，我们就可以开始配置DNS服务了。

三、BIND的主配置文件（named.conf）

1、文件位置

- 在CentOS系统中，主配置文件named.conf通常位于/etc/named.conf。

- 在Ubuntu系统中，该文件位于/etc/bind/named.conf。

2、全局配置选项

- 打开named.conf文件，首先看到的是一些全局配置选项。

options {

directory "/var/named";

- 这一行指定了DNS数据文件（如区域文件）的存放目录。

listen - on port 53 { any; };

- 这表示BIND将在端口53上监听来自任何IP地址的DNS查询，如果出于安全考虑，也可以指定特定的IP地址，例如listen - on port 53 { 192.168.1.100; };，其中192.168.1.100是服务器的IP地址。

allow - query { any; };

- 允许任何IP地址向本DNS服务器发送查询请求，如果需要限制查询来源，可以修改为特定的IP地址范围，如allow - query { 192.168.1.0/24; };，表示只允许来自192.168.1.0 - 192.168.1.255这个网段的主机查询。

};

3、日志配置（可选）

- 可以在options块中配置日志相关选项，

logging {

channel default_debug {

file "data/named.run";

severity dynamic;

};

category default { default_debug; }

};

- 这里定义了一个名为default_debug的日志通道，将日志记录到/var/named/data/named.run文件中（注意，/var/named是前面指定的目录），severity dynamic表示根据运行时的情况动态调整日志的详细程度。category default指定了默认的日志类别使用这个通道。

四、创建区域（Zone）

1、正向区域（Forward Zone）

- 正向区域用于将域名解析为IP地址，在named.conf文件中添加正向区域的定义，要创建一个名为example.com的正向区域：

zone "example.com" IN {

type master;

- 表示这是一个主区域，本服务器是该区域数据的主要来源。

file "example.com.zone";

- 这指定了该区域的区域文件名称，这个文件将包含example.com域名相关的解析记录，并且该文件应该位于前面定义的directory（如/var/named）目录下。

allow - update { none; };

- 这里表示不允许动态更新该区域，如果需要支持动态更新（使用DHCP服务器配合进行动态DNS更新），可以修改为允许特定的主机或网络进行更新。

};

2、反向区域（Reverse Zone）

- 反向区域用于将IP地址解析为域名，假设服务器所在网络的IP地址段为192.168.1.0/24，创建反向区域的配置如下：

zone "1.168.192.in - addr.arpa" IN {

type master;

file "192.168.1.rev";

allow - update { none; };

};

- 这里的1.168.192.in - addr.arpa是按照IP地址反向顺序编写的特殊域名格式，用于反向解析。

五、区域文件（Zone File）的编写

1、正向区域文件（example.com.zone）

- 在/var/named目录下创建example.com.zone文件（根据前面在named.conf中的定义）。

- 基本结构如下：

$TTL 86400

- 这定义了默认的生存时间（Time - To - Live），以秒为单位，表示DNS记录在缓存中的有效时间，这里设置为86400秒（1天）。

@ IN SOA example.com. root.example.com. (

- 这里的@表示当前区域（example.com）的根。IN是类（Internet类），SOA（Start of Authority）表示授权开始记录。

2023081001 ; serial

- 这是区域文件的版本号，每次修改区域文件内容时，应该递增这个版本号。

3600 ; refresh

- 表示从从服务器向主服务器查询更新的时间间隔，单位为秒，这里是3600秒（1小时）。

1800 ; retry

- 从服务器在更新失败后重试的时间间隔，这里是1800秒（30分钟）。

604800 ; expire

- 从服务器在无法联系主服务器后，仍然认为区域数据有效的最长时间，这里是604800秒（7天）。

86400 ; minimum

- 这是默认的TTL值，如果在记录中没有单独指定TTL，则使用这个值。

)

- 以下是一些常见的资源记录（RR - Resource Record）：

NS example.com.

