centos 搭建dns服务器(centos7配置dns地址)

CentOS系统怎样安装DNS服务器

CentOS系统安装DNS服务器方法

DNS安装配置

在 RHEL5、6中 DNS都是用的是 bind软件包，而在 RHEL/CentOS 7用的是 unbound安装包，配置文件也有了改变。我们来看一下：

2.1.安装：

代码如下:

[root@linuxprobe~]# yum-y install unbound

Loaded plugins: langpacks, product-id, subscription-manager

This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register.

Resolving Dependencies

---> Running transaction check

---> Package unbound.x86_64 0:1.4.20-19.el7 will be installed

---> Finished Dependency Resolution

·····

启动服务

代码如下:

[root@linuxprobe~]# systemctl restart unbound//启动DNS服务

[root@linuxprobe~]# systemctl enable unbound

ln-s‘/usr/lib/systemd/system/unbound.service‘‘/etc/systemd/system/multi-user.target.wants/unbound.service‘

//下次系统重启自动启动DNS服务

2.2.修改配置文件

unbound安装好之后，缺省配置文件在/etc/unbound/unbound.conf。

2.2.1.修改端口监听地址

相当于 RHEL6配置文件中的：listen-on port 53{ any;};

查看默认监听地址

代码如下:

[root@linuxprobe~]# netstat-tunlp|grep unbound

tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 3333/unbound

tcp 0 0 127.0.0.1:8953 0.0.0.0:* LISTEN 3333/unbound

tcp6 0 0::1:53:::* LISTEN 3333/unbound

tcp6 0 0::1:8953:::* LISTEN 3333/unbound

udp 0 0 127.0.0.1:53 0.0.0.0:* 3333/unbound

udp6 0 0::1:53:::* 3333/unbound

//默认监听本地回环地址，也就是现在只有自己能访问DNS服务，其它主机不能访问本机的DNS服务

修改监听地址代码如下:

[root@linuxprobe~]# vim/etc/unbound/unbound.conf

……

38# interface: 0.0.0.0

39 interface: 0.0.0.0

……

//找到38行，复制去掉注释行，打开监听全网功能。

重启服务查看

代码如下:

[root@linuxprobe~]# systemctl restart unbound

[root@linuxprobe~]# netstat-tunlp|grep unbound

tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 3461/unbound

tcp 0 0 127.0.0.1:8953 0.0.0.0:* LISTEN 3461/unbound

tcp6 0 0::1:8953:::* LISTEN 3461/unbound

udp 0 0 0.0.0.0:53 0.0.0.0:* 3461/unbound

//现在53号端口监听的是0.0.0.0，即所有网段都监听。

2.2.2.修改允许查询的范围

在 RHEL6中，DNS配置文件中有这样一句：allow-query{ localhost;};。此句定义的是允许向本机查询(迭代&递归)的主机范围，localhost代表只有本机可以向本机查询。而在配置中，经常改 localhost为 any，让所有主机能够向本机查询 DNS。所以，在 RHEL7中，也要做这样的修改，只不过修改内容不同而已，如下：

代码如下:

[root@linuxprobe~]# vim/etc/unbound/unbound.conf

……

177# access-control: 0.0.0.0/0 refuse

178 access-control: 0.0.0.0/0 allow

179# access-control: 127.0.0.0/8 allow

……

找到配置文件/etc/unbound/unbound.conf的第177行，缺省为注释行，把内容改为允许访问，然后保存退出，重启服务即可。

2.2.3.创建解析文件

RHEL/CentOS 5、6系统中，DNS的解析文件分正向和反向两个解析文件，并且有解析文件的模板文件。但是在 RHEL7中，正反向解析文件合并为一个，并且无模板文件，需自己创建，路径可以在主配置文件中查看：

代码如下:

[root@linuxprobe~]# vim/etc/unbound/unbound.conf

……

453# You can add locally served data with

454# local-zone:"local." static

455# local-data:"mycomputer.local. IN A 192.0.2.51"

//正向解析可参考语法

456# local-data:‘mytext.local TXT"content of text record"‘

457#

458# You can override certain queries with

459# local-data:"adserver.example.com A 127.0.0.1"

460#

461# You can redirect a domain to a fixed address with

462#(this makes example.com, www.example.com, etc, all go to 192.0.2.3)

463# local-zone:"example.com" redirect

464# local-data:"example.com A 192.0.2.3"

465#

# Shorthand to make PTR records,"IPv4 name" or"IPv6 name".

467# You can also add PTR records using local-data directly, but then

468# you need to do the reverse notation yourself.

