//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
// See the BIND Administrator's Reference Manual (ARM) for details about the
// configuration located in /usr/share/doc/bind-{version}/Bv9ARM.html
options {
// 指定IPV4監聽的端口和IP,默認端口爲53,IP爲127.0.0.1
listen-on port 53 { 127.0.0.1; };
// 指定IPV6監聽的端口和IP
listen-on-v6 port 53 { ::1; };
// 指定named從/vat/named目錄下讀取DNS數據文件,這個目錄用戶可以自行指定並創建,指定後所有的DNS數據文件都存放在此目錄下
directory "/var/named";
// 用來設置域名緩存數據庫文件的位置,可以自己定義。默認保存在/var/named/data目錄下
dump-file "/var/named/data/cache_dump.db";
// 用來設置狀態統計文件的位置,可以自己定義。默認保存在/var/named/data目錄下
statistics-file "/var/named/data/named_stats.txt";
// 用來設置服務器輸出的內存使用統計信息。默認保存在/var/named/data目錄下,文件名爲named_mem_stats.txt。
memstatistics-file "/var/named/data/named_mem_stats.txt";
recursing-file "/var/named/data/named.recursing";
secroots-file "/var/named/data/named.secroots";
// 用來設置允許DNS查詢的客戶端地址,默認值爲localhost。這個值可以設置某個網段、任意地址、具體的某臺主機三種情況。例如,要修改爲任意地址,只須修改大括號 "{}"中的localhost爲any就可以了,"any"應該允許所有。如果允許192.168.172.136網段,那麼可以設置爲“192.168.172.136/24” ,對於其他情況依次類推。
allow-query { localhost; };
/*
- If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
- If you are building a RECURSIVE (caching) DNS server, you need to enable
recursion.
- If your recursive DNS server has a public IP address, you MUST enable access
control to limit queries to your legitimate users. Failing to do so will
cause your server to become part of large scale DNS amplification
attacks. Implementing BCP38 within your network would greatly
reduce such attack surface
*/
// 用來設置遞歸查詢。一般客戶機和服務器之間屬於遞歸查詢,即當客戶機向DNS服務器發起查詢請求後,若DNS服務器本身不斷解析 ,則會向另外的DNS服務器發出查詢請求,得到結果後轉交給客戶機。此選項有yes => 允許遞歸 和no => 不允許遞歸兩個值。默認=> 允許。
recursion yes;
// 用來設置是否啓用DNSSEC支持,DNSSEC可以用來驗證DNS數據的有效性,默認爲yes。
dnssec-enable yes;
// 用來設置是否啓用DNSSEC確定,默認爲yes
dnssec-validation yes;
/* Path to ISC DLV key */
// 用來設置內置信任的密鑰文件,默認值爲/etc/named.iscdlv.key。
bindkeys-file "/etc/named.root.key";
// 用來指定目錄文件存儲位置,跟蹤管理DNSSEC密鑰,默認情況下,存儲在/var/named/dynamic。
managed-keys-directory "/var/named/dynamic";
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};
// 定義bind服務的調試日誌信息。其中,channel用來定義日誌輸出方式,有syslog、文本文件、標準錯誤輸出或/dev/null多種方式;file表示輸出到純文本文件;severity表示消息的 嚴重性等級,有critical、error、warning、notice、info、debug[level]、dynamic多種級別可選,對於系統管理來說,一般設置爲info級別就可以了
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
// 定義一個正向域區,對應的域名分別爲ixdba.net,一個zone關鍵詞定義了一個域區。在這裏type類型有三種,分別是master(主域名服務器)、slave(輔助域名服務器)、hint(互聯網根域名服務器)。file用來存放DNS記錄的數據文件名稱。對於這裏指定的文件,默認 路徑爲/var/named。也就是說,ixdba.net這個數據文件要存放在/var/named目錄下。allow-update定義是否允許客戶主機或服務器自行更新DNS記錄,上面指定的 這個正向區域不允許更新DNS記錄。
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