- 这定义了example.com区域的名称服务器（Name Server）为example.com本身（在实际应用中，可能会有多个名称服务器，并且通常会指定外部的可靠名称服务器作为备份）。

A www.example.com. 192.168.1.10

- 这是一条A记录（Address Record），将www.example.com域名解析为192.168.1.10这个IP地址。

MX 10 mail.example.com.

- 这是一条MX记录（Mail Exchanger Record），表示example.com域的邮件交换服务器是mail.example.com，优先级为10（数字越小优先级越高）。

2、反向区域文件（192.168.1.rev）

- 在/var/named目录下创建192.168.1.rev文件。

- 基本结构如下：

$TTL 86400

@ IN SOA example.com. root.example.com. (

- 同样包含版本号、刷新时间、重试时间、过期时间和最小TTL等参数，与正向区域文件类似。

)

NS example.com.

- 然后是反向解析的PTR记录（Pointer Record），

10 IN PTR www.example.com.

- 这表示IP地址192.168.1.10对应的域名是www.example.com。

六、启动和测试DNS服务

1、启动BIND服务

- 在CentOS系统中：

systemctl start named

- 如果想要在系统启动时自动启动BIND服务，可以使用：

systemctl enable named

- 在Ubuntu系统中：

service bind9 start

- 并且可以使用update - rc.d bind9 defaults来设置开机自启。

2、测试DNS服务

- 使用nslookup命令进行测试，在本地服务器或者其他主机（如果DNS服务器配置允许外部查询）上执行：

nslookup www.example.com

- 如果配置正确，应该返回www.example.com对应的IP地址（如192.168.1.10）。

- 也可以使用dig命令进行更详细的测试，

dig www.example.com

dig命令会返回详细的DNS查询结果，包括查询的类型（A记录、MX记录等）、查询时间、服务器响应等信息。

七、安全配置

1、防火墙配置

- 如果服务器启用了防火墙（如CentOS系统中的firewalld或者Ubuntu系统中的ufw），需要允许DNS流量（UDP和TCP端口53）通过。

- 在CentOS系统中，使用firewalld：

firewall - cmd -- add - service = dns -- permanent

firewall - cmd -- reload

- 在Ubuntu系统中，使用ufw：

ufw allow 53/udp

ufw allow 53/tcp

2、访问控制（ACL）

- 在named.conf文件中，可以使用访问控制列表（ACL - Access Control List）来限制对DNS服务器的访问。

- 首先定义一个ACL：

acl trusted - hosts {

192.168.1.0/24;

127.0.0.1;

};

- 然后在options块或者区域定义中使用这个ACL：

- 在options块中：

allow - query { trusted - hosts; };

- 在区域定义中，例如对于example.com区域：

zone "example.com" IN {

type master;

file "example.com.zone";

allow - transfer { trusted - hosts; };

- 这里的allow - transfer用于控制哪些主机可以从本服务器进行区域数据的传输（例如从服务器从主服务器获取区域数据）。

};

八、常见问题及解决方法

1、解析失败

- 如果nslookup或者dig命令返回“server failure”或者“NXDOMAIN”（不存在的域名）等错误信息。

- 可能的原因及解决方法：

- 区域文件语法错误：仔细检查区域文件中的语法，特别是资源记录的格式、括号的匹配等，如果忘记了在SOA记录结尾处的括号，就会导致解析失败。

- 服务未启动或监听端口问题：使用systemctl status named（CentOS）或者service bind9 status（Ubuntu）检查服务状态，并且确保端口53没有被其他程序占用，可以使用netstat - tlnp | grep 53查看端口监听情况。

2、动态更新问题（如果配置了动态更新）

- 如果允许动态更新的区域无法正常更新。

- 可能的原因及解决方法：

- 权限问题：检查allow - update设置的主机或网络是否有正确的权限，并且在区域文件所在目录（如/var/named）上，要确保DNS服务进程有足够的读写权限。

- 密钥配置错误（如果使用基于密钥的动态更新）：重新检查密钥文件的生成和配置是否正确，包括密钥的格式、在named.conf和区域文件中的引用等。

通过以上步骤，可以在Linux服务器上成功配置DNS服务，并且可以根据实际需求进行安全配置和故障排查等操作。