Linux 下DNS 配置文件祥解最近，為了配置DNS 服務(wù)器我收集了不少有關(guān)配置DNS 服務(wù)器方面的資料。在這里我將這些資料加上我在配置DNS 服務(wù)器時(shí)的一些經(jīng)驗(yàn)進(jìn)行一下整理。希望能對(duì)和我一樣在配置

Linux 下DNS 配置文件祥解

最近，為了配置DNS 服務(wù)器我收集了不少有關(guān)配置DNS 服務(wù)器方面的資料。在這里我將這些資料加上我在配置DNS 服務(wù)器時(shí)的一些經(jīng)驗(yàn)進(jìn)行一下整理。希望能對(duì)和我一樣在配置DNS 服務(wù)器時(shí)遇到困難的朋友一些啟示。

DNS 服務(wù)器軟件即BIND 的安裝應(yīng)該說(shuō)是比較容易的，正常情況下是不會(huì)出現(xiàn)什么問(wèn)題的。因此，本文在著重要討論的是DNS 服務(wù)器的幾個(gè)配置文件的配置問(wèn)題。本文將以REDHA T8.0自帶的BIND9.2.1為依據(jù)進(jìn)行討論。以下是本人這次配置DNS 服務(wù)器的幾個(gè)配置文件：

/etc/named.conf

/在NAMED.CONF 配置文件中使用//和/* */來(lái)進(jìn)行注釋?zhuān)?/p>

options { /*OPTIONS選項(xiàng)用來(lái)定義一些影響整個(gè)DNS 服務(wù)器的環(huán)境，如這里的DI RECTORY 用來(lái)指定在本文件指定的文件的路徑，如這里的是將其指定到 /var/named 下, 在這里你還可以指定端口等等。不指定則端口是53

*/

directory "/var/named";

}; //

//

// a caching only nameserver config

//

controls {

inet 127.0.0.1 allow { localhost; } keys { rndckey; };

};

zone "." IN { //在這個(gè)文件中是用zone 關(guān)鍵字來(lái)定義域區(qū)的，一個(gè)zone 關(guān)鍵字定義一個(gè)域區(qū) type hint;

/*在這里type 類(lèi)型有三種，它們分別是master,slave 和hint 它們的含義分別是：

master:表示定義的是主域名服務(wù)器

slave :表示定義的是輔助域名服務(wù)器

hint:表示是互聯(lián)網(wǎng)中根域名服務(wù)器

*/

file "named.ca"; //用來(lái)指定具體存放DNS 記錄的文件

};

zone "localhost" IN { //定義一具域名為localhost 的正向區(qū)域

type master;

file "localhost.zone" ;

allow-update { none; };

};

zone "test.net" IN { //指定一個(gè)域名為test.net 的正向區(qū)域

type master;

file "test.net”

allow-update { none;};

};

zone "0.0.127.in-addr.arpa" IN { //定義一個(gè)IP 為127.0.0.*的反向域區(qū)

type master;

file "named.local";

allow-update { none; };

};

zone "0.192.168.in-addr.arpa" IN { //定義一個(gè)IP 為168.192.0.*反向域區(qū)

type master;

file "168.192.0";

/var/named/test.net文件

@ IN SOA linux.test.net. Webmaster.test.net. ( SOA表示授權(quán)開(kāi)始

/*上面的IN 表示后面的數(shù)據(jù)使用的是INTERNET 標(biāo)準(zhǔn)。而@則代表相應(yīng)的域名，如在這里代表test.net, 即表示一個(gè)域名記錄定義的開(kāi)始。而linux.test.net 則是這個(gè)域的主域名服務(wù)器，而webmaster.test.net 則是管理員的郵件地址。注意這是郵件地址中用. 來(lái)代替常見(jiàn)的郵件地址中的@.而SOA 表示授權(quán)的開(kāi)始

