有些网站为什么需要用到国内免备案服务器呢? bc、h站、ssc、竞猜、市场目前正火爆，每天的利润惊人，但是同样也面对着国内301跳转，域名被墙，80端口无法访问，想要国内用户访问网站就需要做国内免备案，完美解决长城防火墙域名被墙下面我就具体给大家讲解一下： 国内防火长城（chinaddos） 是中国对因特网内容进行自动审查和过滤监控系统，主要架设在国际宽带入口网关。被网友简称GFW， 主要作用IP封锁、主干路由器的关键字过滤阻断、域名劫持和HTTPS证书过滤等4种功能。像类似的谷歌、facebook之类的网站全部都在防火长城的过滤之内。网站如果被防火长城过滤，主要现象就是打开境外网站的时候提示连接已经被重置,网页无法正常打开。国外的用户则可以正常显示被过滤的域名如果解析到国内服务器，国外的用户需要访问这个网站的时候，由于需要通过国际端口的防火墙，同样也会被过滤不能访问, 由于国内网站都需要备案的限制,很多类似低俗等网站都将服务器移至国外,稍有不慎，关键字抵触到敏感信息，会被防火长城过滤被封杀,域名被封杀，域名基本残废。 域名被墙： 如果域名ping的通却打不开网站（排除服务器宕机），用代理或者使用VPN可以打开一般说明域名被封了，假如域名下的网站非法信息多，敏感，又不整改，会直接被长城防火墙墙掉，就是通常所说的被封锁、被屏蔽、被和谐，结果就是访问域名是打不开的，但是解析是正常的，此时域名在国内是无法使用的，国外可以访问和使用。 域名被墙在国内是无法申诉，无法解封的，只能将被墙域名解析到国内空间，然后做301跳转到新域名，以减少流量和权重的丢失，或者换成国内免备案服务器，国内免备案，能支持301跳转，能解决域名被墙的问题，域名不需要备案就可以开80端口挂网站。 要保存客源或者权重，只能通过解析国内免备案高防服务器跳转到新域名这是唯一的途径。 域名被墙,被屏蔽,如何防范如何处理? 假如域名下的网站非法信息多,敏感,又不整改,会直接被GFW墙掉,结果就是访问域名是打不开的,但 是解析是正常的，此时域名在国内是无法使用的,国外可以访问和使用。 解决方案:把域名转回国内免备案服务器,正常做备案开通网站。 A.域名被间歇性屏蔽: 如果间歇性的可以打开,打不开的时候用国外代理可以打开,说明域名被间歇性的屏蔽(当然这个情况也可能是国内DNS解析不稳定造成的) 假如域名下的网站出现非法信息,会暂时打不开,过会又可以打开,一般就判断为间歇性屏蔽。 解决方案:检查网站内容,删除敏感信息词条关键字。 B.IP被封:如果ping不通,使用国外代理可以打开一般可以确定是ip被封。 注意:一般来说,如果你的域名解析的地址是国外的就会被墙,如果绑定国内免备案服务器的IP一般是不会被墙的。 C.域名被墙多数是因为网站上存在过多非法关键词,导致中国国际出口上的长城防火墙拦截了这个域名的信息。 现在国内免备案服务器查的非常严，一经发现机房会受到严重的惩罚，但是还是有机房铤而走险，做国内免备案服务器。因此国内免备案服务器是真是存在的，支持域名无限免备案，但是想要长久稳定的使用风险很大。所以MMCloudIDC推荐大家使用免备案的海外服务器，尤其是香港免备案服务器非常好，不仅可以自己使用还可以给自己的朋友合作伙伴等一起共享减低成本，对于ssc/菠菜/h站/竞猜/等业务的用户简直就是一大福音，企业用户也是可以使用免去域名问题的烦恼彻底无忧！

什么是蜘蛛池？ 蜘蛛池是一种通过利用大型平台权重来获得百度收录以及排名的一种程序。通过做大量泛站让搜索引擎收录，以作为外链资源吸引蜘蛛抓取。当有新的网站需要收录时，只需要把网站链接放到我们的泛站资源上，就可以快速获得蜘蛛抓取和权重传递。 为什么很多人说蜘蛛池没有效果呢？ 蜘蛛池的工作原理决定了其只是大幅增加蜘蛛的爬取量，而实际是否收录、排名高低，还是跟网站质量有关。如果网站内的文章大部分来源于采集，蜘蛛池确实没有什么作用，因为蜘蛛池的意义就是为网站吸引大量蜘蛛，如果你网站的内容都是采集的或者文章质量很低，那么就算有再多的蜘蛛还是不会被百度收录。 搭建蜘蛛池使用站群服务器的必要性 为什么搭建蜘蛛池要用站群服务器呢？