CentOS Stream9 搭建DNS服务器

好久没有写关于centos系统的服务搭建，本次采用stream9搭建dns服务

1、centos.org 下载CentOS Stream9 ISO，安装dns服务器；以下操作需要su权限；

2、配置服务器的ip及dns，使主机可访问外网；

3、此时查看bind的rpm包 rpm - qa | grep bind显示bind9，但是etc/named.conf文件是没有的，需要安装bind才能出现；

[z@localhost ~]$ rpm -qa | grep bind

bind-license-9.16.23-4.el9.noarch

bind-libs-9.16.23-4.el9.x86_64

bind-utils-9.16.23-4.el9.x86_64

4、 安装bind，yum install bind，查看bind的rpm包，显示出现dnssec包

[root@localhost z]# rpm -aq | grep bind

bind-license-9.16.23-4.el9.noarch

bind-libs-9.16.23-4.el9.x86_64

bind-utils-9.16.23-4.el9.x86_64

python3-bind-9.16.23-4.el9.noarch

bind-dnssec-doc-9.16.23-4.el9.noarch

bind-dnssec-utils-9.16.23-4.el9.x86_64

bind-9.16.23-4.el9.x86_64

5、编辑bind配置文件 vim named.conf，配置全局转发

listen-on port 53 { any; };

allow-query { any; };

在recursion yes;下面增加以下配置

forward first;

forwarders {

202.96.64.68;

114.114.114.114;

219.148.204.66;

223.5.5.5;

8.8.8.8;

};

6、编辑在named.conf配置区域转发，对特定域名指定dns转发服务器（例如内网应用）

将crpm.com.cn域名转发到内网解析

zone "crpm.com.cn" IN {

type forward;

forwarders{

10.0.12.150;

10.0.12.160;

10.0.18.130;

10.0.18.140;

};

forward only;

};

将crma.rc.com.cn转发到外网解析

zone "crma.rc.com.cn" IN {

type forward;

forwarders{

202.96.64.68;

219.148.204.66;

114.114.114.114;

223.5.5.5;

8.8.8.8;

};

forward only;

};

7、重启bind服务，service named restart；停止bind服务可使用命令service named stop；

8、查看named服务， systemctl status named；running字眼即为运行中；

9、测试dns服务，dig www.sina.com.cn @127.0.0.1 ，命令显示sina对应的主机地址即为成功；

[root@localhost etc]# dig www.sina.com.cn @127.0.0.1

; <<>> DiG 9.16.23-RH <<>> www.sina.com.cn @127.0.0.1

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29132

;; flags: qr rd ra; QUERY: 1, ANSWER: 18, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 1232

; COOKIE: 7c6d08698d919b8101000000637b4b6a2d0ebc26e3163515 (good)

;; QUESTION SECTION:

;www.sina.com.cn. IN A

;; ANSWER SECTION:

www.sina.com.cn. 20 IN CNAME spool.grid.sinaedge.com.

spool.grid.sinaedge.com. 1 IN CNAME ww1.sinaimg.cn.w.alikunlun.com.

ww1.sinaimg.cn.w.alikunlun.com. 13 IN A 218.60.77.245

ww1.sinaimg.cn.w.alikunlun.com. 13 IN A 218.24.87.113

ww1.sinaimg.cn.w.alikunlun.com. 13 IN A 218.60.77.240

ww1.sinaimg.cn.w.alikunlun.com. 13 IN A 218.24.87.117

ww1.sinaimg.cn.w.alikunlun.com. 13 IN A 218.60.77.248

ww1.sinaimg.cn.w.alikunlun.com. 13 IN A 218.24.90.244

ww1.sinaimg.cn.w.alikunlun.com. 13 IN A 218.24.87.114

ww1.sinaimg.cn.w.alikunlun.com. 13 IN A 218.60.77.239

ww1.sinaimg.cn.w.alikunlun.com. 13 IN A 218.24.87.118

ww1.sinaimg.cn.w.alikunlun.com. 13 IN A 218.60.77.237

ww1.sinaimg.cn.w.alikunlun.com. 13 IN A 218.24.90.241

ww1.sinaimg.cn.w.alikunlun.com. 13 IN A 218.24.90.248

ww1.sinaimg.cn.w.alikunlun.com. 13 IN A 218.24.87.112

ww1.sinaimg.cn.w.alikunlun.com. 13 IN A 218.60.77.244

ww1.sinaimg.cn.w.alikunlun.com. 13 IN A 218.24.90.238

ww1.sinaimg.cn.w.alikunlun.com. 13 IN A 218.24.87.116

;; Query time: 8 msec

;; SERVER: 127.0.0.1#53(127.0.0.1)

;; WHEN: Mon Nov 21 17:56:58 CST 2022

;; MSG SIZE rcvd: 409

如ANSWER SECTION:中无任何主机IP返回，是由于局域网内非法DNS,所以将DNS安全关闭；

需要修改配置文件vim named.conf

dnssec-enable no;

dnssec-validation no;

10、使用pc机，用nslookup命令测试，发现超时，可能centos9的防火墙未放行dns，使用systemctl stop firewalld 命令关闭防火墙，再次尝试；

11、查看防火墙状态，systemctl status firewalld 、firewall-cmd --state；

12、查看端口状态，netstat -tanp ；

13、查看防火墙规则，firewall-cmd --list-all；

14、防火墙临时放行dns服务，firewall-cmd --add-service=dns ,可临时放行，systemctl restart firewalld重启后条目消失；

15、防火墙永久放行dns服务，firewall-cmd --add-service=dns --permanent，需要重启防火墙服务后，firewall-cmd --list-all查看条目起作用；

16、移除防火墙永久放行条目，firewall-cmd --remove-port=53/tcp --permanent，需要重启防火墙；

17、移除防火墙临时放行条目，firewall-cmd --remove-port=53/tcp ，无需重启防火墙；

18、添加named服务随开机自动启动，systemctl enable named；