*/

2003012101 ; serial (d. adams) /*本行前面的數(shù)字表示配置文件的修改版本，格式是年月日當(dāng)日修改的修改的次數(shù)，每次修改這個(gè)配置文件時(shí)都應(yīng)該修改這個(gè)數(shù)字，要不然你所作的修改不會(huì)更新到網(wǎng)上的其它DNS 服務(wù)器的數(shù)據(jù)庫(kù)上，即你所做的更新很可能對(duì)于不以你的所配置的DNS 服務(wù)器為DNS 服務(wù)器的客戶端來(lái)說(shuō)就不會(huì)反映出你的更新，也就對(duì)他們來(lái)說(shuō)你更新是沒(méi)有意義的。

*/

28800 ; refresh

/*定義的是以為單位的刷新頻率 即規(guī)定從域名服務(wù)器多長(zhǎng)時(shí)間查詢一個(gè)主服務(wù)器，以保證從服務(wù)器的數(shù)據(jù)是最新的

*/

7200 ;retry

/*上面的這個(gè)值是規(guī)定了以秒為單位的重試的時(shí)間間隔，即當(dāng)從服務(wù)試圖在主服務(wù)器上查詢更時(shí)，而連接失敗了，則這個(gè)值規(guī)定了從服務(wù)多長(zhǎng)時(shí)間后再試

*/

3600000 ; expiry

/*上面這個(gè)用來(lái)規(guī)定從服務(wù)器在向主服務(wù)更新失敗后多長(zhǎng)時(shí)間后清除對(duì)應(yīng)的記錄，上述的數(shù)值是以分鐘為單位的

*/

8400 )

/*上面這個(gè)數(shù)據(jù)用來(lái)規(guī)定緩沖服務(wù)器不能與主服務(wù)聯(lián)系上后多長(zhǎng)時(shí)間清除相應(yīng)的記 錄

*/

IN NS linux

IN MX 10 linux

linux IN A 168.192.0.14

it-test1 IN A 168.192.0.133

www IN CNAME linux

/*上面的第一列表示是主機(jī)的名字，省去了后面的域。

NS ：表示是這個(gè)主機(jī)是一個(gè)域名服務(wù)器，

A ：定義了一條A 記錄，即主機(jī)名到IP 地址的對(duì)應(yīng)記錄

MX 定義了一郵件記錄

CNAME ：定義了對(duì)應(yīng)主機(jī)的一個(gè)別名

/var/named/168.192.0

@ IN SOA linux.test.net. webmastert.linux.net. (

1997022700 ; Serial

28800 ; Refresh

14400 ; Retry

3600000 ; Expire

86400 ) ; Minimum

IN NS linux.test.net.

/*以上的各關(guān)鍵字的含義跟test.net 是相同的

14 IN PTR linux.test.net.

133 IN PTR it-test1.test.net.

/*

上面的第一列表示的是主機(jī)的IP 地址。省略了網(wǎng)絡(luò)地址部分。如14完整應(yīng)該是： 168.192.0.14

PTR ：表示反向記錄

最后一列表示的是主機(jī)的域名。

Linux 下配置完整安全的DHCP 服務(wù)器詳解

DHCP 是動(dòng)態(tài)主機(jī)配置協(xié)議. 這個(gè)協(xié)議用于向計(jì)算機(jī)自動(dòng)提供IP 地址, 子網(wǎng)掩碼和路由信息。網(wǎng)絡(luò)管理員通常會(huì)分配某個(gè)范圍的IP 地址來(lái)分發(fā)給局域網(wǎng)上的客戶機(jī)。當(dāng)設(shè)備接入這個(gè)局域網(wǎng)時(shí)，它們會(huì)向 DHCP 服務(wù)器請(qǐng)求一個(gè) IP 地址。然后DHCP 服務(wù)器為每個(gè)請(qǐng)求的設(shè)備分配一個(gè)地址，直到分配完該范圍內(nèi)的所有 IP 地址為止。已經(jīng)分配的IP 地址必須定時(shí)地延長(zhǎng)借用期。這個(gè)延期的過(guò)程稱(chēng)作leasing ，確保了當(dāng)客戶機(jī)設(shè)備在正常地釋放IP 地址之前突然從網(wǎng)絡(luò)斷開(kāi)時(shí)被分配的地址可以歸還給服務(wù)器。本文以Redhat Linux 9.0為例，介紹如何建立一個(gè)完整和安全的DHCP 服務(wù)器。