因为搭建蜘蛛池首选需要做大量泛站群来吸引蜘蛛，显而易见的泛站群数量越多、质量越高，吸引的蜘蛛也就越多，蜘蛛池对网站的收录效果也就越好。要做出质量高、数量多的泛站群，既要保证同一IP下绑定的域名不能太多，又要保证域名数量足够， 站群服务器就成了必不可少的选择。除此之外，站群服务器可以更大程度地应对攻击造成的IP被封；还可以有效地利用冗余，减少服务器的负载。 应该租用香港还是美国站群服务器？ 现在市场上的站群服务器主要分为香港站群服务器和美国站群服务器，那么搭建蜘蛛池应该租用哪里的服务器呢？凡事无绝对，香港和美国的站群服务器各自拥有不同的特点，适合不同类型的用户使用，需要根据自己实际情况出发选择不同服务器。 香港站群服务器：国内访问速度更快更稳定，也更容易吸引蜘蛛。但由于带宽小而且成本很高，所以香港站群服务器的价格更高，而且可能出现带宽不足的瓶颈。适合体量小或预算高的用户。 美国站群服务器：IP和带宽资源非常充足，价格比香港站群服务器低很多。但国内访问速度远不如香港站群服务器，蜘蛛池的泛站收录需要花费更多时间。美国站群服务器也是目前大多数普通用户的选择。 作为国内知名的IDC商之一，MMCloud提供的站群服务器性能稳定，一直是蜘蛛池建站的首选。详询客服QQ95015688 官网：www.mmcloud.com。

如今越来越多的企业和站长朋友喜欢做论坛网站，因为论坛站往往具备较强的用户互动性和内容覆盖，对于流量排名也有不错的效果。那么，如何建论坛呢?建一个论坛需要多少钱，建论坛去哪租服务器? 首先，做网站就必须得有域名，论坛也一样，所以第一步就要先注册购买一个域名。国内提供域名注册的服务商很多，大家可以选择购买，也可以直接到MMCloud注册即可。 其次，论坛网站有了域名，当然就需要有网站空间。通常根据论坛的类型和需求不同，所需的空间类型也不同。如果你只是建一个小的论坛，访问流量也不大，建议直接选择虚拟主机即可；如果你是做一个普通的论坛，用户留言互动较多，流量也不少的话，推荐选择云服务器；如果你是建一个大型的论坛，类似于门户网站，用户访问量也比较大，建议选择配置较高的云主机或者独立服务器。 有了域名和空间，就需要备案才能使用。备案成功之后，在“域名”——“域名管理”里面找到自己的域名，然后点击后面的“解析”，会进入域名控制面板里，里面有个“别名（CNAME）”，点击“添加新的别名”，添加一个www的别名指向刚才收到邮件里那个“FTP地址”的地址就可以。在“云主机管理”里面找到自己的主机，点击后面的“管理”，然后就进入了主机控制面板（第一次进来会要求重置一下密码，很简单）。然后进入“基础环境设置”--“绑定域名”里面，在里面输入了自己的域名（前面加上www.）后点击“添加”。添加成功后在下方的列表里会显示。 然后就需要下载一个FTP软件，在主机管理中找到FTP登录名和密码，并登陆FTP。之后就需要选择一款论坛程序，一般国内使用较多的就是Discuz,Discuz!提供了4种不同的编码：GBK简体中文版、UTF-8简体中文版、BIG5繁体中文版、UTF-8繁体中文版，用户可根据自己的需求进行选择下载，一般FTP推荐选用的是UTF-8版本的。 最后，在浏览器中打开你注册的域名，进入Discuz安装向导安装论坛程序，并选择论坛模板，Discuz会提供免费的论坛模板和付费的两种，可根据自身要求选择。 通过以上步骤，无论是新手站长还是刚入行的企业都可以轻松建立自己的论坛，而建一个论坛究竟多少钱？其实主要付费的地方是域名、网站空间、模板（付费的)，论坛的域名空间大致一年也就300-500元，而模板费用从几百元到上千元都有，看自己的选择来最终确定预算。   国内用户在使用海外服务器搭建论坛网站的时候，不能随便拿一个海外服务器就开始建站，在选择海外服务器上也是要注意很多东西的，下面下面就带大家了解论坛建站租用海外服务器的注意事项。 论坛建站租用海外服务器注意事项 注意事项一、选择最近的海外服务器搭建论坛 根据论坛面向的用户，选择离用户最近的海外服务器，这样可以保障用户的访问速度。