如何在centos6.5上搭建bind dns解析服务？

BIND软件包的安装

在开始配置之前,首先需要安装必要的软件包，CentOS 6.5使用yum作为包管理工具，安装过程十分简便，我们需要安装主程序bind以及一系列实用工具bind-utils，后者包含了dig、nslookup等常用的DNS查询和诊断命令。

打开终端,以root用户执行以下命令：

yum install bind bind-utils -y

该命令会自动处理依赖关系,从配置的软件仓库中下载并安装BIND及其相关组件。

核心配置文件 /etc/named.conf

BIND的主配置文件位于/etc/named.conf，它定义了DNS服务器的全局运行参数和各个域名解析区域，在进行任何修改前，建议备份原始文件。

/etc/named.conf主要包含两个核心部分：options（全局选项）和zone（区域定义），以下是一个基础且安全的配置示例：

options {
    listen-on port 53 { 127.0.0.1; 192.168.1.10; }; // 监听的IP地址和端口
    listen-on-v6 port 53 { ::1; };
    directory       "/var/named"; // 区域文件的存放目录
    dump-file       "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named_stats.txt";
    memstatistics-file "/var/named/data/named_mem_stats.txt";
    allow-query     { localhost; 192.168.1.0/24; }; // 允许查询的客户端网段
    recursion yes; // 允许递归查询
    dnssec-enable yes;
    dnssec-validation yes;
};
zone "." IN {
    type hint;
    file "named.ca";
};
// 定义正向解析区域 (域名 -> IP)
zone "example.com" IN {
    type master;
    file "example.com.zone"; // 指向正向区域文件
    allow-update { none; };
};
// 定义反向解析区域 (IP -> 域名)
zone "1.168.192.in-addr.arpa" IN {
    type master;
    file "192.168.1.zone"; // 指向反向区域文件
    allow-update { none; };
};

此配置中,我们定义了一个名为example.com的正向解析区域和一个对168.1.0/24网段的反向解析区域。

区域文件的创建与配置

区域文件是DNS记录的实际载体,存放在/var/named/目录下，以下分别创建正向和反向区域文件。

正向解析区域文件 (example.com.zone)

该文件包含将域名映射到IP地址的记录。

$TTL 86400
@   IN  SOA ns1.example.com. admin.example.com. (
        2025102701  ; 序列号，修改后需递增
        3600        ; 刷新时间
        1800        ; 重试时间
        604800      ; 过期时间
        86400 )     ; 最小TTL
;
@       IN  NS      ns1.example.com.
ns1     IN  A       192.168.1.10
www     IN  A       192.168.1.20
mail    IN  A       192.168.1.30
ftp     IN  CNAME   www.example.com.

反向解析区域文件 (192.168.1.zone)

该文件用于将IP地址解析回域名。

$TTL 86400
@   IN  SOA ns1.example.com. admin.example.com. (
        2025102701
        3600
        1800
        604800
        86400 )
;
@       IN  NS      ns1.example.com.
10      IN  PTR     ns1.example.com.
20      IN  PTR     www.example.com.
30      IN  PTR     mail.example.com.

创建文件后,需确保其权限与/var/named/named.localhost保持一致，并设置SELinux上下文：

chown :named example.com.zone 192.168.1.zone
chcon --reference=/var/named/named.localhost example.com.zone
chcon --reference=/var/named/named.localhost 192.168.1.zone

服务启动与防火墙配置

配置完成后,启动BIND服务并设置开机自启：

service named start
chkconfig named on

CentOS 6.5默认使用iptables作为防火墙，必须开放DNS服务的53端口（TCP和UDP）：

iptables -I INPUT -p tcp --dport 53 -j ACCEPT
iptables -I INPUT -p udp --dport 53 -j ACCEPT
service iptables save

测试与验证

使用dig命令从本地或其他客户端测试DNS解析是否生效：

# 正向解析测试
dig @192.168.1.10 www.example.com
# 反向解析测试
dig @192.168.1.10 -x 192.168.1.20

若返回了预期的A记录和PTR记录，则说明DNS服务器配置成功。

---

相关问答FAQs

Q1：我修改了区域文件后，为什么DNS解析结果没有立即更新？
A1： 这通常有两个原因，你需要手动递增/var/named/目录下对应区域文件中的SOA记录里的序列号（Serial），你需要让BIND服务重新加载配置或重启，可以使用service named reload平滑加载新配置，或service named restart完全重启服务，只有当从DNS服务器检测到主服务器的序列号增加时，才会发起区域传输。

Q2：BIND服务启动失败，应该从哪里开始排查问题？
A2： 排查步骤应遵循从配置到环境的顺序，使用named-checkconf /etc/named.conf和named-checkzone example.com /var/named/example.com.zone分别检查主配置文件和区域文件的语法是否正确，查看系统日志/var/log/messages和BIND自身的日志/var/named/data/named.run，这通常会提供最详细的错误信息，如权限不足（SELinux或文件权限）、端口被占用等，确认防火墙规则和SELinux状态是否允许BIND正常运行。