○ named.confファイル

・bind-9.8.1で使っています
・グローバルアドレスが1つの場合です
・完全コピーしないこと (エラーが出ることあり)

・行の先頭の // 以降は改行されるまでのコメントです
・ /*  */で囲まれた部分もコメントです
・named.conf ファイルでは ; 記号はコメント用ではありません
・key の "secret" の値は128bitの値で、実際とは異なります
・allow-transfer の "aaa.bbb.ccc.ddd" には 2nd.name.server のIPアドレスを記述
・詳しい説明は省略します

○/etc/named.conf

// Setting for BIND9

acl 528pnet {
    192.168.0.0/24;
    127.0.0.1;
};

logging {
/*  channel queries-log {
        file "/var/named/queries.log" versions 4 size 10m;
        severity info;
        print-time yes;
        print-category yes;
        print-severity yes;
    }; */
    channel "default_syslog" {
        syslog daemon;
        severity info;
    };
    channel null {
    null;
    };
    category edns-disabled { null; };
    category lame-servers { null; };
    category resolver { null; };
//  category queries { queries-log; };
    category security { default_syslog; };
    category general { default_syslog; };
    category default { default_syslog; };
};

options {
    directory "/var/named";
    pid-file "/var/named/named.pid";
    session-keyfile "/var/named/session.key";
    auth-nxdomain yes;
    version " ";
    allow-query { none; };
    allow-transfer { none; };
    recursion no;
    dnssec-enable yes;
    dnssec-validation auto;
    dnssec-lookaside auto;
    bindkeys-file "/etc/bind.keys";
    empty-zones-enable no;
    root-delegation-only  exclude {
        "de"; "lv"; "to"; "us"; "museum";
    };
    blackhole {
        208.78.169.234;
        208.78.169.235;
        208.78.169.236;
        204.11.51.59;
        204.11.51.61;
    };
};

key "rndc-key" {
    algorithm hmac-md5;
    secret "BsLtRyyU2gIgPAmofxAssQ==";
};

controls {
    inet 127.0.0.1 port 953
        allow { 127.0.0.1; } keys { "rndc-key"; };
};

//
//LAN setting
//

view "internal" {
    match-clients { 528pnet; };
    recursion yes;
    allow-recursion { 528pnet; };
    allow-query { 528pnet; };
    allow-transfer { 528pnet; };

    zone "." {
        type hint;
        file "data/named.cache";
    };

    zone "localhost" {
        type master;
        file "data/localhost.fwd";
    };

    zone "528p.com" {
        type master;
        file "data/in528p.com.fwd";
    };

    zone "0.0.127.in-addr.arpa" {
        type master;
        file "data/localhost.rev";
    };

    zone "0.168.192.in-addr.arpa" {
        type master;
        file "data/in528p.com.rev";
    };
};

//
//WAN setting
//

view "external" {
    match-clients { any; };
    recursion no;
    allow-query { any; };

    zone "528p.com" {
        type master;
        file "data/ex528p.com.fwd";
        allow-transfer {
            127.0.0.1;
            aaa.bbb.ccc.ddd;
        };
    };

    zone "3.201.117.219.in-addr.arpa" {
        type master;
        file "data/ex528p.com.rev";
        allow-transfer {
            127.0.0.1;
            aaa.bbb.ccc.ddd;
        };
    };
};

○named.confの構文チェック (内容のチェックではない)

・named-checkconfはデフォルトで/etc/named.confを読み込みます

# named-checkconf

・chrootしている場合は、chrootディレクトリを指定します

# named-checkconf -t /var/chroot/bind

○簡単な説明

・全体制御・
acl アクセスできるグループとアドレスを指定します、

構文の中で使用する事ができます
logging logの取り方を指定します、デフォルトではsyslog経由で

/var/log/messagesに出されます

queriesは (rndc querylog) を実行する毎にON・OFFが切り替わります

(rndc status) で確認できます

設定例ではコメント行になっていて、クエリログは取っていません

lame-servers { null; } (名前解決の失敗)のログを破棄します

resolver { null; } (相手先のDNSのformat error)のログを破棄します
options directory作業ディレクトリを指定します

pid-file named.pidの場所を指定します

( デフォルトは /var/run/named/named.pid)

session-keyfile session.keyの場所を指定します

( デフォルトは /var/run/named/session.key )

auth-nxdomain yes; messagesに警告がでるので表記しています

version " "; ヴァージョンを表示しない設定?

dnssec-enable yes; DNSSEC応答、検証を有効にします
dnssec-validation auto; autoはbind-9.8.0から有効です
dnssec-lookaside auto;

bindkeys-file built-in trusted-keys(dlv.isc.org)を上書きします

empty-zones-enable no; built-in empty zone を無効とします

root-delegation-only;ワイルドカードドメイン問題の対応です?

blackhole 不正なアクセスをするホストを除きます
controls rndcで制御するための設定です


・個別制御・
view ローカルとグローバルを分けています

view 内の設定は互いに影響しません

view "internal"でローカルからの問い合わせに対応します

view "external"でグローバルからの問い合わせに対応します
match-clients クライアントの制限をしています

anyと記述すれば無制限になります
recursion 再帰的なクエリの許可です、ローカルのみ許可しています

options内に記述すれば全体で有効になります

オプションを指定しなければ全て許可されます
allow-query 通常のクエリを許可するホストを指定します

options内に記述すれば全体で有効になります

オプションを指定しなければ全て許可されます
allow-transfer ゾーン転送を許可するホストを指定します

view "external"ではlocalhostと2nd.name.serverに制限しています

options内に記述すれば全体で有効になります

オプションを指定しなければ全て許可されます

○ Copyright(c) 528p.com All Rights Reserved.