比如，如果面向的是国内用户，那么论坛建站选择主机空间就可以使用香港主机，这样用户访问起来是非常快的。 注意事项二、选择资源合适的海外服务器搭建论坛 根据论坛规模的大小，以及以后论坛发展的趋势，选择相对应的海外服务器配置，这样可以让论坛稳定的运行。如果前期没有太多的资金，可以先选择配置小一点的海外服务器，等到后期再转换成配置高的海外服务器。 注意事项三、选择正规的海外服务器提供商 选择一家正规的海外服务器提供商是非常重要的，因为一家正规的海外服务器提供商不仅能保障主机的稳定运行，还能在你遇到问题的时候帮助你及时的进行解决。 注意事项四、选择和建站程序更兼容的海外服务器 由于目前有很多论坛建站程序，而且也有很多种不同的语言，为了能让论坛程序和主机更加的兼容，所以在选择建站程序和海外服务器的操作系统时，要选择两者更加兼容的方案。 以上就是小编向大家介绍的论坛建站选择海外服务器注意事项。只要按照小编向大家介绍的这几点要求去选择海外服务器，那么您的论坛一定能够很好的运行。 MMCloud专业提供香港服务器、美国服务器、韩国服务器、新加坡服务器、日本服务器租用等全球海外服务器主机资源，服务受到行业和用户的一致好评。

选择国内服务器最重要的就是选择适合的，比如个人网站或者流量不是很大的网站可以选择入门级的像突发性能实例，价格会便宜一些，如果是公司用，要看公司主要做哪方面的，像开发游戏、数据分析、高网络包收发场景的考虑计算型国内服务器，互联网行业、金融行业等有大数据计算与存储分析需求的最好选择大数据型的国内服务器，配置选低了或高了都没事，这个可以随意升降配置。 在进行国内服务器选择的时候，常见的有几个参数： 1、CPU：CPU代表主机的运算能力，静态页面比较多的网站对CPU的消耗比较小，动态页面对CPU消耗比较大，所以建议选择2核心以上的CPU。 2、内存：内存也是至关重要的因素，可用越多，打开网站速度越快。对中小型网站还需要使用MySQL或者Sql Server的数据库最少选择1G以上内存，因为数据库运行也是比较消耗内存的。 3、硬盘：硬盘就根据程序以及数据库的实际情况来定了，系统本身会占用一部分硬盘空间，所以开通以后看到硬盘会占用点这个是操作系统文件。 4、带宽：VPS或者国内云服务器对流量是没限制的，所以就需要考虑带宽了。带宽越大，访问网站时速度越快。所以网站访问量比较大时带宽也需要选择较大的带宽。 5、线路选择：常用线路有多线、联通、电信，境外的有香港、美国的。这个根据自己业务面向用户选择最佳线路就可以了。 6、关于备案：域名在境内使用都需要在工信部进行备案，MMCloud提供0元免费备案服务，1-15天完成备案。使用境外国内服务器的则可以直接绑定域名使用，不需要进行备案。 那么如何选择国内服务器租用服务商呢？ 由于每个IDC服务商的机房都是不同的，包括国内服务器的配置和线路、宽带等，结合自身企业的实际情况来选择适合自己的国内服务器租用商家。可以参考以下四点。 1、对国内服务器租用市场进行一个简单的调查，了解一下最基本的一些信息，比如租用价格、国内服务器的种类、机房的级别、线路的种类等； 2、一个好的国内服务器租用企业它的技术一定要是过硬的，技术可以说是一个企业的核心竞争力，谁也不想自己选择的IDC服务商面临倒闭和破产的情况，而一个企业的技术主要要考察专业化的技术人员、提供给客户的专业的服务、对机房和国内服务器专业化的维护等； 3、一个好的服务也是判断国内服务器租用哪家好的一个标准，作为一个服务性质的企业，必须要从客户出发，为客户制定出高性价比的方案； 4、价格也是很多企业需要考虑的，价格一般情况下是和国内服务器、机房、配置和线路成正比关系的，所以在选择的时候，最好是根据自己的需求，不要抱着选贵的准没错的心理，最后很有可能造成资源的浪费。 如有相关需求详询MMCloud客服QQ4006-388-808 官网：wWw.IdcbeSt.Com。

