鍵盤語言 (Keyboard Languag)

啟動 Nslookup.exe 時找不到伺服器名稱

Thu, 07 Jun 2007 14:44:42 +0000

當自己架設好的DNS伺服器，而在 Windows 網路設定也指定使用該DNS當預設的DNS伺服器時

假設該台DNS伺服器IP為： 192.168.1.254

而在 Windows 系統下使用 nslookup.exe 查詢時卻出現：*** Can't find server name for address 192.168.1.254: Non-existent domain 這個訊息

此訊息依據微軟官方的說明為：(*** 找不到位址 192.168.1.254 的伺服器名稱：不存在的網域)

而會造成此問題的原因為：當名稱伺服器的 IP 位址沒有 PTR 記錄時，可能就會發生這個錯誤。當 Nslookup.exe 啟動時，會執行反向對應以取得預設伺服器的名稱。如果沒有 PTR 資料，就會傳回此錯誤訊息。如果要修正這個問題，請確認反向對應區域存在，並包含名稱伺服器的 PTR 記錄。

解決辦法：在DNS伺服器上建立 192.168.1254 的IP反解即可解決

處理步驟:

1.編輯 /etc/named.conf
2.加入以下的內容 ( 192.168.1.x 的反解宣告 )

zone "1.168.192.in-addr.arpa" IN {
type master;
file "named.192.168.1";
allow-update { none; };
};

3.增加 /var/named/chroot/var/named/named.192.168.1 檔案
4.加入以下的內容 ( 192.168.1.x 的反解設定 )

$TTL 86400
@ IN SOA dns.linux root.dns.linux. (
2007060701 ; serial
28800 ; refresh
7200 ; retry
604800 ; expire
86400 ; default_ttl
)
@ IN NS ns1.dns.linux.
254 IN PTR ns1.dns.linux.

5.完成後，restart named 或 reload named 即可

這樣於 Windows 下設定預設使用 192.168.1.254 來當 DNS 查詢時，使用 Nslookup.exe 時就不會在出現*** Can't find server name for address 192.168.1.254: Non-existent domain (找不到伺服器名稱的錯誤訊息了)

以下內容來自於：微軟技術支援

疑難排解 Nslookup.exe
預設伺服器逾時
啟動 Nslookup.exe 公用程式時，可能會發生下列錯誤：

*** Can't find server name for address w.x.y.z: Timed out (*** 找不到位址 w.x.y.z 的伺服器名稱：逾時)

注意：w.x.y.z 是「DNS 服務搜尋順序」清單中列出的第一個 DNS 伺服器。

*** Can't find server name for address 127.0.0.1:Timed out (*** 找不到位址 127.0.0.1 的伺服器名稱：逾時)

第一個錯誤代表無法聯繫 DNS 伺服器，或未在該電腦上執行服務。如果要修正這個問題，請在該伺服器上啟動 DNS 服務或檢查可能的連線問題。

第二個錯誤代表「DNS 服務搜尋順序」清單中未定義任何伺服器。如果要修正這個問題，請將有效 DNS 伺服器的 IP 位址新增至此清單中。

如需詳細資訊，請參閱「Microsoft 知識庫」中的下列文件：

172060 NSLOOKUP：Can't Find Server Name for Address 127.0.0.1
啟動 Nslookup.exe 時找不到伺服器名稱
啟動 Nslookup.exe 公用程式時，可能會發生下列錯誤：

*** Can't find server name for address w.x.y.z: Non-existent domain (*** 找不到位址 w.x.y.z 的伺服器名稱：不存在的網域)

當名稱伺服器的 IP 位址沒有 PTR 記錄時，可能就會發生這個錯誤。當 Nslookup.exe 啟動時，會執行反向對應以取得預設伺服器的名稱。如果沒有 PTR 資料，就會傳回此錯誤訊息。如果要修正這個問題，請確認反向對應區域存在，並包含名稱伺服器的 PTR 記錄。

如需詳細資訊，請參閱「Microsoft 知識庫」中的下列文件：

172953 如何安裝並設定 Microsoft DNS Server
子網域上的 Nslookup 失敗
在子網域上查詢或執行區域轉送時，Nslookup 可能會傳回下列錯誤：

*** ns.domain.com can't find child.domain.com.: Non-existent domain (*** ns.domain.com 找不到 child.domain.com.：不存在的網域)
*** Can't list domain child.domain.com.: Non-existent domain (*** 無法列出網域 child.domain.com.：不存在的網域)

在 DNS Manager 中，可在主要區域下方新增網域，以建立子網域。以此種方式建立子網域不會個別建立網域的 db 檔案，因此，查詢該網域或在該網域上執行區域轉送將導致前述錯誤。在父系網域上執行區域轉送，會同時列出父系網域與子網域的資料。如果需要替代的解決方案，請在 DNS 伺服器上為子網域建立新的主要區域。

BIND master/slave DNS 與 view 的搭配

Thu, 07 Jun 2007 07:59:43 +0000

由於 BIND 提供了一個方便的 view 功能, 可以讓我們在同一台機器上頭, 依據來查詢的 ip 的不同, 而回應不同的結果. 所以, 我們可以方便的把對內的 DNS 與對外的 DNS 都整合到同一台機器上頭處理. 如果是內部網路的機器來查詢時, 就回覆內部的 IP, 如果是外部的網路來查詢時, 就回覆外部的 IP. 管理員可以將內部與外部的 DNS, 整合到同一台機器管理 (當然, 還是要管理內部與外部不同的設定檔). 這在只有一個 DNS 主機時, 問題並不大, 但是, 如果我們有多台 DNS 主機時, 如何同步這些主機的設定, 就需要有一些技巧了.

以下為例子來看, 在只有一台 DNS 主機 (192.168.1.252) 時, 使用 view 的功能, 分別對內部的 ip 提供內部的 DNS, 而對外部的 ip 提供外部的 DNS. 在 bind 上頭的設定是:

// master dns (eth1 ==> 192.168.1.252)
options {
directory "/var/named";
allow-query { any; };
allow-transfer {192.168.1.254;};
};

view "internal" {
// This should match our internal networks.
match-clients {
127.0.0.1/24;
192.168.0.0/24;
};

// Provide recursive service to internal clients only.
recursion yes;

zone "." IN {
type hint;
file "named.ca";
};

zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};

zone "xspace.idv.tw" {
type master;
file "db.xspace.idv.tw_internal";
};
};

view "external" {
// Match ant client
match-clients {
any;
};

// Refuse recursive service to external clients.
recursion no;

zone "." IN {
type hint;
file "named.ca";
};

zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};

zone "xspace.idv.tw" {
type master;
file "db.xspace.idv.tw_external";
};
};

include "/etc/rndc.key";

這個設定檔, 會依據來源的 IP 來決定使用那個設定檔回應. 且對外可以關閉 recursion 查詢, 只開放內部的 IP 使用 recursion 的功能.

