Ubuntu升级后无法联网？

在Linux系统上搭建DNS服务器是管理网络基础设施的关键步骤,尤其适用于企业内网解析、域名托管或提升本地网络效率，以下基于专业、安全、可验证的实践指南，使用开源的BIND9（Berkeley Internet Name Domain）软件，适用于Ubuntu/CentOS等主流发行版，所有步骤均通过实测验证，确保可操作性。

DNS核心概念与搭建意义

• DNS作用：将域名（如 www.example.com）转换为IP地址（如 168.1.10），是互联网的“电话簿”。
• 搭建价值：
  • 加速内网域名解析,减少公网查询延迟。
  • 自主管理私有域名（如 internal.company）。
  • 提升网络安全性（如屏蔽恶意域名）。

环境准备与安装BIND9

系统要求

• Linux服务器（Ubuntu 20.04+/CentOS 7+）
• 静态IP地址（如 168.1.100）
• root或sudo权限

安装BIND9

# CentOS/RHEL
sudo yum install bind bind-utils

启动服务并设置开机自启

sudo systemctl start named   # CentOS
sudo systemctl start bind9   # Ubuntu
sudo systemctl enable named  # 或 bind9

配置主DNS服务器（以正向解析为例）

主配置文件：/etc/bind/named.conf

• 添加自定义域（如 example.local）：

  sudo nano /etc/bind/named.conf

  zone "example.local" {
      type master;
      file "/etc/bind/zones/db.example.local";  # 区域文件路径
  };

创建区域文件

sudo mkdir /etc/bind/zones
sudo nano /etc/bind/zones/db.example.local
```根据需求修改）：
```zone
$TTL 86400
@       IN      SOA     ns1.example.local. admin.example.local. (
                          2025081501  ; 序列号
                          3600        ; 刷新时间
                          1800        ; 重试时间
                          604800      ; 过期时间
                          86400       ; 最小TTL
)
@       IN      NS      ns1.example.local.
ns1     IN      A       192.168.1.100   ; DNS服务器IP
www     IN      A       192.168.1.200   ; 网站服务器
mail    IN      A       192.168.1.201   ; 邮件服务器

配置反向解析（可选）

• 在 named.conf 添加反向区域：

  zone "1.168.192.in-addr.arpa" {
      type master;
      file "/etc/bind/zones/db.192.168.1";
  };

• 创建反向区域文件 db.192.168.1：

  $TTL 86400
  @ IN SOA ns1.example.local. admin.example.local. ( ... )
  @ IN NS ns1.example.local.
  100 IN PTR ns1.example.local.   ; 192.168.1.100 -> ns1
  200 IN PTR www.example.local.   ; 192.168.1.200 -> www

安全加固与防火墙

限制访问范围

编辑 /etc/bind/named.conf.options：

options {
    listen-on port 53 { 192.168.1.100; };  # 只监听内网IP
    allow-query { 192.168.1.0/24; };       # 仅允许内网查询
    recursion no;                           # 关闭递归查询（防DNS放大攻击）
};

防火墙放行DNS

# Ubuntu (UFW)
sudo ufw allow from 192.168.1.0/24 to any port 53
# CentOS (Firewalld)
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="53" protocol="tcp" accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="53" protocol="udp" accept'
sudo firewall-cmd --reload

测试与验证

检查配置文件语法

sudo named-checkconf     # 检查主配置
sudo named-checkzone example.local /etc/bind/zones/db.example.local  # 检查区域文件

重启服务并测试解析

sudo systemctl restart bind9   # 或 named
dig @192.168.1.100 www.example.local  # 应返回192.168.1.200
nslookup mail.example.local 192.168.1.100

客户端配置

• 将客户端的DNS服务器设置为 168.1.100（通过/etc/resolv.conf或网络管理器）。

故障排查与常见问题

• 解析失败：
  • 检查区域文件序列号（修改后需递增）。
  • 使用 journalctl -u bind9 查看日志。
• 拒绝查询：
  • 确认 allow-query 范围是否覆盖客户端IP。
  • 防火墙是否放行UDP/TCP 53端口。
• DNS劫持防护：
  • 定期更新BIND版本（sudo apt upgrade bind9）。
  • 使用TSIG密钥认证主从同步（参考BIND官方文档）。

高级建议

1. 主从架构：部署备用DNS服务器，修改区域文件中的 NS 记录并配置区域传输。
2. DNSSEC：启用加密验证（编辑 named.conf 添加 dnssec-enable yes;）。
3. 监控工具：使用 rndc status 或Prometheus+grafana监控查询负载。

自主搭建DNS服务器赋予您完全的网络控制权,但需持续关注安全更新与日志审计，建议结合本地环境需求调整配置，并通过压力测试验证稳定性，对于公网域名解析，请遵循ICANN注册规范并配置GLUE记录。

引用说明：

• BIND 9 官方文档：ISC Documentation
• Linux 防火墙指南：Red Hat Firewalld
• DNS安全实践：CIS BIND Benchmark