DMZ环境下的CentOS服务器如何配置DNS？

在企业网络架构中，隔离区扮演着至关重要的角色，它作为内部可信网络与外部不可信网络之间的缓冲地带，将DNS服务器部署在DMZ中是一种标准的安全实践，它既能响应来自互联网的公共域名查询请求，又能有效保护内部网络拓扑结构不被泄露,本文将详细介绍如何在CentOS系统上配置一台位于DMZ区域的DNS服务器。

准备工作与前提条件

在开始配置之前,请确保以下条件已满足：

• 一台已安装CentOS 7/8/9操作系统的服务器,该服务器位于DMZ网络区域。
• 服务器已配置静态IP地址,并且能够与外部网络通信。
• 拥有服务器的root权限或sudo权限。
• 防火墙已正确配置，允许DNS流量（TCP/UDP 53端口）通过。

安装BIND软件

BIND（Berkeley Internet Name Domain）是互联网上最广泛使用的DNS软件，在CentOS上，我们可以通过dnf或yum包管理器轻松安装它。

sudo dnf install bind bind-utils -y

bind是主程序包，bind-utils包含了dig、nslookup等非常有用的测试工具。

核心配置文件详解

BIND的主要配置文件是/etc/named.conf，我们需要对其进行修改,以适应DMZ环境的安全要求。

sudo vi /etc/named.conf

以下是关键的配置项调整：

1. ：指定DNS服务监听的IP地址，应设置为服务器的静态IP，而不是any。

   listen-on port 53 { 192.0.2.10; }; // 替换为你的DMZ服务器IP
   listen-on-v6 port 53 { none; };

2. ：定义哪些客户端可以向此DNS服务器发起查询，对于公共DNS，应设置为any。

   allow-query { any; };

3. recursion：这是DMZ DNS服务器最关键的安全设置，公共DNS服务器应禁用递归查询，以防止被用作DNS放大攻击的跳板,并避免为外部用户解析任意域名。

   

   recursion no;

4. 定义区域：在文件末尾，添加你需要提供解析服务的域名区域，这里我们以example.com为例。

   zone "example.com" IN {
       type master;
       file "example.com.zone";
       allow-update { none; };
   };

创建区域数据库文件

区域数据库文件包含了具体的DNS记录，根据named.conf中的定义，我们需要在/var/named/目录下创建example.com.zone文件。

sudo vi /var/named/example.com.zone

示例如下，请注意使用Tab而非空格进行缩进：

$TTL 86400
@   IN  SOA ns1.example.com. admin.example.com. (
        2025102701  ; Serial (YYYYMMDDNN)
        3600        ; Refresh (1 hour)
        1800        ; Retry (30 minutes)
        604800      ; Expire (1 week)
        86400 )     ; Minimum TTL (1 day)
;
; Name Servers
@       IN  NS      ns1.example.com.
ns1     IN  A       192.0.2.10  ; DMZ DNS服务器自身的IP
;
; Public Records
www     IN  A       192.0.2.20  ; 公网Web服务器IP
mail    IN  A       192.0.2.30  ; 公网邮件服务器IP
@       IN  MX 10   mail.example.com.

关键记录说明：

记录类型	名称	值	描述
SOA	@	ns1.example.com. admin.example.com.	起始授权机构，定义了域的主DNS和管理员邮箱
NS	@	ns1.example.com.	名称服务器，指定域的DNS服务器
A	ns1	0.2.10	主机记录，将域名解析到IP地址
MX	@	mail.example.com.	邮件交换记录，指定处理域邮件的服务器

创建文件后,需要设置正确的所有权和权限：

sudo chown named:named /var/named/example.com.zone
sudo chmod 640 /var/named/example.com.zone

防火墙配置与启动服务

确保防火墙开放DNS服务端口：

sudo firewall-cmd --add-service=dns --permanent
sudo firewall-cmd --reload

可以启动并启用named服务了：

sudo systemctl start named
sudo systemctl enable named

验证配置

使用dig或nslookup工具从另一台机器上测试DNS解析是否正常。

dig @192.0.2.10 www.example.com

如果配置正确，你将看到ANSWER SECTION中返回了www.example.com对应的0.2.20地址。

---

相关问答FAQs

Q1: 为什么在DMZ配置的DNS服务器要禁用递归查询？

A: 禁用递归查询是出于两个主要的安全考虑，它可以防止DNS服务器被恶意利用进行“DNS放大攻击”，攻击者通过向你的服务器发送小量请求，就能使其向目标受害者发送大量放大后的响应流量，禁用递归将服务器的角色限定为“权威服务器”，它只回答自己托管区域的查询，而不会为外部用户去查询互联网上的其他域名，这大大减少了服务器的资源消耗,并避免了将内部网络信息泄露给外部的风险。

Q2: 如果需要修改或添加一条DNS记录，正确的步骤是什么？

A: 修改DNS记录需要谨慎操作,正确步骤如下：

1. 编辑对应的区域数据库文件，例如/var/named/example.com.zone。
2. 修改或添加你需要的记录（如A记录、CNAME记录等）。
3. 至关重要的是，必须增加SOA记录中的Serial（序列号）值，通常的格式是YYYYMMDDNN（年月日+两位数修订版），确保新序列号比旧的大，这会通知辅助DNS服务器（如果有的话）来拉取更新。
4. 保存文件后，使用sudo systemctl reload named命令平滑地重载BIND服务，使更改生效,而不会中断现有的DNS查询。