很多SEO优化人员，都在追求百度快速收录与百度快速排名等捷径！蜘蛛池，一个既熟悉又陌生的词，我们知道搜索引擎网页的收录，完全取决于蜘蛛的爬行与抓取，早期，PC时代，对于百度而言网页的收录速度相对较慢，特别是新网站。 什么是蜘蛛池？ 蜘蛛池是一种通过利用大型平台权重来获得百度收录以及排名的一种程序。通过做大量泛站让搜索引擎收录，以作为外链资源吸引蜘蛛抓取。当有新的网站需要收录时，只需要把网站链接放到我们的泛站资源上，就可以快速获得蜘蛛抓取和权重传递。 为什么很多人说蜘蛛池没有效果呢？ 蜘蛛池的工作原理决定了其只是大幅增加蜘蛛的爬取量，而实际是否收录、排名高低，还是跟网站质量有关。如果网站内的文章大部分来源于采集，蜘蛛池确实没有什么作用，因为蜘蛛池的意义就是为网站吸引大量蜘蛛，如果你网站的内容都是采集的或者文章质量很低，那么就算有再多的蜘蛛还是不会被百度收录。 搭建蜘蛛池使用站群服务器的必要性 为什么搭建蜘蛛池要用站群服务器呢？因为搭建蜘蛛池首选需要做大量泛站群来吸引蜘蛛，显而易见的泛站群数量越多、质量越高，吸引的蜘蛛也就越多，蜘蛛池对网站的收录效果也就越好。要做出质量高、数量多的泛站群，既要保证同一IP下绑定的域名不能太多，又要保证域名数量足够， 站群服务器就成了必不可少的选择。除此之外，站群服务器可以更大程度地应对攻击造成的IP被封；还可以有效地利用冗余，减少服务器的负载。 应该租用香港还是美国站群服务器？ 现在市场上的站群服务器主要分为香港站群服务器和美国站群服务器，那么搭建蜘蛛池应该租用哪里的服务器呢？凡事无绝对，香港和美国的站群服务器各自拥有不同的特点，适合不同类型的用户使用，需要根据自己实际情况出发选择不同服务器。 香港站群服务器：国内访问速度更快更稳定，也更容易吸引蜘蛛。但由于带宽小而且成本很高，所以香港站群服务器的价格更高，而且可能出现带宽不足的瓶颈。适合体量小或预算高的用户。 美国站群服务器：IP和带宽资源非常充足，价格比香港站群服务器低很多。但国内访问速度远不如香港站群服务器，蜘蛛池的泛站收录需要花费更多时间。美国站群服务器也是目前大多数普通用户的选择。 作为国内知名的IDC商之一，MMCLOUD提供的站群服务器性能稳定，一直是蜘蛛池建站的首选。

随着手机的普及发展，越来越多的人在看小说了；小说站行业目前是一片蓝海，大有可为，很多站长也在部署搭建小说网站，为什么很多小说站长选择租用香港服务器呢？ 小说类的主要需要大硬盘，对带宽也有一定的要求，对防御没有要求，除非你现在做的比较大，有竞争对手。我不知道你目前做的有多大？每天的流量有多少。只能给你参考意见。国内可以放，要找对侵权、对内容限制不严格的公司。推荐的话小编没什么推荐的。高防服务器我有研究，你这种没有攻击的我不是很熟悉。记住大公司别选就对了。对版权有要求的。 小说站比较容易遭到DDOS攻击的，需要接入高防。腾讯云和阿里云普通的几百几千的高防防御能力都比较小，流量大点就防不住，能防几百上千G的就要上万，企业如果对成本控制有要求的话，可以选择墨者.安全的集群防护，防御能力是很不错的，成本也比阿里云、网易云、腾讯云这些大牌低，非常实在。 关键是是要做盗版的还是原创的？如果是盗版的小说网站，选国内的服务器就是找死，一抓一个准，罚款几百万，再免费送个几年牢饭。因为用国内的服务器就要实名备案，步骤麻烦到你怀疑人生。而且当地工信局会对你留下的手机号码定位，如果和IP地址不对，备案不通过，就不能绑定解析域名。如果你说不要广告？如果是原创的可以理解。如果是盗版的，那洗洗睡吧。国内服务器不适合建小说网站。 小说站服务器推荐租用MMCloud香港服务器；位于MMCloud香港自建机房，都采用BGP、CN2线路，不仅解决了南北互通的问题，也极大提升了香港服务器在国内的访问速度，平均Ping值在20ms以内，稳定性好、访问速度快。

