| DNS 系统设定例--2.named.conf 的例子 (进阶型) |
|
DNS 系统设定例--2.named.conf 的例子 (进阶型) |
| 作者:佚名 来源:不详 更新:2006-8-25 21:05:35 错误报告 我要投稿 |
// --------------- 这是一行解 ------------------------------
// Last updated: 1999.11.08 by C.S.Chen, cschen@cc.nctu.edu.tw
/* 另一种整段的解表示法
底下是,有关 BIND/DNS server 的一段解说明.
-----------------------------------------
0. 底下的设定, 适用於 BIND 8.2.1 以後 (应该可适用 8.x 版)
1. 同一个 DNS server, 可以同时管理许多不同的 domain zones.
2. 一个 server host, 可能是某一个网域的 master server, 但同时也可能
是另一个网域的 slave/secondary DNS server, 并不突.
Notes about the configuration file.
-----------------------------------------
1. "acl" defintions ( mutiple instances)
2. "logging" definitions (1 blocks)
3. "options" defintions (1 block)
4. "server" defintions ( multiple instances )
5. "zone" definitions ( mutiple instances )
*/
//=================================================================
acl "Bogus-IP" {
140.113.212.195;
140.113.87.118;
};
acl "NCTU-Campus-IP" {
localhost;
140.113.0.0/16;
140.126.237.0/24;
};
acl "TANet-Backbone-IP" {
163.28.0.0/16;
};
//=================================================================
logging {
channel LAMER_log {
file "/var/log/dns-lamer.log" versions 3 size 10m;
severity info; # only send priority info and higher
print-severity yes; print-time yes;
};
channel SEC_log {
file "/var/log/dns-sec.log" versions 3 size 10m;
severity info; # only send priority info and higher
print-severity yes; print-time yes;
};
channel STAT_log {
file "/var/log/dns-stat.log" versions 3 size 10m;
severity info; # only send priority info and higher
print-severity yes; print-time yes;
};
category cname { null; };
category lame-servers { LAMER_log; };
category security { SEC_log; };
category statistics { STAT_log; };
};
//=================================================================
options {
check-names master fail; // default fail
check-names slave fail; // default warn
directory "/var/named";
pid-file "/etc/named.pid";
notify yes;
fake-iquery yes; // default warn
// 设立 DNS query 转送站, 善加运用对方 DNS server cache 及其频宽
// Note: 不过需先确定, 对方系统不会拒绝提供 forwarding 服务.
// ---------------------------------------------------------------
// 本例子, 除了 ".com" 以及 ".tw" 外, 均透过底下server, 做 forwarding
forwarders {
140.113.54.11; // 请参考底下 forwarding zones 设定.
};
host-statistics yes; // default no
transfer-format many-answers;
// 原则上, 拒绝不特定 host 的 zone transfer 请求,
//-------------------------------------------------------------
// 个别 domain zone master/slave server 之间的情况, 在底下的 zone
// 定义段落中, 个别再打开 (参见底下的例子 zone "nctu.edu.tw".)
//-------------------------------------------------------------
allow-transfer {
none; // 拒绝不特定对象的 zone transfer
};
//-------------------------------------------------------------
// 限定只有 NCTU 围内的 IP 使用者, 才可经由本 DNS server, 去查询
// 其他分本 server 所负责的网域资料. (e.g. 非 NCTU 的资料)
//-------------------------------------------------------------
// 比较 zone "nctu.edu.tw" 的 allow-query { any; }, 表示所有 全
// Internet 的 IP 都可来本 server 查询 nctu.edu.tw 这个网域的资料.
//-------------------------------------------------------------
allow-query {
NCTU-Campus-IP; // 参见前面 ACL 定义
};
//-------------------------------------------------------------
// 拒绝底下, 设定有问题, 或者恶意的 DNS server 的查询
//-------------------------------------------------------------
blackhole {
Bogus-IP; // 参见 ACL 定义
};
//-------------------------------------------------------------
// 指定DNS query 回答的顺序, 仅对於旧系统不具有自行 sort 功能的
// DNS server/resolver 的系统有效 (BIND 4.x 以前)
//-------------------------------------------------------------
// 假设本 DNS server, 有两张网路卡, 分别设定两个 IP address,
// 一个在 163.28, 另一在 140.113 上面.