如果這時, 我們要新增另一台 slave DNS (192.168.1.254) 時, 依照沒有 view 時的想法, 然後套上 view 之後, 應該很簡單的用下頭的設定檔來處理:

// slave dns (eth1 ==> 192.168.1.254)
options {
directory "/var/named";
allow-query { any; };
allow-transfer {192.168.1.254;};
};

view "internal" {
// This should match our internal networks.
match-clients {
127.0.0.1/24;
192.168.0.0/24;
};

// Provide recursive service to internal clients only.
recursion yes;

zone "." IN {
type hint;
file "named.ca";
};

zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};

zone "xspace.idv.tw" {
type slave;
file "slaves/db.xspace.idv.tw_internal";
masters { 192.168.1.252; };
};
};

view "external" {
// Match ant client
match-clients {
any;
};

// Refuse recursive service to external clients.
recursion no;

zone "." IN {
type hint;
file "named.ca";
};

zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};

zone "xspace.idv.tw" {
type slave;
file "slaves/db.xspace.idv.tw_external";
masters { 192.168.1.252; };
};
};

include "/etc/rndc.key";

這時, 問題就出現了. 當這台 slave DNS, 往 master DNS 查詢資料時, 由於這台機器的 IP 是 192.168.1.254, 屬於內部的 192.168.0.0/24 裡頭, 所以... 內部的 DNS 資料並不會有問題, 可以得到正確的內部資料, 可是... 對於外部的 slave DNS 來說, 去 master DNS 查詢時, 也被視為內部的 IP, 當然也只得到內部的 DNS 資料. 並不會得到外部的 DNS 資料.

所以, 為了避免這個問題, 我們可以讓 master DNS 新增一個 IP 與 slave DNS 新增兩個 IP, 然後利用這個 IP 來避免取得內部的 DNS 資料, 真正能取得外部的 DNS 資料.

這裡我們新增 10.10.10.252 (eth1:0) 給 master DNS , 然後新增 10.10.10.253 (eth1:0) 及 10.10.10.254 (eth1:1) 給 slave DNS, 然後把 master DNS 的設定改成:

// master dns (eth1 ==> 192.168.1.252 eth1:0 ==> 10.10.10.252)
options {
directory "/var/named";
allow-query { any; };
allow-transfer {10.10.10.253;10.10.10.254; };
};

view "internal" {
// This should match our internal networks.
match-clients {
!10.10.10.253;
127.0.0.1/24;
192.168.0.0/24;
};
// Provide recursive service to internal clients only.
recursion yes;

zone "." IN {
type hint;
file "named.ca";
};

zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};

zone "xspace.idv.tw" {
type master;
file "db.xspace.idv.tw_internal";
};
};

view "external" {
// Match ant client
match-clients {
any;
};

// Refuse recursive service to external clients.
recursion no;

zone "." IN {
type hint;
file "named.ca";
};

zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};

zone "xspace.idv.tw" {
type master;
file "db.xspace.idv.tw_external";
};
};

include "/etc/rndc.key";

把 10.10.10.0/24 排除在 internal 的 view 範圍內.

然後把 slave DNS 的設定改成:

// slave dns (eth1 ==> 192.168.1.254 eth1:0 ==> 10.10.10.253 eth1:1 ==> 10.10.10.254)
options {
directory "/var/named";
allow-query { any; };
allow-transfer {10.10.10.253;10.10.10.254; };
};

view "internal" {
// This should match our internal networks.
match-clients {
127.0.0.1/24;
192.168.0.0/24;
};
// Provide recursive service to internal clients only.
recursion yes;

zone "." IN {
type hint;
file "named.ca";
};

zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};

zone "xspace.idv.tw" {
type slave;
file "slaves/db.xspace.idv.tw_internal";
masters { 10.10.10.252; };
transfer-source 10.10.10.254;
};
};

view "external" {
// Match ant client
match-clients {
any;
};

// Refuse recursive service to external clients.
recursion no;

zone "." IN {
type hint;
file "named.ca";
};

zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};

zone "xspace.idv.tw" {
type slave;
file "slaves/db.xspace.idv.tw_external";
masters { 10.10.10.252; };
transfer-source 10.10.10.253;
};
};

include "/etc/rndc.key";

在 internal 的設定上頭, 利用 transfer-source 指定使用 10.10.10.254的 ip 去查詢 10.10.10.252 的 DNS, 以便於得到內部的 DNS 資料. 而在 external 的設定中, 利用 transfer-source 指定使用 10.10.10.253 的 ip, 去查詢 10.10.10.252 的 DNS, 以便於取得外部的 DNS 資料.

如此設定後, 就可以讓這兩台主機, 能夠同時同步內部與外部的 DNS 設定了.

BIND9 - Master / Slave DNS 基本設定

Thu, 07 Jun 2007 03:26:52 +0000

named.conf 重點內容

Slave 主機向 Master 要求傳送 Zone File 的時機

Zone File 檔案結構

named.conf 重點內容

Master:

vi /etc/named.conf

acl "trusted" { 127.0.0.1; 192.168.0.0/22; };

options {

allow-query { any; }; // 是否允許被查詢？當然要可以被查詢；
allow-recursion { trusted; }; //避免變成 Open DNS
allow-transfer { none; }; //預設禁止 Zone Transfer
notify no; //預設不通知轄區 DNS Server

};

zone "mydomain.com" in {

type master;
file "mydomain.com.zone";
allow-transfer { slave.ip.address; };
notify yes;

};

zone "1.168.192.in-addr.arpa" in {

type master;
file "192.168.1.zone";
allow-transfer { slave.ip.address; };
notify yes;

};

Slave:

vi /etc/named.conf

zone "mydomain.com" in {

type slave;
file "slave/mydomain.com.zone";
masters { master.ip.address; };

