您现在的位置：首页 > 实用文 > 其他范文

DNS的一个配置例子Unix系统

时间：2023-09-02 08:02:41 其他范文收藏本文下载本文

以下是小编精心整理的DNS的一个配置例子Unix系统，本文共6篇，希望对大家有所帮助。

DNS的一个配置例子Unix系统

篇1：DNS的一个配置例子Unix系统

DNS的一个配置例子，正式俺需要的，先记录下地址，稍后再慢慢研究，

blog.chinaunix.net/article.php?articleId=46605&blogId=9575

原文转自：www.ltesting.net

篇2：一个VLAN配置的实际例子

背景很简单，和一般的eth-switch通过VLAN做成路由的方式一样，

首先看一种硬件效率较高的方法：

Port1~4作为access口，同时在硬件上作为用户模式，即从PC发往这些端口的数据包，是不带VLAN-tag的，SW硬件接收到后，会根据内部的vlan配置，若目的是同一个vlan的其他PC，则直接转发；若要发往CPU，则硬件自动为它们打上tag，然后交由Kernel的vlan设备。同样，由Kernel下发的数据包是带tag的（因为是由vlan设备发出的），最后硬件根据tag找到对应的port后，剥去tag，发往PC。

Port5作为trunk口，同时在硬件上作为传输模式，（作为WAN口）即外部PC发给它的包是要带tag的（会有多种tag），然后硬件查看是否是发往同一个vlan的其它port的，是则直接转发，否则，直接传输给CPU的Kernel的vlan设备。Kernel下发的带tag的数据包，也直接发往PC，

这里的PC一般是外部的ISP，它们对哪些应用（如PPP、TR069等）用什么VID有自己的要求，当然也能识别各种vlan-tag。

这种方法的一个缺点是，WAN口（port5）的vid不能和LAN口重合，即LAN口用了哪些vid，WAN口就不能再用了，这对ISP来说是不利的。

下面看另一种方法：

LAN口的方式不变，WAN口（port5）不再作为trunk口，而是和LAN口一样，作为access口，且硬件上采用用户模式。

不同的是，它在Kernel采用两层vlan的方式。这就允许ISP发给SW的数据包可以自由带仍和vid的tag，SW硬件上会自动给数据包加上vid5（该port在SW内的vlan标示）的tag，然后交给Kernel，Kernel中的eth2.5首先剥掉vid5-tag，再根据二层vid交给相应的二层vlan设备来处理。

这样做的优点就是ISP的vid不再有限制。

但缺点也很明显，首先效率降低，因为大部分工作要通过Kernel软件来完成；其次，WAN作为access口，不可能再和LAN口直接交换。

篇3：常见设备和系统上配置DNS的方法

1. 通过宽带路由器上网的用户

如果电脑通过宽带路由器并使用DHCP方式获取DNS和IP地址的情况时：

1）如果宽带路由器是通过PPPOE拨号方式或DHCP方式自动获取IP地址，宽带路由器则可以自动获取电信预配置的主备DNS，

2）如果宽带路由器是直接配置电信分配的静态IP地址，可以参照配置手册在相应的配置页面上人工配置主备DNS服务器，用于DHCP获取地址时同时下发DNS配置。

3）电脑上配置成自动获取IP地址和自动获取DNS服务器地址，具体配置为：打开“控制面板”中的“ 网络连接”，选择在用的网卡。

如上图选择网卡的属性，进入配置页面。在“常规”子页上选择“Internet协议（TCP/IP）”，进入“Internet协议配置属性”页面，选择“自动获取IP地址”和“自动获得DNS服务器地址”。

2. Windows平台配置DNS

1）打开控制面板中的网络连接（或者网络邻居的属性）：

2）选择当前使用的网络接口，并双击：

3）点击“属性”，并选择“Internet协议（TCP/IP），

然后点击“属性”，进入Internet协议（TCP/IP）属性页面，选取“使用下面的DNS服务器地址（E）”，在相应的位置填写DNS的IP地址。

4）点击“确认”保存配置信息。---www.bianceng.cn

5）检查机器当前的DNS配置是否正确，可以在DOS界面下使用ipconfig –all 命令查看。

3. 用户使用WLAN 方式上网时配置DNS

用户应将自己无线网卡的地址获取方式设置为自动获得的方式。具体方法为：右键点击“无线网络连接”图标，选择“属性”。从弹出的对话框中选择“Internet协议（TCP/IP）”，点击属性后，选择“自动获取IP地址”和“自动获得DNS服务器地址”。（具体方法如上）

