네임서버(nameserver) 셋팅 및 운영

YUM 으로 깔아야 하는데 다 설치하는게 다르네 ㅋㅋ

 

yum -y install bind bind-chroot caching-nameserver

 

yum -y install bind bind-chroot caching-nameserver
yum install bind*
yum install ypbind

 

 

vim named.conf or named.caching-nameserver.conf

 

- listen-on port 53 { 127.0.0.1; }; → listen-on port 53 { any; };
- allow-query { localhost; }; → allow-query { any; };
- match-clients { localhost; }; → match-clients { any; };
- match-destinations { localhost; }; → match-destinations { any; };

 

 

vim /var/named/chroot/etc/named.rfc1912.zones

 

zone "kensei.pe.kr" IN {
type master;
file "kensei/kensei.pe.kr.zone";
allow-update { none; };
};

Zone "19.1x0.2x1.in-addr.arpa" IN {
type master;
file "reverse/2x1.1x0.19.zone.rev";
allow-update { none; };
};

 

 

vim /var/named/chroot/var/named/reverse/2x1.1x0.19.zone.rev (예제)

 

$TTL 60
@ IN SOA ns.filenara.co.kr. root.kensei.co.kr. (
20080911 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum

IN NS XXX.XXX.10.221
;; 겐세이
238 IN PTR mail.kensei.co.kr.
238 IN PTR mail.kensei.com.
238 IN PTR mail.kensei.co.kr.
238 IN PTR mail.kensei.co.kr.

 

/var/named/chroot/etc/named.rfc1912.zones
/var/named/chroot/etc/named.caching-nameserver.conf

 

fedora는 named.caching-nameserver.conf 파일이 없으므로 생성해줘도 되긴한데 
Cent OS는 바로 생성되지만 Fedora는 찾아볼수가 없다

 

named.conf 를 named.caching-nameserver.conf Alias 잡아주고 해도 되는듯 함

ln -sf /var/named/chroot/etc/named.caching-nameserver.conf /etc/named.conf ln -sf /var/named/chroot/etc/named.rfc1912.zones /etc/named.rfc1912.zones

 

심볼릭 링크 정보 (Cent Os 기준) 아래와 같이 심볼릭 링크 해주면 될듯

 

named.caching-nameserver.conf -> /var/named/chroot//etc/named.caching-nameserver.conf
named.conf -> /var/named/chroot/etc/named.caching-nameserver.conf
named.rfc1912.zones -> /var/named/chroot/etc/named.rfc1912.zones

 

 

DNS 라운드 로빈

 

- TTL 낮으면 DNS 서버 부하 발생 가능, TTL 높으면 균등한 라운드 로빈이 어려움의 단점
- www IN A 111.222.111.222
- www IN A 111.222.111.223

 

 

MX 레코드 (메일)

 

MX 10 Domain1 : 1 첫번째 이거 죽으면 2로 간다나?
MX 20 Domain2 : 2 두번째 이것도 안되면 3번으로
MX 30 Domain3 : 3

 

 

DNS 참조파일 (클라이언트 입장)

리눅스
/etc/resolve.conf 

윈도우즈
c:/WINDOWS/system32/drive/etc/hosts

 

 

Zone파일

 

존(Zone)파일은 각각의 도메인의 실제 운영 정보를 담고 있는 중요한 정보
- 도메인 뒤에는 반드시 . (마침표)를 찍어줘야 하며 없으면 도메인앞의 서브 도메인으로 인식하게 됨

 

TTL - DNS간에 질의를 할때마다 매번 데이터를 주고 받으면 비효율적이므로 한번 전달된 정보에 대한 Cache 만료시간 - 86400초(1일)을 많이 사용하나 도메인 변경이 많은 경우나 서비스 특성에 맞게 조정해 두는것이 좋다   serial - Zone 파일의 설정 정보의 갱신 여부를 판단하는데 이용 - "Zone Transfer" : 1차 2차 네임서버 운용시 Master에서 Slave로 Zone 정보 동기화 시키는 기능인데 slave가 master의 존파일의 변경여부를 판단할때 serial 값의 변경여부에 따라 판단하게 됨   @ - 등록된 메인도메인을 지칭   @ IN NS ns1.kr. - 네임서버는 ns1.kr 이다? 라는 의미?   @ IN A XXX.XXX.27.123 - A 레코드 라고도 부르며 @도메인의 실제 IP주소를 정의   IN MX 10 mail.abc.com - @ 도메인의 메일 수신 담당서버를 지정   ns1 IN A XXX.XXX.215.11 - NS로 지정했던 ns1.kr의 실제 IP주소를 정의 mail IN A XXX.XXX.27.123 - 위의 MX 레코드로 지정했던 mail.abc.com의 실제 IP 정의   @ IN TXT "v=spf1 ip4:58.180.27.123 -all" - SPAM 방지정책의 일환으로 이용되는 TXT 레코드 - 이 레코드가 없거나, 올바르게 등록되어 있지 않을 경우, 상대방 (메일 수신측)에서 본 도메인으로 보낸 메일을    거부하게 될 수 있습니다. 따라서 정확한 메일서버 정보를 등록해두어야 합니다   * IN A 58.180.27.123 - 상기에 등록되지 않은 기타 모든 호스트명(*)에 대해 일률적인 IP정보를 정의 - 위에서 정의되지 않은 호스트를 제외한 모든 호스트가 여기에 걸리면 무조건 이쪽으로 58.180.27.123 간다