本教程将向您展示如何使用广泛使用的BIND 9软件在Ubuntu18.04/16.04上设置和运行自己的权威名称服务器。 注意：本教程展示了命令行方法。如果您想从web GUI编辑DNS记录，我建议使用Webmin设置权威DNS服务器，这是一个免费的开源服务器控制面板。 什么是权威DNS服务器？ 如果您拥有一个域名，并且希望您自己的DNS服务器为您的域名处理名称解析，而不是使用您的域名注册商的DNS服务器，那么您需要设置一个权威的DNS服务器。 域名所有者使用权威DNS服务器来存储DNS记录。它为DNS解析程序（如8.8.8.8或1.1.1.1）提供权威答案，这些解析程序代表终端用户在PC、智能手机或平板电脑上查询DNS记录。 关于BIND BIND（Berkeley Internet Name Domain）是一款开源、灵活、功能齐全的DNS软件，由于其稳定性和高质量，在Unix/Linux上得到了广泛应用。它最初由加州大学伯克利分校（UC Berkeley）开发，后来在1994年被转移到互联网系统联盟（Internet Systems Consortium，Inc.）进行开发。 BIND可以同时充当区域的权威DNS服务器和DNS解析程序。DNS解析程序也可以称为递归名称服务器，因为它对本地客户端执行递归查找。然而，同时扮演两个角色并不有利。在两台不同的机器上分离这两个角色是一种很好的做法。 在上一篇文章中，我解释了在Ubuntu 18.04/16.04上设置本地DNS解析器的步骤。本教程将向您展示如何在Ubuntu 18.04/16.04上将BIND9设置为仅限权威的DNS服务器，并禁用递归。 先决条件 要学习本教程，您应该已经购买了域名。我在namescape注册了我的域名，因为价格低廉，而且他们终身免费保护whois的隐私。 你还需要两台服务器。一台服务器用于主DNS服务器，另一台用于从DNS服务器。理想情况下，这两台服务器应该位于不同的物理位置。如果一个DNS服务器处于脱机状态，另一个DNS服务器仍然可以响应您的域名的DNS查询。 每台服务器只需要512MB内存，以下是我推荐的主机提供商。我都用过了。 Vultr：起价为每月2.5美元。需要信用卡。你可以通过我的推荐链接在Vultr创建一个账户，获得50美元的免费信用。 DigitalOcean：起价为每月5美元。不需要信用卡。你可以用贝宝。你可以通过我的推荐链接在DigitalOcean创建一个帐户，获得50美元的免费信用。 一旦你买了两台服务器，在上面安装Ubuntu，并按照下面的说明操作。 使用BIND9在Ubuntu 18.04/16.04上设置权威DNS服务器 您需要在两台服务器上运行本节中的命令。 通过SSH登录这两台服务器，并从默认存储库运行以下命令，在Ubuntu 18.04/16.04上安装BIND 9。BIND 9是当前版本，BIND 10是一个死项目。 sudo apt更新sudo apt安装bind9 bind9utils bind9 doc 检查版本号。 命名为-v 样本输出： 绑定9.11.3-1 buntu1。3-Ubuntu（扩展支持版）&lt；识别号：a375815&gt； 要检查版本号和生成选项，请运行 命名为-V 默认情况下，绑定在安装后自动启动。您可以通过以下方式检查其状态： systemctl状态绑定9 如果它没有运行，那么从以下内容开始： sudo systemctl start bind9 并在启动时启用自动启动： sudo systemctl enable bind9 BIND服务器将以BIND用户的身份运行，该用户是在安装过程中创建的，并在TCP和UDP端口53上侦听，如运行以下命令所示： sudo netstat-lnptu | grep命名 绑定守护进程被称为named。（守护进程是在后台运行的软件。）命名的二进制文件由bind9包安装，还有另一个重要的二进制文件：rndc，远程名称守护程序控制器，由bind9utils包安装。rndc二进制文件用于重新加载/停止和控制绑定守护进程的其他方面。通信通过TCP端口953完成。 例如，我们可以检查绑定名称服务器的状态。 sudo rndc状态 主绑定配置文件/etc/BIND/named。conf从其他3个文件中获取设置。 /etc/bind/named。形态选项 /etc/bind/named。conf.local /etc/bind/named。conf.default-zones Ubuntu上的BIND9服务器提供了本地主机和本地网络客户端的递归服务。