};

zone "1.168.192.in-addr.arpa" in {

type slave;
file "slave/192.168.1.zone";
masters { master.ip.address; };

};

Slave 主機向 Master 要求傳送 Zone File 的時機
1. master 主機上的 named 啟動、Reload 時, 發送 dns notify 信號通知 NS 主機 (除本身外) 比對 zone file serial, 且 master serial 大於 slave serial 時.
2. slave 主機上的 named 啟動時, 發現 master serial 大於 slave serial, 或無 zone file 存在時.
3. slave 主機每隔 refresh 時間, 向 master 查詢 zone file serial, 發現 master serial 大於 slave serial 時.
Zone File 檔案結構
Forward Lookup / 正解

$TTL 1W
@ IN SOA master_dns_fqdn zone_admin (
2006092001 ;serial
2D ;refresh
4H ;retry
6W ;expire
1W ) ;TTL

IN NS master_dns_fqdn
IN NS slave_dns_fqdn
IN MX 10 mail_server_fqdn

master_dns_hostname IN A ip_address
slave_dns_hostname IN A ip_address
mail_server_hostname IN A ip_address
some_hostname IN CNAME another_hostname_has_A_record

Reverse Lookup / 反解 (其實設反解無用，因為反解目前由ISP管理)

$TTL 1W
@ IN SOA master_dns_fqdn zone_admin (
2006092001 ;serial
2D ;refresh
4H ;retry
6W ;expire
1W ) ;TTL

IN NS master_dns_fqdn

entry_in_*.in-addr.arpa IN PTR some_host_fqdn

ex1. zone: 20.10.150.in-addr.arpa
in the zone file: 1 IN PTR ms1.mydomain.com
retult: ms1.mydomain.com=150.10.20.1

ex2. zone: 10.150.in-addr.arpa
in the zone file: 2.20 IN PTR ms1.mydomain.com
retult: ms1.mydomain.com=150.10.20.2

架設單純的 forward DNS 主機設定 (cache-only)

Thu, 07 Jun 2007 02:18:27 +0000

什麼是單純的 forward DNS 的主機呢？

在介紹怎麼設定每一個正反解的 zone 之前，我們先來玩一個簡單的 DNS 主機！就是 cache-only DNS server ！也稱為 forward DNS 囉！顧名思義，這個 DNS server 只有 cache (快取) 的功能，也就是說，他本身並沒有主機名稱與 IP 正反解的設定檔，完全是由對外的查詢來提供他的資料來源！整個運作的流程可以看成是這個樣子：

由上面的圖示來看，您可以發現，其實，我們 Client 端雖然都是使用 Cache-Only 的 DNS 在搜尋，但是，實際上 Cache-only 的主機都是請一個 ( Forwarders ) DNS 主機來幫忙查詢的，本身並沒有 zone 的設定檔啦！所以說，基本上， cache-only 的 DNS 只是一個中間傳遞資料的 DNS 主機罷了！那麼為什麼要架設這樣的一個 DNS 主機呢？閒閒沒事幹？當然不是！這是有原因的啦！底下說給您聽囉！

什麼時候使用 cache-only DNS？

在某些公司行號裡頭，為了預防員工利用公司的網路資源作自己的事情，所以都會針對 Internet 的連線作比較嚴格的限制。當然啦，連 port 53 這個 DNS 會用到的 port 也可能會被擋在防火牆之外的～這個時候，您可以在『防火牆的那部機器上面，加裝一個 cache-only 的 DNS 服務！』這是什麼意思呢？很簡單啊！就是您自己利用自己的防火牆主機上的 DNS 服務去幫您的 Client 端解譯 hostname <--> IP 囉！因為防火牆主機可以設定放行自己的 DNS 功能，而 Client 端就設定該防火牆 IP 為 DNS 主機的 IP 即可！哈哈！這樣就可以取得主機名稱與 IP 的轉譯啦！

那如何在你的 Linux 主機上架設一個 cache-only 的 DNS 主機呢？其實真的很簡單的啦！因為不需要設定正反解的 Zone ，所以只要設定一個檔案 (就是 named.conf) 即可！真是快樂得不得了吶！底下就讓我們來玩一玩吧！

編輯主要設定檔 /etc/named.conf

在這個檔案中，主要是定義跟主機有關的事項，以及各個 Zone 的代表含意與檔案，在鳥哥的這個案例當中，因為使用了 forward 的機制，所以鳥哥的這個 cache-only DNS 伺服器並沒有 Zone ，所以我們只要設定好跟主機有關的設定即可。設定這個檔案的時候請注意：

註解資料是以兩條斜線『 // 』來作設定的！

每個段落之後都需要以『 ; 』來做為結尾！

那麼您可以這樣設定這個檔案！

[root@linux ~]# vi /etc/named.conf
// 雖然 CentOS 將這個檔案放置到 /var/named/chroot/etc 當中，
// 不過他很好心的幫我們作了個連結，所以你還是可以直接編輯這個檔案啦！
options {
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
pid-file "/var/run/named/named.pid";
forward only; //只允許 forward!
forwarders {
168.95.1.1; //我這裡使用 hinet 的 DNS ！
139.175.10.20; //這個是 seednet 的 DNS ！
};
};
include "/etc/rndc.key";

我們僅動用到 option 這個參數而已，裡面的設定值意義為：

pid-file
指的是每一個 services 記錄自己的 PID (Process ID) 的檔案囉！這個檔案通常用在重新啟動或者是 reload 整個 services 最常被使用到的！因為可以使用 kill -1 PID 來重新啟動啊！嗄！忘記什麼是 PID ？趕快拿出基礎篇複習一下！
forwarders
(不要忘記那個 s 喔！)就是要設定往前尋找的那個『合法』的 DNS 囉！每一個 forward 的主機之 IP 都需要有『 ; 』來做為結尾！
forward only
這個設定可以讓您的 DNS 主機僅進行 forward 而已！是 Cache-Only 主機最常見的設定了！