一、建立DHCP 服務(wù)器配置文件

可以使用Redhat Linux 9.0自身攜帶rpm 包安裝。安裝結(jié)束后, DHCP 端口監(jiān)督程序 dhcpd 配置文件是/etc目錄中的名為dhcpd.conf 的文件。下面手工建立/etc/dhcpd.conf文件。/etc/dhcpd.conf通常包括三部分：parameters 、declarations 、option 。

1.DHCP 配置文件中的parameters （參數(shù)）：表明如何執(zhí)行任務(wù)，是否要執(zhí)行任務(wù)，或?qū)⒛男┚W(wǎng)絡(luò)配置選項(xiàng)發(fā)送給客戶。主要內(nèi)容見(jiàn)表1

參數(shù) 解釋

ddns-update-style 配置DHCP-DNS 互動(dòng)更新模式。

default-lease-time 指定確省租賃時(shí)間的長(zhǎng)度，單位是秒。

max-lease-time 指定最大租賃時(shí)間長(zhǎng)度，單位是秒。

hardware 指定網(wǎng)卡接口類(lèi)型和MAC 地址。

server-name 通知DHCP 客戶服務(wù)器名稱(chēng)。

get-lease-hostnames flag 檢查客戶端使用的IP 地址。

fixed-address ip 分配給客戶端一個(gè)固定的地址。

authritative 拒絕不正確的IP 地址的要求。

2. DHCP 配置文件中的declarations （聲明）：用來(lái)描述網(wǎng)絡(luò)布局、提供客戶的IP 地址等。主要內(nèi)容見(jiàn)表2：

聲明 解釋

shared-network 用來(lái)告知是否一些子網(wǎng)絡(luò)分享相同網(wǎng)絡(luò)。

subnet 描述一個(gè)IP 地址是否屬于該子網(wǎng)。

range 起始IP 終止IP 提供動(dòng)態(tài)分配IP 的范圍。

host 主機(jī)名稱(chēng) 參考特別的主機(jī)。

group 為一組參數(shù)提供聲明。

allow unknown-clients ﹔deny unknown-client 是否動(dòng)態(tài)分配IP 給未知的使用者。 allow bootp;deny bootp 是否響應(yīng)激活查詢。

allow booting﹔deny booting 是否響應(yīng)使用者查詢。

2005520124131.htm 開(kāi)始啟動(dòng)文件的名稱(chēng)，應(yīng)用于無(wú)盤(pán)工作站。

next-server 設(shè)置服務(wù)器從引導(dǎo)文件中裝如主機(jī)名，應(yīng)用于無(wú)盤(pán)工作站。

3. DHCP配置文件中的option （選項(xiàng)）：用來(lái)配置DHCP 可選參數(shù)，全部用option 關(guān)鍵字作為開(kāi)始，主要內(nèi)容包括見(jiàn)表3：

選項(xiàng) 解釋

subnet-mask 為客戶端設(shè)定子網(wǎng)掩碼。

domain-name 為客戶端指明DNS 名字。

domain-name-servers 為客戶端指明DNS 服務(wù)器IP 地址。

host-name 為客戶端指定主機(jī)名稱(chēng)。

routers 為客戶端設(shè)定默認(rèn)網(wǎng)關(guān)。

broadcast-address 為客戶端設(shè)定廣播地址。

ntp-server 為客戶端設(shè)定網(wǎng)絡(luò)時(shí)間服務(wù)器IP 地址。

ｔime －offset 為客戶端設(shè)定和格林威治時(shí)間的偏移時(shí)間，單位是秒。

注意：如果客戶端使用的是視窗操作系統(tǒng)，不要選擇"host-name" 選項(xiàng)，即不要為其指定主機(jī)名稱(chēng)。

下面是一個(gè)筆者使用的DHCP 配置文件，這是一個(gè)Ｃ類(lèi)網(wǎng)絡(luò)，共126個(gè)IP 地址可以分配的例子。讀者可以復(fù)制后使用，注意紅色部分是必須要修改的。