第一步：

第二步：

篇4：一个的防火墙配置Windows系统

1. 配置/etc/sysconfig .net work-scripts/ifcfg-eth0 和 ifcfg-eth1, 一般地，eth0为防火墙的外部接口网卡，eth1为内部的网卡接口，设置默认网关为连接防火墙的路由器的以太网口地址，若你原先设过默认网关，你也可以在/etc/rc.d/rc.local中手动设置,使得启

1. 配置/etc/sysconfig.network-scripts/ifcfg-eth0 和 ifcfg-eth1,

一般地，eth0为防火墙的外部接口网卡，eth1为内部的网卡接口，设置默认网关为连接防火墙的路由器的以太网口地址，若你原先设过默认网关，你也可以在/etc/rc.d/rc.local中手动设置,使得启动后自动执行更改操作，如你的外部接口网卡的永久IP地址为a.b.c.d, 原先设的默认网关为192.168.11.1，

下面是我的/etc/rc.d/rc.local文件:

echo 1 〉 /proc/sys/net/ipv4/ip_forward

/sbin/route del default gw 192.168.11.1

/sbin/route add default gw a.b.c.d

/sbin/modprobe ip_masq_ftp

/sbin/modprobe ip_masq_irc

/sbin/modprobe ip_masq_raudio

/sbin/modprobe ip_masq_vdolive

/etc/rc.d/firewall.rules

2. 安装系统时，选择尽可能少的包（安装越少的包越安全），完成后，配置/etc/inetd.conf，仅仅启用FTP和Telnet服务，便于内部维护，但同时配置/etc/hosts.allow,/etc/hosts.deny，仅允许从内部网卡的几台指定机器使用telnet/ftp服务,且加ALL:ALL 到/etc/hosts.deny，禁止所有的其它服务。

3.创建尽可能少的必需的帐号，启用shadow password,使获得根口令更加困难；并从updates.redhat.com 站点升级内核，且修补所有有安全漏洞的包。

4.下面是我的/etc/rc.d/firewall.rules (需要有执行权限）

[root@sh-proxy network-scripts]# more /etc/rc.d/firewall.rules

#!/bin/sh

echo “Starting firewall rules...”

