BIND(Berkeley Internet Name Domain)是20世纪80年代由加州大学伯克利分校开发的开源DNS软件,广泛应用于基于UNIX的操作系统。BIND的主要功能是进行域名到IP地址的转换,也就是我们常说的域名解析,本期为大家分享最新的BIND配置与设置指南。
2025年最新BIND配置与设置指南
要配置BIND,首先需要登录到服务器。默认情况下,BIND仅会监听本地回环地址。如果希望BIND能够在所有IP地址上监听请求,我们可以修改其配置文件/etc/named.conf。
1. 修改BIND监听地址
使用您喜欢的文本编辑器(例如vi、nano等),找到并注释掉以下两行,以便让BIND监听所有IP地址上的53端口。
修改为:
这会使BIND监听服务器上的所有网络接口。
2. 配置允许查询的IP范围
接下来,您需要配置允许查询的IP范围。如果希望仅允许本地网络或特定IP范围的机器进行DNS查询,您可以在配置文件中添加如下行:
这表示只有localhost和192.168.32.0/24范围内的IP地址能够查询DNS。
如果希望任何人都可以查询DNS,可以将allow-query设置为any:
3. 配置区域传输(仅限从服务器)
如果您有配置从服务器并希望将区域数据传输到从服务器,可以添加以下行。请确保将SLAVE_SERVER_IP_HERE替换为从服务器的实际IP地址。
如果没有配置从服务器,或者不需要区域传输,可以跳过此步骤。
4. 禁用递归查询
为了确保您的服务器不会被用于执行反射型DDoS攻击,您应该关闭递归查询。打开/etc/named.conf文件,找到并设置:
这将禁用递归查询,只允许该服务器处理直接的DNS解析请求。
5. 重启BIND服务
配置完成后,保存文件并重启BIND服务以使更改生效:
或者使用旧版CentOS的命令:
BIND配置常见问题和注意事项
1. BIND为什么默认只监听127.0.0.1(本地回环地址)?
问题:
BIND默认只监听127.0.0.1地址,这意味着它只能接受本机的DNS查询请求。如果你希望其他设备也能使用这个DNS服务器,你需要修改配置文件让BIND监听所有网络接口。
解决方法:
如前所述,可以通过修改/etc/named.conf中的listen-on和listen-on-v6配置来允许服务器监听所有的IP地址。例如:
2. 如何避免不必要的DNS查询?
问题:
默认情况下,BIND会允许任何IP地址进行DNS查询,这虽然方便,但也可能成为潜在的安全隐患。例如,攻击者可能会利用你服务器的DNS服务发起反射式DDoS攻击。
解决方法:
为了提高安全性,建议限制允许查询的IP范围。可以通过以下方式,仅允许特定网络访问DNS服务:
如果你只希望特定的机器或内网使用你的DNS服务器,这种方法是最有效的。
3. BIND的递归查询应该如何配置?
问题:
递归查询(recursive query)功能允许BIND服务器帮助客户端查询不在本地DNS服务器上的域名。虽然递归查询在大多数情况下很有用,但它也可能被用来发动反射式DDoS攻击,尤其是当服务器对外开放时。
解决方法:
建议关闭递归查询,尤其是当服务器是对外公开时。通过在/etc/named.conf文件中加入以下配置,可以禁止递归查询:
如果你需要提供递归查询功能,可以根据实际需求在允许的IP范围内进行配置。
4. 如何配置区域传输(Zone Transfer)?
问题:
在BIND中,主服务器(Master)会将DNS区域(Zone)数据传输给从服务器(Slave)。如果配置不当,区域传输可能会成为攻击目标或泄露敏感信息。
解决方法:
为了确保安全,只有特定的从服务器能够进行区域传输。可以在/etc/named.conf中配置allow-transfer来限制区域传输:
如果不使用从服务器,建议删除或注释掉该行。
5. 如何设置BIND的访问控制列表(ACL)?
问题:
有时你可能需要精细化控制哪些IP地址可以访问DNS服务。这时可以使用BIND的访问控制列表(ACL)。
解决方法:
在BIND中,你可以定义ACL来限制哪些IP可以访问DNS服务器。例如:
然后,你可以在allow-query中引用这个ACL:
这样,只有在trusted ACL内的IP地址才能进行查询。