Zone파일 예제

 

$TTL 600
@ IN SOA ns1.kr. root.smileserv.com. (
2009022011 ; serial
7200 ; refresh
900 ; retry
1209600 ; expire
3600 ; default_ttl
)
@ IN NS ns1.kr.
@ IN NS ns2.kr.
@ IN NS ns8.kr.
@ IN NS ns9.kr.
@ IN MX 10 mail.meokgo.co.kr.
@ IN TXT "v=spf1 ip4:116.125.28.47 ~all"
@ IN A 116.125.28.47
www IN A 116.125.28.47
mail IN A 116.125.28.47
* IN A 116.125.28.47

 

 

zone 파일 문법 체크

 

[root@Kensei etc]# named-checkzone kensei.pe.kr.zone /var/named/chroot/var/named/kensei/kensei.pe.kr.zone
/var/named/chroot/var/named/kensei/kensei.pe.kr.zone:18: ignoring out-of-zone data (kensei.pe.kr)
zone kensei.pe.kr.zone/IN: loaded serial 2008071734
OK

 

 

네임서버 1차, 2차 확인

 

nslookup

 

set type=ns
- 질의 도메인의 DNS서버를 확인

응답순서가 첫번째는 ns가 먼저 다음번엔 ns1 이 먼저 응답함
- 1차 네임서버가 죽었을때 2차가 응답하는건 아니다!
- 랜덤하게 응답하는듯 함

 

 

네임서버 TCP 53 / UDP 53 차이점

 

질의에 대한 응답값이 512byte 를 초과할 경우
- 53/tcp 로 전환되며 다시 전송 받음
- 512byte 가 넘어가는 경우 질의응답이 무결성이 더 중요하다고 판단해서 tcp 연결지향형으로 바귀게 되는듯 함
- udp가 더 빠르나 tcp가 더 데이터의 무결성을 보장하므로 그렇게 설계한듯함...

53/udp 로 질의 → 응답값(512byte 미만) → 질의 종료
53/udp로 질의 → 응답값(512byte 이상) → 53/tcp로 재질의 → 질의 종료

 

 

도메인의 MX 레코드 정보 확인

 

> set q=mx    or   set type=mx
> kensei.co.kr
Server: kns.kornet.net
Address: 168.126.63.1

Non-authoritative answer:
kensei.co.kr MX preference = 10, mail exchanger = mail.kensei.co.kr
kensei.co.kr nameserver = ns.kensei.co.kr
mail.kensei.co.kr internet address = x11.1x0.1x1.88

 

 

도메인의 TXT 정보 확인

 

> set q=mx
> kensei.co.kr
Server: kns.kornet.net
Address: 168.126.63.1

Non-authoritative answer:
kensei.co.kr MX preference = 10, mail exchanger = mail.kensei.co.kr

kensei.co.kr nameserver = ns.kensei.co.kr
mail.kensei.co.kr internet address = x11.1x0.1x1.88

 

 

Recursive 모드

클라이언트 (Stub Resolver)의 요청에 의해 자신의 관리하지 않는 Zonefile에 없는 도메인 정보에 대해서 Namespace 에 질의후에 그 결과값 질의 응답함 ex) 클라이언트가 네임서버로 지정하고 설정 가능

 

Iterative 모드

알 수 없는 질의에 대해서 응답가능한 네임서버 목록을 전달 ex) 네임서버끼리간 통신에서 동작, 클라이언트가 네임서버로 지정하면 되지 않음      ( /etc/resolve.conf 혹은 윈도우의 DNS 주소 사용 부분)

 

bind4에서는 부트파일에 options no-recursion 을 추가하면 된다
 - recursion no; 실행

 

error)

 

none:0: open: /etc/named.conf: permission denied
chown root.named /etc/named.conf

chown root.named /var/named/chroot/etc/named.caching-nameserver.conf

 

/etc/named.conf:40: open: /etc/named.rfc1912.zones: permission denied
chown root.named /var/named/chroot/etc/named.rfc1912.zones

 

아래와 같은 아래들은 한방에 chown -R root.named /var/named/chroot/var/named

chown root.named /var/named/chroot/var/named/named.ca

zone 0.in-addr.arpa/IN/localhost_resolver: loading from master file named.zero failed: permission denied

zone kensei.co.kr/IN/localhost_resolver: loading from master file kensei/kensei.co.kr.zone failed: permission denied