ddns-update-style interim;

ignore client-updates;

subnet 192.168.1.0 netmask 255.255.255.0 {

option routers 192.168.1.254;

option subnet-mask 255.255.255.0;

option broadcast-address 192.168.1.255;

option domain-name-servers 192.168.1.3;

option domain-name "www.cao.com"; ＃ＤＮＳ名稱(chēng)＃

option domain-name-servers 192.168.1.3;

option time-offset -18000;

range dynamic-bootp 192.168.1.128 192.168.1.255;

default-lease-time 21600;

max-lease-time 43200;

host ns {

hardware ethernet 52:54:AB:34:5B:09;＃運(yùn)行DHCP 的網(wǎng)絡(luò)接口的MAC 地址＃ fixed-address 192.168.1.9;

}

}

二、建立客戶租約文件

運(yùn)行DHCP 服務(wù)器還需要一個(gè)名為 dhcpd.leases 的文件，保持所有已經(jīng)分發(fā)出去的 IP 地址。在Redhat Linux 發(fā)行版本中，該文件位于 /var/lib/dhcp/ 目錄中。如果您通過(guò) RPM 安裝 ISC DHCP，那么該目錄應(yīng)該已經(jīng)存在。dhcpd.leases 的文件格式為：

Leases address ｛statement ｝

一個(gè)典型的文件內(nèi)容如下：

lease 192.168.1.255 { #DHCP服務(wù)器分配的IP 地址#

starts 1 2005/05/02 03:02:26; # lease 開(kāi)始租約時(shí)間#

ends 1 2005/05/02 09:02:26; # lease 結(jié)束租約時(shí)間#

binding state active;

next binding state free;

hardware ethernet 00:00:e8:a0:25:86; #客戶機(jī)網(wǎng)卡MAC 地址#

uid "10050$0 6"; #用來(lái)驗(yàn)證客戶機(jī)的UID 標(biāo)示#

client-hostname "cjh1"; #客戶機(jī)名稱(chēng)#

}

注意lease 開(kāi)始租約時(shí)間和lease 結(jié)束租約時(shí)間是格林威治標(biāo)準(zhǔn)時(shí)間（GMT ），不是本地時(shí)間。

第一次運(yùn)行DHCP 服務(wù)器時(shí)dhcpd.leases 是一個(gè)空文件，也不用手工建立。如果不是通過(guò) RPM 安裝 ISC DHCP，或者 dhcpd 已經(jīng)安裝，那么您應(yīng)該試著確定 dhcpd 將其 lease 文件寫(xiě)到何處，并確保該文件存在。也可以手工建立一個(gè)空文件：