由于我们正在设置权威DNS服务器，因此需要禁用递归。编辑/etc/bind/named。conf.options文件。 sudo nano/etc/bind/named。形态选项 在选项{…}中添加以下行；条款 //出于安全原因，对客户端隐藏版本号。版本“当前不可用”；//在权威DNS服务器上禁用递归。递归否；//启用查询日志querylog yes；//不允许区域转移允许转移{none；}； 从技术上讲，您只需要添加递归no；禁用递归，但最好添加其他3条指令。保存并关闭文件。然后重启BIND。 sudo systemctl重启bind9 主DNS服务器配置 从两台服务器中选择一台作为主DNS服务器。我们将把它命名为ns1。实例通用域名格式。 主DNS服务器保存区域文件的主副本。在此服务器上更改DNS记录。一个域可以有一个或多个DNS区域。每个DNS区域都有一个区域文件，其中包含该区域中的每个DNS记录。为了简单起见，本文假设您希望使用单个DNS区域来管理您的域名的所有DNS记录。 /etc/bind/named。conf.default-zones文件定义根区域和本地主机区域。要为域名添加区域，请编辑/etc/bind/named。conf.local文件。 sudo nano/etc/bind/named。conf.local 将以下行添加到此文件。替换示例。使用你自己的域名。将12.34.56.78替换为从属DNS服务器的IP地址。 区域“example.com”{type master；file”/etc/bind/db.example.com”；允许查询{any；}；允许转移{12.34.56.78；}；}； 在上述配置中，我们使用zone子句创建了一个新区域，并指定这是主区域。区域文件是/etc/bind/db。实例com，我们将在其中添加DNS记录。仅允许从DNS服务器进行区域传输。保存并关闭文件。 我们可以使用区域模板文件，而不是从头创建区域文件。复制数据库的内容。空到一个新文件。 sudo cp/etc/bind/db。空/etc/bind/db。实例通用域名格式 区域文件可以包含3种类型的条目： 注释：以分号（；）开头 指令：以美元符号（$）开头 资源记录：又名DNS记录 区域文件通常由以下类型的DNS记录组成。 SOA（授权开始）记录：定义区域的关键特征。这是区域文件中的第一个DNS记录，是必需的。 NS（名称服务器）记录：指定用于存储DNS记录和回答域名DNS查询的服务器。区域文件中必须至少有两条NS记录。 MX（邮件交换器）记录：指定哪些主机负责域名的电子邮件传递。 （地址）记录：将DNS名称转换为IPv4地址。 AAAA（Quad A）记录：将DNS名称转换为IPv6地址。 CNAME记录（规范名称）：用于为DNS名称创建别名。 TXT记录：SPF、DKIM、DMARC等。 现在，让我们编辑区域文件。 sudo nano/etc/bind/db。实例通用域名格式 默认情况下，它如下所示： 你可以改成这个。 哪里 $TTL指令定义区域的默认生存时间值，即DNS记录可以缓存在DNS解析程序上的时间。该指令是强制性的。时间以秒为单位。 $ORIGIN指令定义基本域。 域名必须以点（.）结尾，这是根域。当域名以点结尾时，它是一个完全限定的域名（FQDN）。 @符号引用基本域。 在DNS类中。它代表互联网。存在其他DNS类，但很少使用。 区域文件中的第一条记录是SOA（授权开始）记录。此记录包含以下信息： 主DNS服务器。 区域管理员的电子邮件地址。RFC 2142建议使用电子邮件地址[email&#160；protected]。在区域文件中，此电子邮件地址采用以下形式：hostmaster。实例com，因为@符号在区域文件中有特殊含义。 区域序列号。序列号是从DNS服务器跟踪区域变化的一种方式。按照惯例，序列号采用日期格式：yyyymmddss，其中yyyy是四位数字的年份号，mm是月份，dd是日期，ss是日期的序列号。