//-------------------------------------------------------------
sortlist {
{ TANet-Backbone-IP; // If on 163.28.xxx.yyy
{ 163.28/16; // THEN use "163.28"
{ 140.113/16; }; // 再用 "140.113", fallback address
}; };
{ NCTU-Campus-IP; // If on 140.113.xxx.yyy
{ 140.113/16; // THEN use "140.113"
{ 163.28/16; }; // 再试 163.28
}; };
};
};
//=================================================================
server 140.113.1.1 {
support-ixfr yes;
transfer-format many-answers;
};
server 140.113.6.2 {
support-ixfr yes;
transfer-format many-answers;
};
//=================================================================
// Zone File Configuration
//-------------------------------------------------------------
zone "." {
type hint;
file "named.root";
};
zone "localhost" {
type master; file "Localhost";
allow-query { any; };
// 任何 Internet IP 使用者, 都可以来本 server 查询这个网域的资料
};
// 挡掉 127.0.0 的相关 query (自己回答)
zone "0.0.127.IN-ADDR.ARPA" {
type master; file "Rev-127.0";
allow-query { any; };
};
// 挡掉 0.x.x.x 的相关 query (自己回答)
zone "0.IN-ADDR.ARPA" {
type master; file "Rev-0";
allow-query { any; };
};
// 挡掉 255.x.x.x 的相关 query (自己回答)
zone "255.IN-ADDR.ARPA" {
type master; file "Rev-255";
allow-query { any; };
};
// Control access to BIND version number to
// users at example.com only.
//--------------------------------------------
// Ref: BUGTRAQ posting from LaMont Jones
// on 1998-06-12.
zone "bind" chaos {
type master;
file "BIND-ver"; // 请注意, 确实另定一个 "BIND-ver" 档
allow-query {
localhost;
};
// allow-transfer { none; }; // 在 options 处已设限
};
// -----------------------------------------------------------
// forwarding zones
// -----------------------------------------------------------
zone "com" {
type forward;
forwarders {
140.113.54.3; // 必须确定对方允许 DNS forwarding
};
};
zone "tw" {
type forward;
forwarders {}; // ".tw" 相关网域, 自行查询, 不做 forwarding
};
// -------------------------------------------------
// Normal NCTU sub-domains
// -------------------------------------------------
zone "NCTU.edu.tw" {
type master; file "Zone.NCTU";
also-notify { 140.113.54.11 ; };
// 只允许底下 3 IP, 来进行 "nctu.edu.tw" 网域的 zone transfer.
allow-transfer {
140.113.1.1; 140.113.6.2; 140.113.54.11;
};
// 任何 Internet IP 使用者, 都可以来本 server 查询这个网域的资料
allow-query { any; };
};
zone "ADM.nctu.edu.tw" {
type slave; // Slave/secondary DNS server
masters { 140.113.1.1; }; // master/primary 所在 (IP addresses)
allow-query { any; };
};
zone "CC.nctu.edu.tw" {
type master;
file "Zone.CC";
allow-transfer {
140.113.1.1; 140.113.6.2;
};
allow-query { any; };
};
//===============================================
// Reverse Domain Zones
//===============================================
zone "113.140.IN-ADDR.ARPA" {
type master; // Master/Primary DNS server
file "R-140.113"; // Zone file 所在 ( HD 路径 )
also-notify { 140.113.54.11 ; };
allow-transfer {
140.113.1.1; 140.113.6.2;
};
allow-query { any; };
};
zone "1.113.140.IN-ADDR.ARPA" {
type slave; // Slave/secondary DNS server
masters { 140.113.1.1; }; // master/primary 所在 (IP addresses)
allow-query { any; };
};
zone "2.113.140.IN-ADDR.ARPA" {
type master;
file "R-140.113.2";
allow-transfer {
140.113.1.1; 140.113.6.2;
};
allow-query { any; };
};
//===============================================
// Special Sub-domains for TANet-HsinChu
//===============================================
zone "HC.edu.tw" {
type master; file "Zone-HC.edu.tw";
allow-transfer {
140.113.1.1; 140.113.6.2;
};
allow-query { any; };
};
|
|
| 文章录入:skyuu 责任编辑:skyuu |
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
用户登录