#touch /var/lib/dhcp/dhcpd.leases

三、啟動(dòng)和檢查DHCP 服務(wù)器

使用命令啟動(dòng)DHCP 服務(wù)器：

#service dhcpd start

使用ps 命令檢查dhcpd 進(jìn)程：

#ps -ef | grep dhcpd

root 2402 1 0 14:25 ? 00:00:00 /usr/sbin/dhcpd

root 2764 2725 0 14:29 pts/2 00:00:00 grep dhcpd

使用檢查dhcpd 運(yùn)行的端口：

# netstat -nutap | grep dhcpd

udp 0 0 0.0.0.0:67 0.0.0.0:* 2402/dhcpd

四、配置DHCP 客戶端

通常網(wǎng)管員使用選擇手工配置 DHCP 客戶，需要修改 /etc/sysconfig/network 文件來(lái)啟用聯(lián)網(wǎng)；并修改 /etc/sysconfig/network-scripts 目錄中每個(gè)網(wǎng)絡(luò)設(shè)備的配置文件。在該目錄中，每個(gè)設(shè)備都有一個(gè)叫做 ifcfg-eth ？ 的配置文件，eth ？是網(wǎng)絡(luò)設(shè)備的名稱(chēng)。 如eth0等。如果你想在引導(dǎo)時(shí)啟動(dòng)聯(lián)網(wǎng)，NETWORKING 變量必須 被設(shè)為 yes 。 除了此處之外/etc/sysconfig/network 文件應(yīng)該包含以下行：

NETWORKING=yes

DEVICE=eth0

BOOTPROTO=dhcp

ONBOOT=yes

五、DHCP 配置常見(jiàn)錯(cuò)誤排除

通常配置DHCP 服務(wù)器很容易，不過(guò)，在這里有一些技巧可以幫助您避免出現(xiàn)問(wèn)題。對(duì)服務(wù)器而言，要確保網(wǎng)卡正常工作，并具備廣播功能。對(duì)客戶機(jī)而言，還要確?？蛻魴C(jī)的網(wǎng)卡正常工作。最后，要考慮網(wǎng)絡(luò)的拓?fù)?，并考慮客戶機(jī)向 DHCP 服務(wù)器發(fā)出的廣播消息是否會(huì)受到阻礙。另外如果dhcpd 進(jìn)程沒(méi)有啟動(dòng)，那么可以瀏覽 syslog 消息文件來(lái)確定是哪里出了問(wèn)題。這個(gè)消息文件通常是 /var/log/messages。

典型故障：

1.DHCP 服務(wù)器配置完成，沒(méi)有語(yǔ)法錯(cuò)誤。但是網(wǎng)絡(luò)中的客戶機(jī)卻沒(méi)辦法取得IP 地址。

通常是Linux DHCP 服務(wù)器沒(méi)有辦法接收來(lái)自255.255.255.255 的 DHCP 客戶機(jī)的Request 封包造成的。一般是Linux DHCP 服務(wù)器的網(wǎng)卡沒(méi)有設(shè)置具有MULTICAST 功能。為了讓dhcpd(dhcp程序的守護(hù)進(jìn)程) 能夠正常的和DHCP 客戶機(jī)溝通，dhcpd 必須傳送封包到255.255.255.255這個(gè)IP 地址，但是有些Linux 系統(tǒng)里255.255.255.255這個(gè)IP 地址被用來(lái)做為監(jiān)聽(tīng)區(qū)域子網(wǎng)域（local subnet）廣播的 IP 地址，所以需要在路由表（routing table）里加入255.255.255.255以激活MULTICAST 功能；

使用命令：

route add -host 255.255.255.255 dev eth0

如果報(bào)告錯(cuò)誤消息：255.255.255.255：Unkown host

那么請(qǐng)先修改/etc/hosts加入一行：

255.255.255.255 dhcp

2. DHCP客戶端程序和DHCP 服務(wù)器不兼容

由于Linux 有許多發(fā)現(xiàn)版本，不同版本使用DHCP 客戶端程序和DHCP 服務(wù)器也不相同。Linux 提供了四種DHCP 客戶端程序：pump, dhclient, dhcpxd, 和dhcpcd 。了解不同Linux 發(fā)行版本的服務(wù)器端和客戶端程序?qū)τ诔Ｒ?jiàn)錯(cuò)誤排除是必要的。筆者曾經(jīng)遇到過(guò)使用SuSE Linux 9.1 DHCP服務(wù)器和使用Mandrake Linux 9.0客戶機(jī)不兼容的情況。此時(shí)就必須更換客戶端程序。方法是先停止客戶機(jī)的網(wǎng)絡(luò)服務(wù)，卸載原程序，安裝和服務(wù)器端兼容程序。附表：主要Linux 發(fā)行版使用的DHCP 客戶端。