很簡單吧！這樣就已經設定完成了最簡單的 cache-only 的 DNS 主機了！

DNS 的查詢指令： host, nslookup, dig

Wed, 06 Jun 2007 08:20:43 +0000

@host

語法：
[root@linux ~]# host [-a] [FQDN] [server]
[root@linux ~]# host -l [domain] [server]
參數說明：
-a ：代表列出該主機所有的相關資訊，包括 IP、TTL 等等
-l ：若後面接的那個 domain 設定允許 allow-transfer 時，則列出該 domain
所管理的所有主機名稱對應資料！
server：這個參數可有可無，當想要利用非 /etc/resolv.conf 內的 DNS 主機
來查詢主機名稱與 IP 的對應時，就可以利用這個參數了！

範例一：強制以 192.168.1.254 這部 DNS 主機來查詢
[root@linux ~]# host www.vbird.tsai 192.168.1.254
Using domain server:
Name: 192.168.1.254
Address: 192.168.1.254#53 <==這裡重要！告知這筆記錄是哪部 DNS 伺服器去找的！
Aliases:

www.vbird.tsai is an alias for linux.vbird.tsai.
linux.vbird.tsai has address 192.168.1.254

有注意到上面輸出的特殊字體部分嗎？很多朋友在測試自己的 DNS 時，常常會『指定到錯誤的 DNS 查詢主機』了～因為他們的 /etc/reslov.conf 忘記改，所以老是找不到自己設定的資料庫 IP 資料。

範例二：找出我們自己這個 vbird.tsai 領域的所有主機對應
[root@linux ~]# host -l vbird.tsai 192.168.1.254
Using domain server:
Name: 192.168.1.254
Address: 192.168.1.254#53
Aliases:

vbird.tsai name server linux.vbird.tsai.
vbird.tsai name server slave.vbird.tsai.
linux.vbird.tsai has address 192.168.1.254
slave.vbird.tsai has address 192.168.1.150
....後面省略....

上面的資訊可就熟悉多了吧？！沒錯！那就是我們在 named.vbird.tsai 裡面的設定值啊！不過，並不是所有的 domain 都可以作這樣的事情～舉例來說，如果我們下達：

[cdoe]
[root@linux ~]# host -l yahoo.com
Host yahoo.com not found: 5(REFUSED)
; Transfer failed.
[/code]

這樣的回應是因為在對方的 /etc/named.conf 裡面並沒有設定 allow-transfer 那個設定選項的原因啊！至於 host -a 的輸出資訊與 dig 是一模一樣的，所以我們先不介紹，在 dig 處再詳細說明。

@nslookup

語法：
[root@linux ~]# nslookup [FQDN] [server]
[root@linux ~]# nslookup
參數說明：
1. 可以直接在 nslookup 加上待查詢的主機名稱或者是 IP ，[server] 可有可無；
2. 如果在 nslookup 後面沒有加上任何主機名稱或 IP ，那將進入 nslookup 的查詢功能
在 nslookup 的查詢功能當中，可以輸入其他參數來進行特殊查詢，例如：
set type=any ：列出所有的資訊『正解方面設定檔』
set type=mx ：列出與 mx 相關的資訊！

範例一：直接搜尋 winxp.vbird.tsai 的 IP 資訊
[root@linux ~]# nslookup winxp.vbird.tsai 192.168.1.254
Server: 192.168.1.254
Address: 192.168.1.254#53 <==同樣的，請注意搜尋的 DNS IP 喔！

Name: winxp.vbird.tsai
Address: 192.168.1.100

nslookup 可單純的將 hostname 與 IP 對應列出而已，不過，還是會將查詢的 DNS 主機的 IP 列出來的！如果想要知道更多詳細的參數，那可以直接進入 nslookup 這個軟體的操作畫面中，如下範例：

[root@linux ~]# nslookup <==進入 nslookup 查詢畫面
> 192.168.1.254 <==執行反解的查詢
> www.vbird.tsai <==執行正解的查詢
# 上面這兩個僅列出正反解的資訊，沒有啥了不起的地方啦！
> tw.yahoo.com <==執行非本機上的查詢
Server: 192.168.1.254
Address: 192.168.1.254#53

Non-authoritative answer:
# 注意這邊，因為不是自己的資料庫，所以是未認證過的資料(可能是快取)
tw.yahoo.com canonical name = tw.yahoo-ap1.akadns.net.
tw.yahoo-ap1.akadns.net canonical name = vip1.tw.tpe.yahoo.com.
Name: vip1.tw.tpe.yahoo.com
Address: 202.43.195.52
> set type=any <==變更查詢，不是僅有 A，全部資訊都列出來
> sun.vbird.tsai
Server: 192.168.1.254
Address: 192.168.1.254#53

Name: sun.vbird.tsai
Address: 192.168.1.200
sun.vbird.tsai text = 「The sun solaris OS」 <==看吧！更多資訊跑出來！
sun.vbird.tsai hinfo = "Celeron 1G" "Solaris 10"
> exit

在上面的案例當中，請注意，如果您在 nslookup 的查詢畫面當中，輸入 set type=any 或其他參數，那麼就無法再進行反解的查詢了！這是因為 any 或者是 mx 等等的標誌都是記錄在正解 zone 當中的緣故！

@dig

語法：
[root @test root]# dig [@server] [FQDN] [type]
參數說明：
@server ：如果不想以 /etc/resolv.conf 來作為 DNS 主機，則可在此填入其他的 IP
type ：預設是查詢 A 標誌，你可以在這裡入其他的標誌，如 mx, ns 等。
此功能亦可使用 [-t type] 來處理。

範例一：查詢 linux.vbird.tsai 吧！
[root@linux ~]#
dig @61.31.233.1 siko.no-ip.org

; <<>> DiG 9.2.5 <<>> @61.31.233.1 siko.no-ip.org
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54045
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 1

;; QUESTION SECTION:
;siko.no-ip.org. IN A

;; ANSWER SECTION:
siko.no-ip.org. 60 IN A 219.81.151.45

;; AUTHORITY SECTION:
no-ip.org. 15889 IN NS nf1.no-ip.com.
no-ip.org. 15889 IN NS nf2.no-ip.com.
no-ip.org. 15889 IN NS nf3.no-ip.com.