469# local-data-ptr:"192.0.2.3 www.example.com"

//反向解析参考语法

470

471 include:/etc/unbound/local.d/*.conf

472

473# service clients over SSL(on the TCP sockets), with plain DNS inside

……

查看本机FQDN

代码如下:

[root@linuxprobe~]# hostname

linuxprobe.example.com

//由此可知，域名为example.com

创建解析文件代码如下:

[root@linuxprobe~]# vim/etc/unbound/local.d/example.conf

local-zone:"example.com." static

local-data:"example.com. 86400 IN SOA ns.example.com. root 1 1D 1H 1W 1H"

local-data:"ns.example.com. IN A 192.168.10.10"

local-data:"linuxprobe.example.com. IN A 192.168.10.10"

local-data-ptr:"192.168.10.10 ns.example.com."

local-data-ptr:"192.168.10.10 linuxprobe.example.com."

查看RHEL6上解析文件以作对比

代码如下:

[root@linuxprobe~]# vim/var/named/named.localhost

$TTL 1D

@ IN SOA@ rname.invalid.(

0; serial

1D; refresh

1H; retry

1W; expire

3H); minimum

NS@

A 127.0.0.1

AAAA::1

2.3.禁用服务用户

每个服务都是有其专用的服务用户，DNS的服务用户为 unbound，实际情况下服务用户的启用有可能有安全隐患，这里要禁用服务用户。

代码如下:

[root@linuxprobe~]# vim/etc/unbound/unbound.conf

······

211# if given, user privileges are dropped(after binding port),

212# and the given username is assumed. Default is user"unbound".

213# If you give"" no privileges are dropped.

214#username:"unbound"

215 username:""

216

217# the working directory. The relative files in this config

······

如上，找到配置文件的第214行，删除unbound即可，删除后为：username”“。

2.4.验证

代码如下:

[root@linuxprobe~]# unbound-checkconf

unbound-checkconf: no errors in/etc/unbound/unbound.conf

验证无配置问题，即可重启服务

复制代码代码如下:

[root@linuxprobe~]# systemctl restart unbound

dns验证：

修改本机DNS

代码如下:

[root@linuxprobe~]# vim/etc/sysconfig/network-scripts/ifcfg-eth0

HWADDR=00:0C:29:70:····

TYPE=Ethernet

····

IPADDR="192.168.10.10"

PREFIX="24"

···

DNS1=192.168.10.10

NAME=eth0

ONBOOT=no

[root@linuxprobe~]# systemctl restart network

nslookup验证

代码如下:

[root@linuxprobe~]# nslookup

linuxprobe.example.com.

192.168.10.10

ok dns设置成功

PS：关闭防火墙

在本次实验中我们关闭了 linux的3大防火墙。当没有关闭防火墙时，远程主机验证可能出现故障，这时需要在 DNS服务器防火墙上开放 DNS服务。我们以 firewall防火墙为例，修改一下：

代码如下:

[root@linuxprobe~]# systemctl stop iptables

[root@linuxprobe~]# systemctl stop ebtables

[root@linuxprobe~]# systemctl disable iptables

[root@linuxprobe~]# systemctl disable ebtables

[root@linuxprobe~]# firewall-cmd--add-service=dns--permanent

success

[root@linuxprobe~]# firewall-cmd--reload

success

[root@linuxprobe~]# firewall-cmd--list-all

public(default, active)

interfaces: eth0

sources:

services: dhcpv6-client dns ssh

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

//DNS服务器上Firewall开放DNS访问ok

如何搭建一个公共DNS服务器

一、服务器环境

必须为centos6.x的环境 centos7.x不能按照本教程 centos5.x未测试

二、安装并启动DNSMASQ

yum install-y dnsmasqservice dnsmasq start

三、dnsmasq配置

1、Dnsmasq的配置文件路径为：/etc/dnsmasq.conf

# ll-d/etc/dnsmasq.conf-rw-r--r-- 1 root root 21237 Feb 23 00:17/etc/dnsmasq.conf

2、编辑/etc/dnsmasq.conf

resolv-file=/etc/resolv.dnsmasq.conf//dnsmasq会从这个文件中寻找上游dns服务器strict-order//去掉前面的#addn-hosts=/etc/dnsmasq.hosts//在这个目里面添加记录listen-address=127.0.0.1,192.168.1.123//监听地址如果想对所有计算机服务，则为0.0.0.0

3、修改/etc/resolv.conf

echo'nameserver 127.0.0.1'>/etc/resolv.conf

4、创建resolv.dnsmasq.conf文件并添加上游dns服务器的地址

touch/etc/resolv.dnsmasq.confecho'nameserver 119.29.29.29'>/etc/resolv.dnsmasq.conf

