RHCE学习<7>DNS、FTP和DHCP服务配置详解

2021-10-11 22:11:36

一、DNS服务器

简述：DNS服务器大多数都使用BIND作为服务器，是最早伯克利大学一名学生编写的，最新版本是9，现在由ISC编写和维护。使用TCP、UDP协议，默认53（domain），953（mdc）。

1>.DNS服务器作用

正向解析：根据主机名称（域名）查找对应的IP地址

反向解析：根据IP地址查找对应的主机域名

2>.DNS两种查询方式

递归查询：客户端—>本地DNS服务器--若不能回答，则查询根DNS服务器—>根DNS服务器查询域类型，得到IP直接给客户端。

迭代查询（循环查询）：客户端—>本地DNS服务器—>查询根DNS服务器—>根DNS服务器查询域类型得到IP—>再原路返回给客户端。

3>.DNS服务器三种类型

域主DNS服务器（master）：保存zone配置文件，保持该域信息

域从DNS服务器（slave）：冗余负载使用，从主DNS服务抓取zone配置文件

缓存DNS服务器（caching）：负载均衡、访问加速使用

1、域主DNS服务器

DNS服务器：192.168.0.202

DNS客户端：192.168.0.203

[root@dns ~]# yum install gcc gcc-c++ bind bind-chroot bind-utils

[root@dns ~]# cp -r /usr/share/doc/bind-9.8.2/sample/etc/named.conf /var/named/chroot/etc/

[root@dns ~]# cp -r /usr/share/doc/bind-9.8.2/sample/var/named/* /var/named/chroot/var/named/

[root@dns ~]# cd /var/named/chroot/var/named/

[root@dns named]# vi ../../etc/named.conf

options   #全局配置
{

        directory               "/var/named";     #区域文件存储目录

        listen-on port 53       { 192.168.0.202; };  #监听端口，any为所有

        listen-on-v6 port 53    { ::1; };   #ipv6支持

        allow-query             { any; };  #any对所有主机提供查询

        allow-query-cache       { any; };  #开启所有主机查询缓存

        recursion yes;  #启动递归查询
};

logging     #定义记录所有查询主机内容、信息日志
{

        channel default_debug {

                file "data/named.run";

                severity dynamic;

        };
};

zone "test.com" IN {      #正向区域声明

        type master;

        file "test.com.zone";

        allow-update { none; };  #允许动态更新哪些客户机地址，none 表示全部禁止

        allow-transfer { none; };  #设置允许下载该区域解析记录的从域名服务的地址，一般指定slave地址
};

zone "0.168.192.in-addr.apra" IN {   #反向区域声明

        type master;

        file "test.com.zone";

        allow-update { none; };

        allow-transfer { none; };
};

#创建正反向区域数据文件

[root@dns named]# cp named.localhost test.net.zone

[root@dns named]# vi test.net.zone
$TTL 1D

@       IN SOA  test.com. root.test.com. (   #第一个是该DNS区域地址，第二个是邮箱地址

                                        0       ; serial   #更新序列号

                                        1D      ; refresh  #无效地址解析的缓存时间

                                        1H      ; retry    #刷新时间

                                        1W      ; expire   #失效时间

                                        3H )    ; minimum

@       IN      NS      dns.test.com.   #域名服务器记录
dns     IN      A       192.168.0.202

mail    IN      A       192.168.0.203   #MX邮件交换记录

        IN      MX 10   mail.test.com.

www     IN      A       192.168.0.203   #A地址解析记录

203     IN      PTR     mail.test.com.  #PTR

#检测主配置文件和区域数据文件语法正确性

[root@dns ~]# named-checkconf /var/named/chroot/etc/named.conf

[root@dns ~]# named-checkzone test.com /var/named/chroot/var/named/test.net.zone

[root@dns ~]# named-checkzone 0.168.192.in-addr.apra /var/named/chroot/var/named/test.net.zone

#让新配的DNS作为本机首选DNS服务器

[root@dns ~]# vi /etc/resolv.conf
nameserver 192.168.0.202

[root@dns ~]# service named start   #启动时一直停在这

Generating /etc/rndc.key:

[root@dns ~]# rndc-confgen -r /dev/urandom -a  #执行此命令导入KEY，再启动就能启动了

[root@dns ~]# service named start

[root@dns ~]# chkconfig named on

#测试

[root@client ~]# nslookup www.test.com  #正向解析，也可以使用host测试
Server:         192.168.0.202

