CentOS7下BIND9 DNS服务器实战配置指南
1. 环境准备与BIND9安装
在CentOS7上搭建DNS服务器,首先要确保系统环境干净稳定。我建议先执行yum update -y更新所有系统组件,避免因软件版本冲突导致后续配置异常。这里有个小技巧:如果是在内网环境部署,可以提前配置好本地yum源,这样安装速度会快很多。
BIND9的安装非常简单,一条命令就能搞定:
yum -y install bind bind-utils bind-chroot这里解释下各个包的作用:
- bind:主程序包
- bind-utils:包含dig、nslookup等实用工具
- bind-chroot:安全增强包(可选)
安装完成后,启动服务并设置开机自启:
systemctl start named systemctl enable named验证服务是否正常运行:
ps -ef | grep named ss -nultp | grep :53如果看到named进程和53端口的监听状态,说明基础服务已经跑起来了。我在实际部署时遇到过SELinux导致服务启动失败的情况,如果遇到类似问题可以临时执行setenforce 0调试。
2. 防火墙与基础配置
CentOS7默认的firewalld防火墙会阻止DNS请求,需要放行53端口:
firewall-cmd --permanent --add-port=53/tcp firewall-cmd --permanent --add-port=53/udp firewall-cmd --reload主配置文件/etc/named.conf的修改有几个关键点:
- 将listen-on改为any,允许所有IP访问:
listen-on port 53 { any; };- 建议关闭IPv6监听(除非确实需要):
listen-on-v6 port 53 { none; };- 设置递归查询和转发器:
recursion yes; forwarders { 8.8.8.8; 114.114.114.114; };配置检查命令:
named-checkconf这个步骤经常被新手忽略,但非常重要。我有次因为少了个分号导致服务无法启动,排查了半天才发现是配置文件语法错误。
3. 正向解析配置实战
正向解析配置分为两个部分:区域声明和区域数据文件。以域名example.com为例:
- 首先在
/etc/named.rfc1912.zones添加区域声明:
zone "example.com" IN { type master; file "named.example.com"; allow-update { none; }; };- 创建区域数据文件:
cp -p /var/named/named.localhost /var/named/named.example.com chown named:named /var/named/named.example.com文件内容示例:
$TTL 1D @ IN SOA ns1.example.com. admin.example.com. ( 2023080101 ; serial 1H ; refresh 30M ; retry 1W ; expire 3H ) ; minimum NS ns1.example.com. NS ns2.example.com. ns1 A 192.168.1.10 www A 192.168.1.20 mail A 192.168.1.30关键点说明:
- SOA记录:序列号每次修改都要+1
- NS记录:至少要两条DNS服务器记录
- A记录:主机名不要带域名后缀
验证配置:
named-checkzone example.com /var/named/named.example.com4. 反向解析配置详解
反向解析能让IP反查域名,在内网管理时特别有用。配置步骤与正向解析类似:
- 区域声明(注意反向区域的特殊格式):
zone "1.168.192.in-addr.arpa" IN { type master; file "named.192.168.1"; allow-update { none; }; };- 创建反向区域文件:
cp -p /var/named/named.loopback /var/named/named.192.168.1文件内容示例:
$TTL 1D @ IN SOA ns1.example.com. admin.example.com. ( 2023080101 1H 30M 1W 3H ) NS ns1.example.com. NS ns2.example.com. 10 PTR ns1.example.com. 20 PTR www.example.com. 30 PTR mail.example.com.特别注意:
- PTR记录的主机名要带完整域名
- IP地址要倒序写最后一段
验证命令:
named-checkzone 1.168.192.in-addr.arpa /var/named/named.192.168.15. 主从DNS同步配置
为了提高可靠性,建议配置主从DNS同步。以下是具体步骤:
主DNS配置:
- 在主DNS的zone声明中添加allow-transfer:
zone "example.com" IN { ... allow-transfer { 192.168.1.11; }; };从DNS配置:
- 安装相同软件包
- 配置zone声明为slave类型:
zone "example.com" IN { type slave; masters { 192.168.1.10; }; file "slaves/named.example.com"; };- 检查同步状态:
ls -l /var/named/slaves/ rndc status常见问题排查:
- 主从服务器时间不同步会导致同步失败
- 防火墙没放行53端口会导致传输中断
- 序列号没增加会导致从服务器不更新
6. 日常维护与调试技巧
DNS服务跑起来后,这些实用命令能帮你快速定位问题:
- 查询测试:
dig example.com @localhost nslookup www.example.com 127.0.0.1- 日志查看:
journalctl -u named -f tail -f /var/log/messages- 缓存清理:
rndc flush- 配置重载:
systemctl reload named rndc reload性能优化建议:
- 调整缓存大小:在options中添加
max-cache-size 256M; - 开启查询日志:
rndc querylog on(调试后记得关闭) - 限制递归查询范围:
allow-recursion { 192.168.1.0/24; };
我在生产环境遇到过DNS查询突然变慢的情况,最后发现是防火墙的conntrack表满了。如果遇到类似性能问题,可以检查netstat -s的输出。