#清除先前的所有防火墙规则

# refresh all firewall rules

/sbin/ipfwadm -F -f

/sbin/ipfwadm -I -f

/sbin/ipfwadm -O -f

#默认拒绝所有的进入（I），外出（O）和转发（F）包

# setup default firewall rules

/sbin/ipfwadm -F -p deny

/sbin/ipfwadm -I -p deny

/sbin/ipfwadm -O -p deny

#设定防火墙外部网卡接口的永久IP地址

ISP_IP=a.b.c.d

#接受所有在本地环路接口上的进出包

# setup Loopback interface

/sbin/ipfwadm -I -a aclearcase/“ target=”_blank“ >ccept -W lo

/sbin/ipfwadm -O -a accept -W lo

#允许内部网段所有用户随意进出防火墙的内部网卡接口

# allow all internal traffic

/sbin/ipfwadm -I -a accept -W eth1 -S 192.168.11.0/24

/sbin/ipfwadm -O -a accept -W eth1 -D 192.168.11.0/24

# 阻止任何的IP包欺骗，看下面的各个规则

# disabling IP spoof

#阻止任何C类保留地址从防火墙外部接口进出

/sbin/ipfwadm -I -a deny -W eth0 -S 192.168.0.0/16

/sbin/ipfwadm -O -a deny -W eth0 -D 192.168.0.0/16

#阻止任何进出防火墙外部接口的包宣称是来自它本身

/sbin/ipfwadm -I -a deny -W eth0 -S $ISP_IP/32

/sbin/ipfwadm -O -a deny -W eth0 -D $ISP_IP/32

#阻止任何外部世界直接与防火墙内部网段直接通讯

/sbin/ipfwadm -I -a deny -W eth0 -D 192.168.0.0/16

/sbin/ipfwadm -O -a deny -W eth0 -S 192.168.0.0/16

#阻止任何包宣称是或来自本地环路接口

#refuse packets claiming to be to or from the loopback interface

/sbin/ipfwadm -I -a deny -W eth0 -S 127.0.0.0/8

/sbin/ipfwadm -I -a deny -W eth0 -D 127.0.0.0/8

/sbin/ipfwadm -O -a deny -W eth0 -S 127.0.0.0/8

/sbin/ipfwadm -O -a deny -W eth0 -D 127.0.0.0/8

#禁止任何来自外部的广播包，不论是去往哪里

#refuse broadcast address source packets

/sbin/ipfwadm -I -a deny -W eth0 -S 255.255.255.255

/sbin/ipfwadm -I -a deny -W eth0 -D 0.0.0.0

#refuse multicast/anycast/broadcast address

/sbin/ipfwadm -I -a deny -W eth0 -S 240.0.0.0/3

#转发在内部网段内的经过防火墙内部接口的包

#forwarding all internal traffic

/sbin/ipfwadm -F -a accept -W eth1 -S 192.168.11.0/24 -D 192.168.11.0/24

#设置IP伪装规则，允许部分机器经过防火墙时进行伪装

#setup IP Masquerading rules

/sbin/ipfwadm -F -a accept -m -W eth0 -S 192.168.11.11/32

/sbin/ipfwadm -F -a accept -m -W eth0 -S 192.168.11.12/32

/sbin/ipfwadm -F -a accept -m -W eth0 -S 192.168.11.13/32

#阻止以ICMP协议从外部世界进行攻击

#prevent denial of service attacks based on ICMP bombs

/sbin/ipfwadm -I -a accept -P icmp -W eth0 -S any/0 0 3 4 11 12 -D $ISP_IP/32

/sbin/ipfwadm -O -a accept -P icmp -W eth0 -S $ISP_IP/32 3 4 8 12 -D 0.0.0.0/0

#允许内部用户通过防火墙访问外部HTTP服务器

#http client (80)

/sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 80 -D $ISP_IP/32 1024:6553

#允许内部用户通过防火墙防问外部HTTPS服务器

#https client (443)

/sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 443 -D $ISP_IP/32 1024:655

#允许内部用户通过防火墙从外部POP3服务器收信

#pop3 client (110)

/sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 110 -D $ISP_IP/32 1024:655

#允许内部用户通过防火墙防问外部FTP服务器

#ftp client (20 , 21)

#response to ougoing request

/sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 21 -D $ISP_IP/32 1024:6553

#normal mode data channel

/sbin/ipfwadm -I -a accept -P tcp -W eth0 -S any/0 20 -D $ISP_IP/32 1024:65535

#passive mode data channel responses

/sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 1024:65535 -D $ISP_IP/32 1

024:65535

#允许内部用户通过防火墙向外部SMTP服务器发信

#smtp client (25)

/sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 25 -D $ISP_IP/

32 1024:65535

#允许内部用户把DNS设成外部互联网上的DNS服务器

#DNS client (53)

/sbin/ipfwadm -I -a accept -P udp -W eth0 -S 202.96.199.133/32 53 -D $ISP_IP/32

1024:65535

/sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S 202.96.199.133/32 53 -D $ISP_IP/

32 1024:65535

#允许内部用户能访问互联网上的聊天室

#IRC client (6667)

/sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 6667 -D $ISP_IP/32 1024:65

535

#允许内部用户能使用Realplay

#RealAudio client

#/sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 1024:65535 -D $ISP_IP/32

554 7070 7071

#udp is the preferred method

#/sbin/ipfwadm -I -a accept -P udp -W eth0 -S any/0 1024:65535 -D $ISP_IP/32 697

0:7170

#允许防火墙运行xntpd与互联网上的时钟进行时钟同步

#NTP time clients (123)

/sbin/ipfwadm -I -a accept -P udp -W eth0 -S tock.usno.navy.mil 123 -D $ISP_IP/3

2 1024:65535

#允许内部用户可使用ICQ

#ICQ client (4000)

