5154

在Debian系统上部署DNS（Domain Name System）服务器是一项基础且重要的网络管理任务，它能够将人类易于记忆的域名（如www.example.com）解析为机器可读的IP地址，通过自建DNS服务器，网络管理员可以获得更高的控制权、提升解析速度并增强网络隐私，本文将详细介绍在Debian系统上部署DNS服务器的完整流程，主要使用互联网上最流行、功能最强大的DNS软件套件——BIND（Berkeley Internet Name Domain）。

准备工作

在开始之前,请确保您已经具备以下条件：

1. 一台运行Debian的服务器：本文以Debian 11/12为例,但步骤同样适用于其他较新的Debian版本。
2. 静态IP地址：DNS服务器必须拥有一个固定的IP地址，以确保客户端始终可以找到它,请确保您的服务器已经配置了静态IP。
3. 管理员权限：您需要一个具有sudo权限的用户账户，或者直接以root用户身份操作。
4. 更新软件包列表：在安装任何新软件之前，建议先更新本地的软件包索引：

   sudo apt update

安装BIND软件

BIND是Debian官方仓库中提供的标准DNS软件，安装过程非常简单，只需一条命令即可完成，我们将安装bind9主程序以及一些实用的工具和文档。

sudo apt install bind9 bind9utils bind9-doc -y

• bind9：DNS服务器的核心程序。
• bind9utils：包含dig、nslookup、host等DNS查询和测试工具。
• bind9-doc：包含BIND的官方文档,可供深入查阅。

安装完成后，BIND服务会自动启动，您可以使用systemctl status bind9命令来检查其运行状态。

配置BIND

BIND的主要配置文件位于/etc/bind/目录下，我们需要对几个关键文件进行修改,以使其符合我们的需求。

配置主选项文件

编辑/etc/bind/named.conf.options文件，这个文件定义了DNS服务器的全局行为，如监听地址、允许查询的客户端范围以及转发器等。

sudo nano /etc/bind/named.conf.options

一个典型的配置如下所示,您可以根据您的网络环境进行修改：

options {
    directory "/var/cache/bind";
    // 如果希望DNS服务器响应所有网络接口的请求，注释掉下面一行
    // listen-on { 127.0.0.1; };
    // 如果希望只响应内网请求，可以这样配置
    listen-on { 192.168.1.10; }; // 替换为您的服务器静态IP
    // 允许任何客户端查询
    allow-query { any; };
    // 如果只希望内网查询，则配置为 allow-query { 192.168.1.0/24; };
    // 配置转发器，当本地DNS无法解析时，将请求转发给公共DNS服务器
    forwarders {
        8.8.8.8;
        8.8.4.4;
        1.1.1.1;
    };
    //============================================================================
    // If BIND logs error messages about the root key being expired,
    // you will need to update your keys.  See https://www.isc.org/bind-keys
    //============================================================================
    dnssec-validation auto;
    listen-on-v6 { none; }; // 如果不使用IPv6，可以禁用
};

关键配置项解释：

• listen-on：定义DNS服务器监听的IP地址。
• allow-query：定义哪些客户端可以向此DNS服务器发起查询请求。
• forwarders：非常重要的一项配置，当您的服务器无法解析某个域名（外部网站）时,它会将请求转发给这里列出的公共DNS服务器。

定义本地DNS区域

我们需要告诉BIND它需要负责解析哪些域名，这通过编辑/etc/bind/named.conf.local文件来实现，我们将在这里添加正向解析区域（域名到IP）和反向解析区域（IP到域名）的定义。

sudo nano /etc/bind/named.conf.local

在文件末尾添加以下内容（请将example.com和168.1.in-addr.arpa替换为您自己的域名和反向网络）：

// 正向解析区域
zone "example.com" {
    type master;
    file "/etc/bind/db.example.com";
};
// 反向解析区域 (假设您的内网是192.168.1.0/24)
zone "1.168.192.in-addr.arpa" {
    type master;
    file "/etc/bind/db.192.168.1";
};

创建区域文件

我们需要为上面定义的每个区域创建对应的区域文件,其中包含具体的DNS记录。

创建正向解析区域文件： 我们可以从模板文件复制一份,然后进行修改。

sudo cp /etc/bind/db.local /etc/bind/db.example.com
sudo nano /etc/bind/db.example.com

如下：

$TTL    604800
@       IN      SOA     ns1.example.com. admin.example.com. (
                              2         ; Serial (每次修改后务必增加此数值)
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      ns1.example.com.
@       IN      A       192.168.1.10
ns1     IN      A       192.168.1.10
www     IN      A       192.168.1.20
mail    IN      A       192.168.1.30

创建反向解析区域文件： 同样,从模板复制并修改。

sudo cp /etc/bind/db.127 /etc/bind/db.192.168.1
sudo nano /etc/bind/db.192.168.1

如下：

$TTL    604800
@       IN      SOA     ns1.example.com. admin.example.com. (
                              2         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      ns1.example.com.
10      IN      PTR     ns1.example.com.
20      IN      PTR     www.example.com.
30      IN      PTR     mail.example.com.

检查配置与启动服务

在应用新配置之前,最好先检查一下语法是否正确。

# 检查主配置文件
sudo named-checkconf
# 检查正向区域文件
sudo named-checkzone example.com /etc/bind/db.example.com
# 检查反向区域文件
sudo named-checkzone 1.168.192.in-addr.arpa /etc/bind/db.192.168.1

如果所有命令都没有返回任何错误信息，说明配置文件语法正确,可以重新加载或重启BIND服务使配置生效。

sudo systemctl restart bind9
sudo systemctl enable bind9

客户端配置与测试

将客户端计算机的DNS服务器地址指向您新部署的Debian DNS服务器（例如192.168.1.10），在客户端或服务器本身上使用nslookup或dig工具进行测试。

# 测试正向解析
nslookup www.example.com
# 预期输出应指向 192.168.1.20
# 测试反向解析
nslookup 192.168.1.20
# 预期输出应显示 www.example.com
# 测试外部域名解析（通过转发器）
nslookup www.google.com
# 预期输出应能正确解析

至此，一个功能完备的Debian部署DNS服务器就配置完成了，它不仅能够解析您自定义的内部域名,还能通过转发器为客户端提供互联网域名解析服务。

相关问答FAQs

问题1：为什么我的DNS服务器无法解析外部域名，但解析本地域名正常？ 解答： 这个问题通常有两个主要原因，第一，请检查/etc/bind/named.conf.options文件中的forwarders配置是否正确填写了公共DNS服务器的IP地址（如8.8.8.8），如果该配置项为空或被注释，服务器将无法转发外部查询请求，第二，请确保您的防火墙（如ufw或iptables）允许DNS服务器向外部的53端口发送UDP和TCP请求，您可以使用sudo ufw status检查防火墙状态，并使用sudo ufw allow out 53命令放行出站流量。

问题2：我修改了区域文件后，为什么域名解析没有更新？ 解答： 这是因为BIND服务不会自动检测到区域文件内容的变化，您需要做两件事：打开您修改的区域文件（如db.example.com），找到SOA记录中的Serial序列号，并将其数值加1（例如从2改为3），这个序列号用于告诉BIND服务器该区域文件已更新，执行命令sudo rndc reload或sudo systemctl reload bind9来平滑地重新加载配置，这比restart更高效，不会中断现有的DNS连接，完成这两步后,新的解析记录就会生效。