在FreeBSD上建立双DNS

在FreeBSD上建立双DNS(1) 作者：Yu-lin Cha  

   在一个 Firewall 系统上面，我们希望外部机器无法查寻内部机器的 IP 与hostname 的对照表，但内部机器彼此间却需要互相认识。如果我们只能在一台机器上建立 DNS server 而且它要能同时服务内外两个网络的使用者时，这样的要求可以借着两种方法来达成。一是建立两个独立的 DNS 程序, 分别服务内外两个网络的使用者，第二种方法是利用 BIND 本身的功能，来限制查寻(query)者的身份。这边，我们选用第一种(也是比较复杂的)方法作示范。:p  
    
  　此外，为了安全上的考量，我们也希望 DNS server 执行起来的时候，能使用 root 以外的身份，并且能以 change root directory (chroot) 的动作。  

    
  　本文采用的范例，外部网络为 140.109.7.* (*.wsl.sinica.edu.tw)，内部网络使用 192.168.7.* (*.ascc)。我们使用 FreeBSD 3.3-STABLE 为操作系统做一个完整的练习，至于 Linux 的部份，已经有人写好了，请参考 Dave Lugo 的文章，位置是 http://www.etherboy.com/dns/chrootdns.html  
    
  §前置作业§  
  　在开始动作之前，我们需要一个安装好的 FreeBSD 3.x-STABLE 操作系统, 可以由 ftp://bsd.sinica.edu.tw/ 来安装。还需要 BIND-8.2.x 版的 DNS 程序，可在 http://www.isc.org/ 找到，最新版的是 BIND-8.2.2-p5。这边假设操作系统已经安装好了，并且 BIND-8.2.2-p5 也已经编译好了，放在 /usr/local/src/bind8/src 下面。编译完 BIND 不须要执行 make install, 因为等一下我们要手动把需要的程序安装到 chroot 的位置去。  
    
  §建立 chroot 区域§  
  　假设我们 chroot 的位置是 /usr/local/BIND-ROOT/ 以下的指令可以把需要的目录建立起来。  
    
   # mkdir /usr/local/BIND-ROOT  
   # cd /usr/local/BIND-ROOT  
   # mkdir dbfile_public  
   # mkdir dbfile_private  
   # mkdir dev  
   # mkdir etc  
   # mkdir lib  
   # mkdir sbin  
   # mkdir usr  
   # cd usr  
   # mkdir libexec  
   # ln -s ../lib lib