Address:        192.168.0.202#53

Name:   www.test.com
Address: 192.168.0.203

[root@client ~]# nslookup  #反向解析
> 192.168.0.203
Server:         202.106.0.20

Address:        202.106.0.20#53

203.0.168.192.in-addr.arpa      name = client.
>

2、域主从DNS服务器

主DNS服务器：192.168.0.202

从DNS服务器：192.168.0.203

主DNS服务器配置与上面配置相同，allow-transfer { none; };修改为allow-transfer { 192.168.0.203; };定义主DNS服务器允许将区域数据文件复制给从DNS服务器

[root@slaves ~]# vi /var/named/chroot/etc/named.conf

zone "test.com" IN {

        type slave;

        file "test.com.zone";

        masters { 192.168.0.202; };
};

3、缓存DNS服务器

可以为DNS指定一个上游DNS服务器地址，当自己无法完成解析，则让上游DNS服务器解析一个好的给客户端

[root@slaves ~]# vi /var/named/chroot/etc/named.conf
Options{

Directory “/var/named/chroot/var/named/etc/”；

Forwarders only；    #本DNS服务器不提供解析，将所有请求转发到forwarders列表

forwarders { DNS服务器IP地址；}；  #定义转发请求目的ip

allow-query {any；}；  #允许所有客户查询
}；

二、FTP服务器

1>.FTP：C/S架构服务，使用TCP协议作为底层传输，提供数据传输的可靠性

2>.FTP连接方式

控制连接：标准端口为21，用于发送FTP命令信息

数据连接：标准端口为20，用于上传、下载数据

3>.两种工作模式：

主动模式：客户端向服务端发起请求，服务端收到请求后发起一个指令告诉客户端要打开20端口，服务器主动向20端口发起数据连接。

被动模式：客户端向服务器发起请求，服务端收到请求后随机打开一个端口，告诉客户端我是被动模式，客户端向服务端的随机端口建立数据连接。

4>.Vsftpd相关配置文件：

/etc/vsftpd/vsftp.conf：主配置文件

/etc/vsftpd/ftpusers：黑名单

/etc/vsftpd/user_list：控制名单（由配置文件控制器是白名单还是黑名单）

/var/log/xferlog：默认日志文件

5>.三种类型用户：匿名用户(默认)，系统用户，虚拟用户。

6>.常见配置项及含义说明

anonymous_enable=YES #是否允许匿名用户ftp或anonymous登录

anon_root=/var/ftp #设置匿名用户的FPT根目录（缺省为/var/ftp）

anon_umask=022 #设置匿名用户所上传文件的默认权限掩码值

anon_world_readable_only=no #允许匿名用户浏览下载文件的权限
anon_upload_enable=YES #是否允许匿名用户上传文件
anon_mkdir_write_enable=YES #是否允许匿名用户有创建目录的权利

anon_other_write_enable=YES #是否允许匿名用户有其他写入权限，如对文件改名、覆盖、及删除文件。

anon_max_rate #限制匿名用户的最大传输速率（0为无限制），单位为字节
dirmessage_enable=YES #是否显示目录说明文件,默认是YES但需要手工创建.message文件

local_enable=YES #是否允许本地用户登录

local_umask=022 #设置本地用户所上传文件的默认权限掩码值

local_root=/var/ftp #设置本地用户的FPT根目录（缺省为用户的宿主目录）

local_max_rate #限制本地用户的最大传输速率（0为无限制），单位为字节

chroot_local_user=yes #是否将FPT本地用户禁锢在宿主目录中

listen_port 21 #设置监原FTP服务的端口号

write_enable=yes #启用任何形式的写入权限（如上传、删除文件等）都需要开启此项

download_enable=yes #是否允许下载文件（建立仅限于浏览、上传的FTP服务器时可将其设为no）
xferlog_enable=YES #是否记录ftp传输过程,即启用FTP日志，默认记录到/var/log/xferlog文件中

xferlog_std_format=yes #启用标准的xferlog日志格式，若禁用此项，将使用vsftpd自已的日志格式

connect_from_port_20=YES #是否确信端口传输来自20(ftp-data)

chown_upload=YES #是否改变上传文件的属主
chown_username=username #将属主改为那个用户

pasv_enable=yes #允许被动模式连接

pasv_max_port=24600 #设置用于被动模式的服务器最大端口号

pasv_min_port=24500 #设置用于被动模式的服务器最小端口号

pam_service_name=vsftpd #设置用于用户认证的PAM文件位置（/etc/pam.d目录中对应的文件名）

userlist_enable=yes #是否启用user_list用户列表文件

userlist_deny=yes #是否禁止user_list列表文件中的用户账号

max_clients=0 #最多允许多少个客户端同进连接FTP服务器（0为无限制）

max_per_ip=0 #对来自相同IP地址的客户端，最多允许多少个并发连接（0为无限制）

tcp_wrappers=yes #是否启用tcp_wrappers访问控制

idle_session_timeout=600 #设置默认的断开不活跃session的时间
data_connection_timeout=120 #设置数据传输超时时间，将数据连接空闲2分钟断