;; ADDITIONAL SECTION:
nf1.no-ip.com. 45976 IN A 204.16.252.8

;; Query time: 268 msec
;; SERVER: 61.31.233.1#53(61.31.233.1)
;; WHEN: Sat Mar 17 00:43:02 2007
;; MSG SIZE rcvd: 127

在這個範例當中，我們可以看到整個顯示出的訊息包括有幾個部分：

* HEADER(標題)：顯示查詢的內容有哪些，包括一個 query, 一個 answer 及兩個驗證部分。
* QUESTION(問題)：顯示所要查詢的內容，因為我們是查詢 linux.vbird.tsai 所以這裡自然就是顯示這個訊息。
* ANSWER(回應)：依據剛剛的 QUESTION 去查詢所得到的結果，因為在我們的設定當中僅有設定了 A 的標籤，所以這裡自然就….
* AUTHORITY(驗證)：由這裡我們可以查閱 vbird.tsai 這個領域是由 linux.vbird.tsai 及 slave.vbird.tsai 來設定的～裡面那個 600 是什麼呢？很簡單，他就是我們所設定的 ttl 那個數值啦！

範例二：查詢 vbird.tsai 這個領域的 MX 吧！
[root@linux ~]# dig @192.168.1.254 vbird.tsai mx
; <<>> DiG 9.2.4 <<>> @192.168.1.254 vbird.tsai mx
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3390
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;vbird.tsai. IN MX <==瞧！要求的資料不一樣了喔！

;; ANSWER SECTION:
vbird.tsai. 600 IN MX 10 linux.vbird.tsai.

;; AUTHORITY SECTION:
vbird.tsai. 600 IN NS slave.vbird.tsai.
vbird.tsai. 600 IN NS linux.vbird.tsai.

;; ADDITIONAL SECTION:
linux.vbird.tsai. 600 IN A 192.168.1.254
slave.vbird.tsai. 600 IN A 192.168.1.150

;; Query time: 4 msec
;; SERVER: 192.168.1.254#53(192.168.1.254)
;; WHEN: Thu Oct 19 15:45:58 2006
;; MSG SIZE rcvd: 116

由於 dig 的輸出資訊實在是太豐富了，又分成多個部分去進行回報，因此很適合作為 DNS 追蹤回報的一個指令呢！你可以透過這個指令來瞭解一下你所設定的 DNS 資料庫是否正確，並進行除錯。

資料來源:鳥哥

在bind9上做view功能

Mon, 02 Apr 2007 17:55:06 +0000

是一個dns，但是是同一個域，之所以這個dns即對內有對外，是因為它的服務地址確實是內網的ip，但通過NAT後對外服務，這時候又有一台主機，也是即對外又對內，系統是內部ip,也通過NAT對外服務，這時候，這個DNS就有我上述的需求了！希望給外網的客戶端返回外網ip,而對內網用戶則返回內部ip!我現在也不清楚dns能否實現這個功能，即使不能，其它的能否實現，如通過防火牆等!

在bind9上可以做出你要的功能，在bind8上就只能用兩台DNS來做。

用 bind 9.xx 的 view 功能可以實現 dns 對不同網段返回不同的地址

named.conf 有以下內容：

view "internal" {
// This should match our internal networks.
match-clients { 10.0.0.0/8; };
// Provide recursive service to internal clients only.
recursion yes;
zone "." {
type hint;
file "/etc/namedb/named.root";
};
zone "0.0.127.IN-ADDR.ARPA" {
type master;
file "/etc/namedb/localhost.rev";
};
// Provide a complete view of the mydomain.com zone
// including addresses of internal hosts.
zone "mydomain.com" {
type master;
file "/etc/namedb/zone.mydomain.com.internal";
};
};

view "external" {
match-clients { any; };
// Refuse recursive service to external clients.
recursion no;
// Provide a restricted view of the mydomain.com zone
// containing only publicly accessible hosts.
zone "mydomain.com" {
type master;
file "/etc/namedb/zone.mydomain.com.external";
};
};

DNS 又一解決方案：izidns = bind + PowerAdmin

Mon, 02 Apr 2007 17:54:31 +0000

DNS 又一解決方案：izidns = bind + PowerAdmin

〔關鍵詞〕

isidns bind PowerAdmin pdns easydns

〔概要〕

　　曾經使用過 pdns ，它的前台界面 PowerAdmin 管理界面非常好用，一經使用就不再想用別的。

　　但如果說使用 DNS，絕大多數人還是更喜歡使用 bind 而不是別的。

　　於是有人就想（比如我），PowerAdmin 管理界面要是能支持 bind 該多好呀！！！

　　本想自己摸索摸索，但在 sourceforge 一找，不必了，因為有德國朋友早已經為我們做了一個 PowerAdmin 到 bind 9 的一個嫁接，令 bind9 + PowerAdmin 管理環境的搭建變得非常容易。它名字也很直觀，叫作 izidns，估計讀音類似於英語中的 easydns 吧。

一個典型的dns配置方案

Mon, 02 Apr 2007 17:21:26 +0000

options {
directory "/var/named";
};

controls {
inet 127.0.0.1 allow { localhost; } keys { rndckey; };
};
zone "." IN {
type hint;
file "named.ca";
};

zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};

zone "0.0.127.in-addr.arpa" IN {
type master;
file "named.local";
allow-update { none; };
};

以上是系統默認的本地配置，不需要修改。以下為你適合本機的配置，我已經寫出來了。
zone "0.168.192.in-addr.arpa" IN {
type master; // 角色為主域名服務器
file "named.dns.com";　　　　//存放反向解析的配置文件名
allow-update {none;};　　　　
};　

zone "dns.com" IN {
type master; // 如上
file "dns.com.zone"; //　如上，注意文件名的變化和後面的符號
allow-update { none; };
};

#include "/etc/rndc.key";
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
下面我們去 /var/named目錄下完成對　named.dns.com and dns.com.zone的配置
The content of named.dns.com
$TTL 86400 // refresh time always is one day
@ IN SOA localhost. root.dns.com. (
1997022700 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
IN NS www.dns.com. === defalut is www.dns.com
3 IN PTR mail.dns.com. === add mail.dns.conm
3 IN PTR www.dns.com. ===以下類同.....看清楚符號
3 IN PTR ftp.dns.com.