5、创建dnsmasq.hosts文件

cp/etc/hosts/etc/dnsmasq.hostsecho'addn-hosts=/etc/dnsmasq.hosts'>>/etc/dnsmasq.conf

提示：resolv.dnsmasq.conf中设置的是真正的Nameserver，可以用电信、联通等公共的DNS。

三、DNSmasq启动

1、设置Dnsmasq开机启动并启动Dnsmasq服务：

chkconfig dnsmasq on/etc/init.d/dnsmasq restart

2、netstat-tunlp|grep 53查看Dnsmasq是否正常启动：

# netstat-tlunp|grep 53tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 2491/dnsmasq tcp 0 0:::53:::* LISTEN 2491/dnsmasq udp 0 0 0.0.0.0:53 0.0.0.0:* 2491/dnsmasq udp 0 0:::53:::* 2491/dnsmasq

3、dig smallxu.me，第一次是没有缓存，所以时间是400多

4、第二次再次测试，因为已经有了缓存，所以查询时间已经变成了2.

为了防止故意进行DNS劫持，这里不贴出

四、DNSMASQ的配置

1、本地DNS使用

这里我们本地DNS可以使用服务器中配置的IP，这样我们本机就使用到自己的DNS，备用DNS可以用一个第三方公用DNS。

2、屏蔽网站/广告

vi/etc/dnsmasq.conf

如果我们需要屏蔽某个网站或者广告，可以修改上面的文件

address=/itbulu.com/127.0.0.1address=/smallxu.me/127.0.0.1

比如我希望无法打开这两个网站，就在配置文件中添加指定的IP或者其他劫持的IP，比如我们打开某个网站被指定到其他的服务器或者网站中，就这样被劫持的。同样的，我们也可以将广告目录屏蔽。

添加后 smallxu.me和itbulu.com将会被解析到127.0.0.1

第五、Dnsmasq配置和使用总结

Dnsmasq实际功能不仅仅局限在上面的搭建我们本地需要的DNS服务器功能，如果真就这么简单的用法，那我们也没有必要用一台服务器配置。使用点第三方公共DNS还是没有问题的，有点广告也无妨。

Linux怎么搭建DNS服务器

Linux搭建DNS服务器简要步骤：

1

简要步骤：

1.在bind的主配置文件中添加该域

2.在/var/named中创建该域的zone文件

3.编辑zone文件，添加需要的信息

4.检测防火墙或selinux设置

5.启动bind服务，重启网络服务

6.用户端测试域名解析

END

搭建DNS服务器详细步骤：

1

1、安装DNS服务器组件

安装bind

yum install-y bind bind-chroot bind-utils

2

2、编辑DNS主配置文件

vi/etc/named.conf修改主配置文件，如下图：

修改完毕，保存退出

3

3、接着修改named.rfc1912.zones文件，vi/etc/named.rfc1912.zones，如下图：

4

4、添加设置DNS正向解析

修改zone配置文件，正向解析：

cd/var/named/

cp named.localhost szlpt.cn.zone

vi szlpt.cn.zone（要和主配置文件[/etc/named.rfc1912.zones]里面定义的zone文件名一致）

5

5、修改zone配置文件，反向解析：

cd/var/named/

cp named.localhost 32.168.192.zone

vi 0.168.192.zone（要和主配置[/etc/named.rfc1912.zones]文件里面定义的zone文件名一致）

6

6、更改防火墙设置和selinux设置

Getenforce（查看selinux是否开启）

setenforce 0

vi/etc/sysconfig/iptables#配置防火墙端口

-AINPUT-m state--state NEW-m tcp-p tcp--dport 53-j ACCEPT

-AINPUT-m state--state NEW-m udp-p udp--dport 53-j ACCEPT

-AINPUT-m state--state NEW-m tcp-p tcp--dport 953-j ACCEPT

service iptables restart#重启防火墙，使规则生效

7

7、启动DNS服（注意DNS服务名称在linux是叫做bind）

service named start

8

8、测试检测域信息是否正常（重要）

检查之前先看下配置文件有没有读取权限 ll/var/named

（如果没有读取全线， chmod+r/var/named/*即可）

9

9、检查bind文件配置过程中容易出错

以下命令用以检查bind配置文件及zone文件语法

named-checkconf/etc/named.conf

named-checkzone szlpt.cn/var/named/ szlpt.cn.zone

10

10、启动重启DNS服务，查看服务状态

service named restart

service network restart

用户端测试解析，通过nslookup进行测试。

END

注意事项

以上经验截图是以centos系统版本为例，其他linux版本配置文件可能有所不同。根据实际情况修改

本经验小编亲测截图，如果您觉得对您有帮助，就点击支持我吧。点击关注“咗嚛”，及时获取最新经验资讯！