树莓派3B/4B安装BIND DNS服务

BIND（Berkeley Internet Name Domain）当前使用最为广泛的DNS服务器软件之一，最早有伯克利大学的一名学生编写，大多运营商都在使用BIND作为自己网络的DNS服务器。BIND支持先今绝大多数的操作系统（Linux，UNIX，Mac，Windows） 之前做过关于BIND DNS服务基于Raspberry Pi 3B测试 树莓派3B/4B基于debian系统，在网络配置完成后，确保debian系统的DNS解析正常，查看配置 root@raspberrypi:/etc/bind# cat /etc/resolv.conf # Generated by resolvconf nameserver 61.139.2.69 通过apt-get install获取bind9 sudo apt-get install bind9 bind9utils dnsutils 安装完成后，bind9的配置路径在/etc/bind下面，首先查看配置文件named.conf cat /etc/bind/named.conf 可以看到包含了三个配置文件 include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local";  include "/etc/bind/named.conf.default-zones";  named.conf.options选项用来定义整个DNS服务器的运行环境，在Debian环境中，options语句的配置内容， 被移至named.conf.options文件中 我们首先配置named.conf.options文件，通过nano编辑器配置，nano /etc/bind/named.conf.options ，配置可以选择：转发运营商和递归查询两种方法其中一种

配置1：转发上级运营商DNS

options { directory "/var/cache/bind"; allow-query-cache {any;}; //允许缓存 //======================================================================== // If BIND logs error messages about the root key being expired, // you will need to update your keys. See https://www.isc.org/bind-keys //======================================================================== dnssec-validation auto; listen-on port 53 {192.168.88.88;}; //定义DNS服务器的监听端口为53，监听IP为129.168.88.10 forward only; //定义转发类型为only，只向上级DNS转发请求，及时失败也会转发 forwarders { 61.139.2.69;218.6.200.139; }; //定义上级电信DNS服务器IP listen-on-v6 { any; }; //开启IPv6监听 allow-query {any;}; //允许任何IP的请求 };   以上配置意思是：用192.168.88.88作为dns服务器IP进行解析，所有请求都转发到上级的DNS 61.139.2.69和218.6.200.139，允许任何IP的DNS请求，并开启DNS缓存

配置2：递归查询配置

如果你不想转发到运营商DNS，可以修改为递归查询，向全球根DNS服务器查询 options { directory "/var/cache/bind"; allow-query-cache {any;}; //允许缓存 //======================================================================== // If BIND logs error messages about the root key being expired, // you will need to update your keys. See https://www.isc.org/bind-keys //======================================================================== dnssec-validation auto; listen-on port 53 {192.168.88.88;}; //定义DNS服务器的监听端口为53，监听IP为129.168.88.10 recursion yes; //向全球的根DNS服务器请求递归查询 listen-on-v6 { any; }; //开启IPv6监听 allow-query {any;}; //允许任何IP的请求 }; 将forward配置删除，改为recursion yes，注意递归查询配置好了后，未访问过的域名第一次解析域名会失败，第二次就会正常，BIND会写入缓存中。

指定域名转发配置

当我们有两条线路时，如果需要转发指定的域名，到另外一条线路DNS进行解析，进入named.conf.default-zones，在配置文件后添加如下： zone "google.com" { type forward; forward first; forwarders { 8.8.8.8; }; }; zone类型是forward，转发类型为first，仅转发一次，如果失败，会使用options下的DNS解析

重启bind服务

当你每次设置完bind配置后，需重启bind9服务 /etc/init.d/bind9 restart 通过netstat 命令查看服务是否启动 root@raspberrypi:/etc/bind# netstat -nptul Active Internet connections (only servers) Proto   Recv-Q      Send-Q      Local Address        Foreign Address     State    PID/Program name tcp        0                  0                192.168.88.88:53  0.0.0.0:*               LISTEN  18007/named tcp        0                  0                0.0.0.0:22              0.0.0.0:*                LISTEN  501/sshd tcp        0                  0                127.0.0.1:953          0.0.0.0:*              LISTEN  18007/named tcp6      0                  0                :::53                          :::*                         LISTEN  18007/named tcp6      0                  0                :::22                          :::*                         LISTEN  501/sshd tcp6      0                  0                ::1:953                      :::*                         LISTEN  18007/named udp       0                 0                192.168.88.88:53   0.0.0.0:*                                   18007/named udp6     0                0                 :::53                          :::*                                             18007/named 到此基本的DNS服务器搭建就完成，可以通过局域网内的电脑用192.168.88.88解析域名测试。

关于rndc

从上面的网络进程看，named除了开启tcp/udp的53端口监听外，还启用了一个953的端口，这个是用于rndc连接的，rndc（Remote Name Domain Controllerr）是一个远程管理bind的工具，通过这个工具可以在本地或者远程查看当前服务器的运行状况，也可以对服务器进行关闭、重载、刷新缓存、增加删除zone等操作。 如果有多台BIND DNS服务器组网，可以通过rndc命令进行统一管理，例如1台服务器做了配置荣光rsync进行同步到其他服务器，再通过rndc命令进行统一执行 rndc reload   #重新载入配置，类似与重启服务 rndc flush   #刷新DNS服务缓存 rndc配置，通过rndc.key进行同步。 rndc配置需要通过 rndc-confgen 生成配置文件 rndc-confgen > /etc/bind/rndc.conf 生成文件后，可以查看配置 root@raspberrypi:/etc/bind# cat rndc.conf # Start of rndc.conf key "rndc-key" { algorithm hmac-md5; secret "+kxliHl+1qRqD90khsUOrg=="; }; options { default-key "rndc-key"; default-server 127.0.0.1; default-port 953; }; # End of rndc.conf # Use with the following in named.conf, adjusting the allow list as needed: # key "rndc-key" { # algorithm hmac-md5; # secret "+kxliHl+1qRqD90khsUOrg=="; # }; # # controls { # inet 127.0.0.1 port 953 # allow { 127.0.0.1; } keys { "rndc-key"; }; # }; # End of named.conf   根据配置文件提示，上面部分配置需要加入到named.conf中 include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones"; key "rndc-key" { algorithm hmac-md5; secret "+kxliHl+1qRqD90khsUOrg=="; }; controls { inet 127.0.0.1 port 953 allow { 127.0.0.1; } keys { "rndc-key"; }; }; 原来的rndc.key文件还在，如果执行rndc reload出现以下提示，可以忽略，也可以将rndc.key文件重命名 WARNING: key file (/etc/bind/rndc.key) exists, but using default configuration file (/etc/bind/rndc.conf) 在rndc中的controls配置，是可以控制远端服务器提交的执行命令，也就是可以通过一台服务器来管理多台