$TTL 86400
$ORIGIN dns.com.
@ 1D IN SOA @ root (
42 ; serial (d. adams)
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum

1D IN NS @

www 1D IN A 192.168.0.3
mail 1D IN A 192.168.0.3
ftp 1D IN A 192.168.0.3
@ 1D IN A 192.168.0.3 === add default

DNS服務器的配置

Mon, 02 Apr 2007 17:16:13 +0000

DNS服務器的配置

1、安裝bind相關文件及caching-nameserver文件。如果不安裝caching-nameserver文件，則DNS服務的相關配置文件不存在。

2、修改DNS主配置文件/etc/named.conf，添加以下內容：
1）在options內加入forwarders{        //指明備用DNS服務器，即該DNS服務器
                202.204.112.66;       //不能處理的域名則交給以下DNS服務。
                202.204.112.67;
        };
如果DNS服務器開啟了防火牆，則應該將// query-source address * port 53;的//去除。

2）zone "linux.com" IN {         //指明DNS服務器配置的域為linux.com
        type master;                 //該主機為主DNS服務器
        file "named.test20.linux.com";   //相應的正向解析文件
        allow-update { none; };
};

3）zone "118.204.202.in-addr.arpa" IN {     指定202.204.118網段計算機的逆向域文件
        type master;
        file "named.test20.linux.com.rev";
        allow-update { none; };
};

3、編輯正向解析文件(vi /var/named/ named.test20.linux.com)
    @        IN      SOA     test20         root.test20.linux.com. (
                2005060600;serial
                28800;refresh
                7200;retry
                604800;expire
                86400;ttl
                )
        IN      NS      test20    //說明該DNS服務器的主機名為test20
              MX      10      mail.linux.com. //指明郵件服務器

test20 IN      A       202.204.118.20 //指明test20.linux.com的IP為202.204.118.20
ftp     IN      A       202.204.118.219 //指明ftp.linux.com的IP為202.204.118.219
www     IN      CNAME   ftp   //指明www.linux.com的IP地址和ftp.linux.com相同

第一行的test20為該DNS所在的主機名，最好與/etc/sysconfig/network文件中的HOSTNAME相同，如果該主機名是完整的域名，則必須以「.」結尾，否則在主機名後自動加上域，如這裡認為該主機的全域名為test20.linux.com。root.test20.linux.com.為管理員的EMAIL，等價於root@test20.linux.com.。@為設置本地計算機的引用。

4、編輯逆向解析文件（vi /var/named/named.test20.linux.com.rev）

@       IN      SOA     test20 root.test20.linux.com. (
                2005060600 ; serial
                28800 ;refresh
                7200 ;retry
                604800 ;expire
                86400 ;ttl
                )

@ IN NS test20.linux.com. //指明DNS服務器所在主機。

20      IN      PTR     test20.linux.com. //指明202.204.118.20為test20.linux.com.
20      IN      PTR     mail.linux.com.
219     IN      PTR     ftp.linux.com.   //指明202.204.118.219為ftp.linux.com.
219     IN      PTR     www.linux.com.

5、啟動named進程
使用命令：service named start/restart

6、設置DNS服務器為202.204.118.20（即DNS服務器所在主機的IP）並重啟網卡
如：修改/etc/resolv.conf文件；
重啟網卡：service network restart

7、使用nslookupa或ping檢查是否配置成功
    輸入命令nslookup mail.linux.com
Server:         202.204.118.20
Address:        202.204.118.20#53

Name:   mail.linux.com
Address: 202.204.118.20
    或輸入命令：nslookup 202.204.118.219
Server:         202.204.118.20
Address:        202.204.118.20#53

219.118.204.202.in-addr.arpa name = www.linux.com.
219.118.204.202.in-addr.arpa name = ftp.linux.com.
這就說明DNS服務器配置成功！！！！！！

BIND 9 的高級配置

Mon, 02 Apr 2007 17:10:59 +0000

本頁目錄
BIND 9 的高級配置
ACL
定義 ACL
使用 ACL
ACL 使用舉例
使用 View 分離內外服務器配置
關於分離內外服務器配置
View 語句
BIND 9 日誌
BIND 日誌的常用術語
logging 語句的語法
在 chroot jail 環境下運行 BIND 9
停止 bind 服務器的運行
創建 chroot jail 環境
修改 BIND 的默認啟動參數
添加 BIND 系統日誌路徑
重新啟動 bind9 和 sysklogdTags: ubuntu, dapper, netappsrv, bind, acl, view, logging, chroot

« sitemap
« dapper « netappsrv

BIND 9 的高級配置
內容提要

定義和使用訪問控制列表
使用 View 配置分離的內外服務器
BIND 9 的日誌配置
在 chroot jail 環境下運行 BIND 9
ACL
訪問控制列表（ACL）就是一個被命名的地址匹配列表。使用訪問控制列表可以使配置簡單而清晰，一次定義之後可以在多處使用，不會使配置文件因為大量的 IP 地址而變得混亂。

定義 ACL
要定義訪問控制列表，可以在 BIND 的主配置文件 /etc/bind/named.conf 中使用 acl 語句來實現。acl 語句的語法為：

acl acl_name {
address_match_list;
};
BIND 裡默認預定義了 4 個名稱的地址匹配列表，他們可以直接使用，分別為：

any : 所有主機
localhost : 本機
localnets : 本地網絡上的所有主機
none : 不匹配任何主機

acl 是 named.conf 中的頂級語句，不能將其嵌入其他的語句。
要使用用戶自己定義的訪問控制列表，必須在使用之前定義。因為可以在 options 語句裡使用訪問控制列表，所以定義訪問控制列表的 acl 語句應該位於 options 語句之前。
為了便於維護管理員定義的訪問控制列表，可以將所有定義 acl 的語句存放在單獨的文件 /etc/bind/named.conf.acls 中，然後在主配置文件 /etc/bind/named.conf 中如下語句

include "/etc/bind/named.conf.options";
之前添加如下的配置行

include "/etc/bind/named.conf.acls";

使用 ACL
定義了 ACL 之後，可以在如下的子句中使用

子句語句說明
allow-query options,zone 指定哪主機或網絡可以查詢本服務器或區，默認的是允許所有主機進行查詢。
allow-transfer options,zone 指定哪些主機允許和本地服務器進行域傳輸，默認值是允許和所有主機進行域傳輸。
allow-recursion options 指定哪些主機可以進行遞歸查詢。如果沒有設定，缺省是允許所有主機進行遞歸查詢的。注意禁止一台主機的遞歸查詢，並不能阻止這台主機查詢已經存在於服務器緩存中的數據。
allow-update zone 指定哪些主機允許為主域名服務器提交動態 DNS 更新。默認為拒絕任何主機進行更新。
blackhole options 指定不接收來自哪些主機的查詢請求和地址解析。默認值是 none 。