發(fā)行版本

缺省 DHCP 客戶端

可選 DHCP 客戶端

DHCP 客戶端啟動(dòng)

腳本

附加配置文件

Red Hat Linux 9.0

dhclient

無(wú)

/sbin/ifup

/etc/sysconfig/network,

/etc/sysconfig/network-scripts/ifcfg-eth0

Debian Linux 3.0

dhclient

無(wú)

/sbin/ifup

/etc/network/interfaces,

/etc/dhclient.conf

Mandrake Linux 9.1

dhclient

dhcpcd, dhcpxd, pump

/sbin/ifup

/etc/sysconfig/network,

/etc/sysconfig/network-scripts/ifcfg-eth0, /etc/dhclient-eth0.conf

SuSE Linux 9.1

dhcpcd

dhclient

/sbin/ifup-dhcp

/etc/sysconfig/network/dhcp, /etc/sysconfig/network/ifcfg-eth0

六、DHCP 服務(wù)器的安全

1. 在指定網(wǎng)絡(luò)接口啟動(dòng)DHCP 服務(wù)器

如果你的Linux 系統(tǒng)連接了不止一個(gè)網(wǎng)絡(luò)界面，但是你只想讓 DHCP 服務(wù)器啟動(dòng)其中之一，

你可以配置 DHCP 服務(wù)器只在那個(gè)設(shè)備上啟動(dòng)。在 /etc/sysconfig/dhcpd 中，把界面的名稱(chēng)添加到 DHCPDARGS 的列表中：

DHCPDARGS=eth0

或者直接使用命令：

Echo “DHCPDARGS=eth0”>> /etc/ sysconfig/dhcpd

這樣對(duì)于帶有兩個(gè)網(wǎng)卡的防火墻機(jī)器，更加安全：一個(gè)網(wǎng)卡可以被配置成 DHCP 客戶來(lái)從互聯(lián)網(wǎng)上檢索 IP 地址；另一個(gè)網(wǎng)卡可以被用作防火墻之后的內(nèi)部網(wǎng)絡(luò)的 DHCP 服務(wù)器。僅指定連接到內(nèi)部網(wǎng)絡(luò)的網(wǎng)卡使系統(tǒng)更加安全，因?yàn)橛脩魺o(wú)法通過(guò)互聯(lián)網(wǎng)來(lái)連接它的守護(hù)進(jìn)程。

2. 讓DHCP 服務(wù)器在監(jiān)牢中運(yùn)行

所謂" 監(jiān)牢" 就是指通過(guò)chroot 機(jī)制來(lái)更改某個(gè)軟件運(yùn)行時(shí)所能看到的根目錄，即將某軟件運(yùn)行限制在指定目錄中，保證該軟件只能對(duì)該目錄及其子目錄的文件有所動(dòng)作，從而保證整個(gè)服務(wù)器的安全。這樣即使出現(xiàn)被破壞或被侵入，所受的損失也較小。

將軟件chroot 化的一個(gè)問(wèn)題是該軟件運(yùn)行時(shí)需要的所有程序、配置文件和庫(kù)文件都必須事先安裝到chroot 目錄中，通常稱(chēng)這個(gè)目錄為chroot jail （chroot" 監(jiān)牢" ）。如果要在" 監(jiān)牢" 中運(yùn)行dhcpd ，而事實(shí)上根本看不到文件系統(tǒng)中那個(gè)真正的目錄。因此需要事先創(chuàng)建目錄，并將dhcpd 復(fù)制到其中。同時(shí)dhcpd 需要幾個(gè)庫(kù)文件，可以使用ldd （library Dependency Display縮寫(xiě)）命令，ldd 作用是顯示一個(gè)可執(zhí)行程序必須使用的共享庫(kù)。

ldd dhcpd