accept_timeout=60（秒） #将客户端空闲1分钟后断

1、安装Vsftpd并配置用户认证访问

[root@ftp ~]# yum install vsftpd -y

[root@ftp ~]# mkdir /data

[root@ftp ~]# vi /etc/vsftpd/vsftpd.conf #末尾添加如下

anonymous_enable=no  #禁用匿名登陆

local_root=/data     #FTP根目录

chroot_local_user=yes  #锁定宿主目录

pasv_enable=YES     #启动被动模式连接

pasv_min_port=6001  #最小端口号

pasv_max_port=6100  #最大端口号

[root@ftp ~]# service vsftpd start

[root@ftp ~]# useradd ftpadmin    #创建登陆FTP用户并设置密码

[root@ftp ~]# passwd ftpadmin

[root@ftp ~]# chown ftpadmin:ftpadmin /data/ -R

#添加防火墙允许

[root@ftp ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT

[root@ftp ~]# iptables -A INPUT -p tcp --dport 6001:6100 -j ACCEPT

2、Vsftpd虚拟用户配置

请参考：http://going.blog.51cto.com/7876557/1294765

3、Vsftpd+SSL实现加密传输

#生成证书（包含个人密钥和证书）

[root@ftp vsftpd]# openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem
Generating a 2048 bit RSA private key
...........+++
...........................................+++

writing new private key to 'vsftpd.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,

If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:beijing

Locality Name (eg, city) [Default City]:test

Organization Name (eg, company) [Default Company Ltd]:test

Organizational Unit Name (eg, section) []:test.com

Common Name (eg, your name or your server's hostname) []:
Email Address []:

[root@ftp vsftpd]# chmod 400 vsftpd.pem

#vsftpd配置SSL支持

[root@ftp ~]# vi /etc/vsftpd/vsftpd.conf  #末尾添加如下

anonymous_enable=no #关闭匿名访问

local_root=/ftp #指定宿主目录

chroot_local_user=YES #锁定宿主目录
ssl_enable=YES
ssl_sslv2=YES
ssl_sslv3=YES
ssl_tlsv1=YES

force_local_logins_ssl=YES #登录使用ssl认证

force_local_data_ssl=YES #数据传输使用ssl认证

force_anon_logins_ssl=YES #匿名登录使用ssl认证
force_anon_data_ssl=YES

rsa_cert_file=/etc/vsftpd/vsftpd.pem #设置证书位置

[root@ftp ~]# service vsftpd restart

[root@ftp ~]# chkconfig vsftpd on

测试：我们使用flashfxp软件来测试看到传输过程中采用ssl进行通信！

三、DHCP服务器

1、安装 dhcp

yum install -y dhcp

2、主配置文件修改

cp/usr/share/doc/dhcp-4.1.1/dhcpd.conf.sample /etc/dhcp/dhcpd.conf #默认配置文件是空的，复制dhcpd.conf模板

vi/etc/dhcp/dhcpd.conf

ddns-update-style interim; #设置dhcp互动更新模式

ignore client-updates;     #忽略客户端更新

shared-network test{      #这个段是一个作用域，不同子网配置多个作用域

subnet 192.168.1.0 netmask 255.255.255.0{ #子网声明

option routers 192.168.1.1;         #客户端默认获取网关

option subnet-mask 255.255.255.0;   #客户端默认获取子网掩码

option domain-name "test.com";      #DNS域

option domain-name-servers 8.8.8.8; #DNS服务器地址

range 192.168.1.200 192.168.1.202;  #分配地址池

default-lease-time3600;            #默认租期，单位秒

max-lease-time7200;                #最长租期，单位秒
可选：
#host print {                          #设置静态分配主机
#hardware ethernet 00:0C:29:7E:52:64； #静态分配主机MAC
#fixed-address 192.168.1.200；         #静态分配的IP
# }
}
}

3、启动dhcp

service dhcpd start
chkconfig dhcpd on

4、启动失败几种可能性

1>.内容不符合语法结构，例如，少个分号；

2>.声明的子网和子网掩码不符合；

3>.主机IP地址和声明的子网不在同一网段。

4>.主机没有配置IP地址。

5>.配置文件路径出问题，比如在RHEL6以下的版本中，配置文件保存在了/etc/dhcpd.conf，但是在

rhel6及以上版本中，却保存在了/etc/dhcp/dhcpd.conf。

本文转自李振良OK 51CTO博客，原文链接：http://blog.51cto.com/lizhenliang/1331472，如需转载请自行联系原作者

码农公寓

相关文章