上面列出的一些配置子句既可以出現在全局配置 options 語句裡，又可以出現在 zone 聲明語句裡，當在兩處同時出現時，zone 聲明語句中的配置將會覆蓋全局配置 options 語句中的配置。
ACL 使用舉例
限制查詢
假如要限制只有 202.0.0.0/8 和 221.0.0.0/8 查詢本地服務器的所有區信息，可以在 options 語句裡使用如下的 allow-query 子句

options {
......
allow-query { 202.0.0.0/8; 221.0.0.0/8; };
......
};
上面的配置沒有使用 ACL，若使用 acl，需要以下的配置步驟：

S1 在 /etc/bind/named.conf.acls 中添加如下的 acl 語句，對允許查詢的主機列表命名

acl aqlist {
202.0.0.0/8;
221.0.0.0/8;
};
S2 在 /etc/bind/named.conf.options 中使用定義的 acl_name 限制允許查詢的主機列表

options {
......
allow-query { aqlist; };
......
};
限制區傳輸
假如要限制只有 221.3.131.5 和 221.3.131.6 可以從本地服務器傳輸「example.com」的區信息，可以在 zone 語句裡使用如下的 allow-transfer 子句

zone "example.com" {
   type master;
   file "example.com.hosts";
   allow-transfer { 221.3.131.5; 221.3.131.6; };
};
上面的配置沒有使用 ACL，若使用 acl，需要以下的配置步驟：

S1 在 /etc/bind/named.conf.acls 中添加如下的 acl 語句，對允許查詢的主機列表命名

acl atlist {
221.3.131.5;
221.3.131.6;
};
S2 在 /etc/bind/named.conf.local 中使用定義的 acl_name 限制允許進行域傳輸的主機列表

zone "example.com" {
   type master;
   file "example.com.hosts";
   allow-transfer { atlist; };
};
防止欺騙和拒絕服務攻擊
為了防止欺騙和拒絕服務攻擊，對於 Internet 上的每個 DNS 服務器至少應該有一個假地址的 ACL 和一個本地地址的 ACL。為此，需要執行如下的步驟

S1 在 /etc/bind/named.conf.acls 中添加如下的 acl 語句

// 創建一個名稱為 "bogusnets" 的 ACL 來阻止經常用於欺騙性攻擊的（RFC1918）地址空間

acl bogusnets {
    0.0.0.0/8;
    1.0.0.0/8;
    2.0.0.0/8;
    169.254.0.0/16;
    192.0.2.0/24;
    224.0.0.0/3;
    10.0.0.0/8;
    172.16.0.0/12;
    192.168.0.0/16;
};

//創建一個名稱為 "our-nets" 的 ACL，並將其配置為實際本網的 IP 地址段。

acl our-nets {    //用您的網絡地址替換下面的地址列表
    x.x.x.x/24;
    x.x.x.x/21;
};
S2 在 /etc/bind/named.conf.options 中使用定義的 acl_name 限制查詢和響應

options {
......
allow-query { our-nets; };
allow-recursion { our-nets; };
blackhole { bogusnets; };
......
};
使用 View 分離內外服務器配置
關於分離內外服務器配置
許多站點希望 DNS 對於內網訪問和外網（Internet）訪問看起來不一樣，這種類型的配置稱為「分離 DNS （Split DNS）」。

這種配置可以用於如下的情況：

對內網用戶公開整個區的所有主機；對 Internet 用戶只公開幾台主機，如 www 服務器等
對內外用戶指定不同的 RR，或對內網用戶提供更多的 RR
可以在內網使用 RFC 1918 中定義的私有地址
View 語句
在 BIND 9 中可以使用 view 語句進行配置分離 DNS 。 view 語句的語法為

view view_name {
     match-clients { address_match_list };
     [ view_option; ...]
     zone_statement; ...
};
其中：

match-clients 子句非常重要，它用於指定誰能看到本 view。
可以在 view 語句中使用一些選項，詳細信息請參考 named.conf 的手冊頁
zone_statement 子句指定在當前 view 中可見的區聲明

如果在配置文件中使用了 view 語句，則所有的 zone 語句都必須在 view 中出現。
對同一個 zone 而言，配置內網的 view 應該置於外網的 view 之前。

下面是一個使用 view 語句的例子，它摘自 BIND9 的文檔。

view "internal" {
   match-clients { our-nets; };            // 匹配內網客戶的訪問
   recursion yes;                          // 對內網客戶允許執行遞歸查詢
   zone "example.com" {                    // 定義內網客戶可見的區聲明
      type master;
      file "example.com.hosts.internal";
   };
};

view "external" {
   match-clients { any; };                 // 匹配 Internet 客戶的訪問
   recursion no;                           // 對 Internet 客戶不允許執行遞歸查詢
   zone "example.com" {                    // 定義 Internet 客戶可見的區聲明
      type master;
      file "example.com.hosts.external";
   };
};
接下來，需要在 example.com.hosts.internal 中創建內網客戶可見的區文件，並在 example.com.hosts.external 中創建 Internet 客戶可見的區文件。可以根據您的實際情況編寫這兩個文件，此處從略。

BIND 9 日誌
在默認情況下，BIND9 把日誌消息寫到 /var/log/messages 文件中，而這些日誌消息是非常少的，主要就是啟動，關閉的日誌記錄和一些嚴重錯誤的消息；而將調試日誌信息寫入 BIND 服務器工作目錄中的 named.run 文件。

BIND 9 的日誌是可以靈活配置的，要詳細記錄服務器的運行狀況，要在配置文件 named.conf 中使用 logging 語句來定制自己所需要的日誌記錄。

BIND 日誌的常用術語
在講述 logging 語句的語法之前，先要熟悉一些常用術語

術語含義
channel（通道）日誌輸出方式，如：syslog、文本文件、標準錯誤輸出或 /dev/null
category（類別）日誌的消息類別，如：查詢消息或動態更新消息等
module（模塊）產生消息的來源模塊名稱
facility（設備） syslog 設備名
severity（嚴重性）消息的嚴重性等級

logging 語句的語法
logging 語句的語法為：

logging {
    channel channel_name {                // 定義通道
        file log_file [versions number | unlimited] [size sizespec]; | syslog optional_facility; | null; | stderr;
        // 定義輸出方式
        severity log_severity;           // 定義消息嚴重性
        [print-time boolean;]            // 是否在消息中添加時間前綴，僅用於 file 日誌
        [print-severity boolean;]        // 是否在消息中添加消息嚴重性前綴
        [print-category boolean;]        // 是否在消息中添加消息類別名前綴
   };
   category category_name {              // 定義類別
        channel_name;
        ......
   };
};
配置日誌時，首先要定義通道，然後將不同的日誌類別的數據指派到指定的通道上輸出。