/sbin/ipfwadm -I -a accept -P udp -b -W eth0 -S icq.mirabilis.com 4000 -D $ISP_I

P/32 1024:65535

/sbin/ipfwadm -I -a accept -P tcp -W eth0 -S icq.mirabilis.com 4000 -D $ISP_IP/3

2 1024:65535

#允许所有的包能从防火墙外部接口输出

# allow all packets from external interface to output to outside world

/sbin/ipfwadm -O -a accept -W eth0 -S $ISP_IP/32

echo ”Done“

注：

1. 在ICQ的使用过程中，我发现我可能一天中要运行多次ICQ规则才能确保内部网中用户可每时每刻连到ICQ服务器，因此我建了一个crontab 工作象下面：

[root@sh-proxy rc.d]# crontab -e

15 7,8,15,16,20,22 * * * /usr/bin/icq

0 10 * * 1,2,3,4,5 /etc/rc.d/init.d/xntpd restart

0,20,40 * * * * /bin/sync

[root@sh-proxy rc.d]# more /usr/bin/icq

#!/bin/sh

ISP_IP=a.b.c.d

/sbin/ipfwadm -I -a accept -P udp -b -W eth0 -S icq.mirabilis.com

4000 -D $ISP_IP/32 1024:65535

/sbin/ipfwadm -I -a accept -P tcp -b -W eth0 -S icq.mirabilis.com

4000 -D $ISP_IP/32 1024:65535

2.本文的重点在于如何访止来自从互联网对防火墙的攻击，不能很好有效地防止来自内部网络中用户的攻击，如需要设置，可根据自己的公司环境设置，

3.本文设定防火墙所采用的工具为ipfwadm，对于Redhat 6.0或任何2.2内核的用户，请使用ipchains。

4.本文允许了许多服务，象Realplay,NTP,ICQ,SMTP,POP3,当然服务越多，安全性越差，可根据需要裁减。

大家都很熟悉，但是有些特殊情况下，你可能需要让一台Linux机器也做为pop3代理服务器，代理客户端从互联网上接收邮件，并传送邮件给客户工作站。

作用：也许这种服务对于专线连到ISP的用户更适合，在有的公司的内部网中，你需要从外部世界收信，可能你不能直接与外部世界通信，但你能很容易地访问到你的防火墙机器，这时，在防火墙机器上安装pop3代理就起到了一种不可替代的作用。

软硬件环境： Redhat Linux 5.2，TIS通用防火墙代理服务程序plug-gw (本地下载），实现方法：

1. 安装pop3代理非常简单，你仅需要下载上面提到的一个很小的程序plug-gw即可，请下载后放入/usr/local/etc目录下(需要执行权限）

2. 这里假设你需要代理互联网上两个邮件服务器，一个是public.sta.net.cn,另一个是pop3.163.net，（若你设置了防火墙相关规则，请确保其外部接口至少能与上面提到的两个邮件服务器通信，可参见另一篇关于防火墙的文章）

3. 在/usr/local/etc目录下创建存取表文件netperm-table,象下面这样：

[root@sh-proxy etc]# more netperm-table

plug-gw: port 110 192.168.13.* -plug-to public.sta.net.cn -port 110

plug-gw: port 114 192.168.13.21 -plug-to pop3.163.net -port 110

[root@sh-proxy etc]# ls -l

total 24

-rwxrwxr-x 1 root root 314 Sep 14 17:58 netperm-table

-r-xr-xr-x 1 root root 22489 Dec 31 plug-gw

注：第一行允许192.168.13.0网段上任何机器可使用该代理服务器接收public.sta.net.cn上的邮件。

第二行仅允许一台机器 192.168.13.21可使用该代理服务器接收

pop3.163.net上的邮件。

4. 修改/etc/services，加下面的一行：

pop3proxy 114/tcp

5. 在命令行下运行两句程序，也可加入到/etc/rc.d/rc.local的最后，使得每次启动时装载:

# /usr/local/etc/plug-gw -daemon pop3 pop3 &

# /usr/local/etc/plug-gw -daemon pop3proxy pop3proxy &

注：请确信/etc/services中存在一行 pop3 110/tcp ,若前面的名字

不是pop3，而是其它的如pop-3等，那么或者更新为pop3 110/tcp，或者运行

/usr/local/etc/plug-gw -daemon pop-3 pop-3 &

6. 若你在windows客户端用outlook express收发邮件，若从public.sta.net.cn收信，仅需改pop3服务器为你的防火墙即可，若从pop3.163.net收信，你还得更改标准pop3端口号为 114,而不是 110.

原文转自：www.ltesting.net

篇5：Windows系统中配置域控制器时别忽视DNS设置

域控制器是公司网络管理的核心，它出现故障往往会导致全网用户计算机的登录失败，不过，大家在建立域控制器时往往忽视了对DNS的设置，致使域中的DNS频频引发故障。你是否知道DNS的重要性呢?如果DNS设置出问题会带来什么样的后果呢?笔者负责公司服务器的维护工作，最近在实际工作中就遇到了一起突发的与DNS相关的服务器故障。

故障现象

公司规模不是很大，大概有50多台计算机，购买了两台IBM服务器。由于内部使用的某个应用软件需要Windows域的支持，所以在这两台IBM服务器上启用了windows Server的域。一台作为域控制器DC，另一台设置为备份域控制器BDC。

由于备份域控制器在管理域上主要起辅助作用，所以配置完毕后基本没有做任何修改和操作。然而最近却出现了主域控制器DC那台服务器无法登录系统桌面的故障，每次启动该域控制器都停留在登录界面(即要求输入管理员账号和密码操作之前的界面)，下方登录信息显示的是“正在连接网络”，等待近一个小时仍然没有任何进展。重新启动该服务器按F8键可以正常进入安全模式，然而只要一进入正常模式就会出现上述问题。