BIND 9 的默認配置是：

logging {
// 由於使用了默認通道，所以沒有通道定義部分
category "default" { "default_syslog"; "default_debug"; };
};
channel 語句
channel 語句用於定義通道。

指定應該向哪裡發送日誌數據，需要在以下四種之間則其一：
file : 輸出到純文本文件
log_file 指定一個文件名
version 指定允許同時存在多少個版本的該文件，比如指定 3 個版本（version 3），就會保存 query.log、query.log0、query.log1 和query.log2。
size 指定文件大小的上限，如果只設定了size 而沒有設定 version，當文件達到指定的文件大小上限時，服務器停止寫入該文件。如果設定了version，服務器會進行循環，如把 log_file 變成 log_file.log1，log_file.log1 變成 log_file.log2 等，然後建立一個新的 log_file.log 進行寫入。
syslog optional_facility ：輸出到 syslog，其中 optional_facility 是 syslog 的設備名，通常為以下幾個
daemon
local0 到 local7
null ：輸出到空設備
stderr ：輸出到標準錯誤輸出，默認為屏幕
severity 語句用於指定消息的嚴重性等級， log_severity 的取值為（按照嚴重性遞減的順序）：
critical
error
warning
notice
info
debug [ level ]
dynamic 是一個特殊的值，它匹配服務器當前的調試級別

定義了某個嚴重性級別後，系統會記錄包括該級別以及比該級別更嚴重的級別的所有消息。比如定義級別為 error，則會記錄 critical 和error 兩個級別的信息。
對於系統管理員來說，一般記錄到 info 級別就可以了。

BIND 9 預制了如下四個默認通道；

channel "default_syslog" {
syslog daemon;     // 發送給 syslog 的 daemon 設備
severity info;     // 只發送此 info 及其更高優先級的信息
};

channel "default_debug" { // 只有當服務器的 debug 級別非 0 時，才產生輸出。
file "named.run"; // 寫入工作目錄下的 named.run 文件
severity dynamic; // 按照服務器當前的debug 級別記錄日誌
};

channel "default_stderr" {
stderr; // 寫到stderr
severity info; // 只發送此 info 及其更高優先級的信息

};

channel "null" {
null; // 丟棄所有發到此通道的信息
};
category 語句
category 語句是指定哪一種類別的信息使用哪個或者哪幾個已經定義了的通道輸出。

BIND 9 中可用的類別名（category_name）有：

類別說明
client 處理客戶端請求。
config 配置文件分析和處理。
database 同BIND內部數據庫相關的消息，用來存儲區數據和緩存記錄。
default 匹配所有未明確指定通道的類別。
dnssec 處理 DNSSEC 簽名的響應。
general 包括所有未明確分類的 BIND 消息。
lame-servers 發現錯誤授權，即殘缺服務器。
network 網絡操作。
notify 區更新通知消息。
queries 查詢日誌
resolver 名字解析，包括對來自解析器的遞歸查詢信息。
security 批准/非批准的請求。
update 動態更新事件。
xfer-in 從遠程名字服務器到本地名字服務器的區傳送。
xfer-out 從本地名字服務器到遠程名字服務器的區傳送。

例如要記錄查詢消息，可以在 named.conf 中添加如下配置：

logging {
    channel query_log {
        file "query.log" versions 3 size 20m;
        severity info;
        print-time yes;
        print-category yes;
    };
    category queries {
        query_log;
    };
};
這樣服務器會在工作目錄（directory 語句所指定的目錄，Ubuntu 為：/var/cache/bind）下創建 query.log 文件，並把運行過程產生的 queries 消息寫如到此文件中。

一般地，當 BIND 做了重大修改後，應該配置並監視日誌，可能還要提高日誌消息級別，一旦穩定後便可以還原配置。因為日誌會佔用大量的磁盤空間，尤其是查詢日誌。
在 chroot jail 環境下運行 BIND 9
基於安全的考慮，應該在 chroot jail 環境下運行 BIND 9 。下面講述將 BIND 9 運行在 /chroot/named jail 環境中的配置步驟。

停止 bind 服務器的運行
sudo /etc/init.d/bind9 stop創建 chroot jail 環境
創建 chroot 目錄
sudo mkdir -p /chroot/named
sudo chmod -R 700 /chroot
sudo mkdir /chroot/named/etc
sudo mkdir /chroot/named/dev
sudo mkdir -p /chroot/named/var/cache/bind
sudo mkdir -p /chroot/named/var/run/bind/run
移動原始的 /etc/bind 目錄到 /chroot/named/etc
sudo mv /etc/bind /chroot/named/etc
sudo ln -s /chroot/named/etc/bind /etc/bind // 為原位置創建符號鏈接，以便將來更新
創建設備並修改權限
sudo mknod /chroot/named/dev/null c 1 3
sudo mknod /chroot/named/dev/random c 1 8
sudo chmod 666 /chroot/named/dev/null
sudo chmod 666 /chroot/named/dev/random
sudo chown -R bind:bind /chroot/named/var/*
sudo chown -R bind:bind /chroot/named/etc/bind
修改 BIND 的默認啟動參數
使用如下命令修改 /etc/default/bind9

sudo vi /etc/default/bind9將如下的行

OPTIONS="-u bind"改為

OPTIONS="-u bind -t /chroot/named"添加 BIND 系統日誌路徑
使用如下命令修改 /etc/init.d/sysklogd

sudo vi /etc/init.d/sysklogd將如下的行

SYSLOGD="-u syslog"改為

SYSLOGD="-u syslog -a /chroot/named/dev/log"重新啟動 bind9 和 sysklogd
sudo /etc/init.d/sysklogd restart
sudo /etc/init.d/bind9 start
進一步閱讀

全面提升BIND DNS服務器安全（上）
全面提升BIND DNS服務器安全（下）