故障排查

由于系统登录总是停留在“正在连接网络”处，所以笔者怀疑是网络出现了问题，例如主域控制器无法通过DNS解析自己。笔者尝试进入安全模式将网卡禁用，这样系统就不会搜索网络，也不会尝试连接网络了。果然通过禁用网卡后系统可以正常进入桌面。

不过禁用网卡并不能治本，虽然服务器可以登录桌面但是所提供的服务其他客户机也无法使用了，

为什么没有了网卡就可以登录呢?笔者再次将排除故障的思路集中到域名解析上。众所周知在启用了域的网络中，DNS解析的域名与计算机是一一对应的，任何一台计算机没有在主域控制器上保留正确的DNS对应名称的话都将无法使用网络。

笔者在主域控制器上查看DNS服务的配置，发现主域控制器的DNS地址被设置为备份域控制器的IP地址。看来是备份域控制器上的DNS解析出现了问题。笔者马上到备份域控制器进行检查，原来是备份域控制器上的网线与网卡接口连接处松动了，也就是说备份域控制器实际上脱离了整个网络。将备份域控制器上的网线插紧后，启动主域控制器上的网卡就可正常进入系统了，故障得到排除。

进阶思考

本次故障看起来似乎是因为备份域控制器上的网线松动造成的，实际上是我们在建立域时的配置出现问题的结果，因为我们忽视了对DNS的配置。在建立域时，最好按照以下规则来配置DNS。

1.DC与BDC上都安装DNS服务，而不是只在一台服务器上启用，防止DNS解析错误，为DNS解析提供冗余功能。

2.DC本机DNS服务器设置为自己的IP地址，BDC本机DNS服务器也设置为自己的IP地址。

3.DC辅助DNS服务器地址要设置为BDC的地址，相应的BDC上的辅助DNS服务器地址要设置为DC的IP地址。

这样我们在进行DNS解析时就不会轻易出问题。因为登录主域控制器进行DNS解析并连接网络时会自动查询本机的DNS设置，即使BDC网线松动或关机也不会影响DC的登录。

总结:在Windows系统中配置域控制器是一件非常麻烦的事情，而且故障的发生没有规律可言，所以在升级网络为域时的初始化操作中一定要遵循相应规则，这样可以将故障发生几率降到最低。

篇6：Linux系统下的动态DNS服务配置方法详解DNS服务器

在网络管理中，对于DNS服务的管理是一项基础性的工作，随着用户规模的扩大，频繁地手工修改DNS的区域数据库文件不是一件轻松的工作。关于动态DNS(DDNS)的研究逐渐引起了人们的关注，不同的平台都推出了自己的解决方案。本文将详细介绍Linux环境下DDNS的解决方案，即由Internet Software Consortium（ISC）开发的BIND-DNS和DHCP(Dynamic Host Configure Protocol，动态主机配置协议)协同工作，进而共同实现DDNS的方法。

在Linux下实现动态DNS不仅需要Bind 8以上的DNS软件，还要有DHCP Server v3.0以上版本，因为只有3.0以上的版本才完全实现了对DDNS的支持。因此，本文的实现环境采用Slackware Linux 9.0作为DDNS服务器，其上同时运行DNS和DHCP服务，其中DNS Server采用Bind 9.2.2，DHCP Server采用DHCP Server v3.0pl2。

下面详细介绍Linux环境下安全、动态DNS的实现方法。

创建密钥

要实现DNS的动态更新，首先要考虑的是怎样保证安全地实现DDNS。由ISC给出的方法是创建进行动态更新的密钥，在进行更新时通过该密钥加以验证。为了实现这一功能，需要以root身份运行以下命令：

root@slack9:/etc# dnssec-keygen -a HMAC-MD5 -b 128 -n USER myddns

Kmyddns.+157+37662

上述dnssec-keygen命令的功能就是生成更新密钥，其中参数-a HMAC-MD5是指密钥的生成算法采用HMAC-MD5；参数-b 128是指密钥的位数为128位；参数-n USER myddns是指密钥的用户为myddns。

该命令生成的一对密钥文件如下：

-rw------- 1 root root 48 Jan 14 18:26 Kmyddns.+157+37662.key

-rw------- 1 root root 81 Jan 14 18:26 Kmyddns.+157+37662.private

可以查看刚生成的密钥文件内容：

root@slack9:/etc# cat Kmyddns.+157+37662.key

myddns.INKEY02157 4gEF1Mkmn5hrlwYUeGJV3g==