更改区域文件时，必须更新序列号。 刷新值。当达到刷新值时，从DNS服务器将尝试从主DNS服务器读取SOA记录。如果序列号变高，则启动区域传输。 重试值。定义从DNS服务器无法连接到主DNS服务器时的重试间隔（以秒为单位）。 到期：如果从属DNS服务器在这段时间内未能与主DNS服务器联系，则从属DNS服务器将停止响应此区域的DNS查询。 负缓存TTL：为不存在的DNS名称（NXDOMAIN）定义DNS响应的生存时间值。 TXT记录通常用双引号括起来。如果添加DKIM记录，还需要用括号括起该值。 保存并关闭文件。然后运行以下命令检查主配置文件中是否存在语法错误。无声输出表示未发现错误。 sudo命名为checkconf 然后检查区域文件的语法。 sudo命名为checkzone示例。com/etc/bind/db。实例通用域名格式 如果区域文件中存在语法错误，则需要修复它，否则将无法加载此区域。以下消息表示没有语法错误。 区域示例。com/IN:已加载序列号2019011503正常 然后重启BIND9。 sudo systemctl重启bind9 如果您使用的是简单防火墙（UFW），请打开TCP和UDP端口53。 sudo ufw allow 53/tcp sudo ufw allow 53/udp 如果您直接使用iptables防火墙，请运行以下命令。 sudo iptables-A INPUT-p tcp-dport 53-j ACCEPT sudo iptables-A INPUT-p udp-dprot 53-j ACCEPT 从DNS服务器配置 现在我们使用另一台服务器作为从DNS服务器，它将被命名为ns2。实例通用域名格式。 首先，编辑命名文件。conf.local文件。 sudo nano/etc/bind/named。conf.local 添加一个如下所示的区域。将12.34.56.78替换为主DNS服务器的IP地址。 区域“example.com”{type slave；文件“db.example.com”；允许查询{any；}；硕士{12.34.56.78；}；}； 在上面的配置中，我们指定这是示例中的从属DNS服务器。com区域，它将只接受来自受信任IP地址的区域传输。 保存并关闭文件。然后运行以下命令检查主配置文件中是否存在语法错误。 sudo命名为checkconf 如果没有发现错误，请重新启动BIND9。 sudo systemctl重启bind9 从DNS服务器上的区域文件是从区域传输加载的，该传输用于同步从主DNS服务器到从DNS服务器的DNS记录更改。BIND9重新启动后，区域传输将立即启动。使用以下命令检查BIND9日志。 sudo journalctl-eu bind9 您可以看到如下消息，这表明区域传输成功。 命名为[31518]：转移“示例”。com/IN'from 12.34.56.78#53：传输完成：1条消息，16条记录，886字节，0.004秒（221500字节/秒） 区域文件将另存为/var/cache/bind/db。实例通用域名格式。 如果您使用的是简单防火墙（UFW），请打开TCP和UDP端口53。 sudo ufw allow 53/tcp sudo ufw allow 53/udp 如果您直接使用iptables防火墙，请运行以下命令。 sudo iptables-A INPUT-p tcp-dport 53-j ACCEPT sudo iptables-A INPUT-p udp-dport 53-j ACCEPT 更多关于区域转移的信息 当达到SOA记录中的刷新时间时，从属DNS服务器将再次联系主服务器，如果主服务器上的序列号大于从属服务器上的序列号，则将启动区域传输。有两种类型的区域转移： 完整区域传输（AXFR）：传输区域文件的完整副本。 增量区域传输（IXFR）：仅传输更改的DNS记录。 两种类型的区域传输都使用TCP端口53。默认情况下，从属DNS服务器上的绑定将请求增量区域传输，而主DNS服务器上的绑定仅在区域是动态的情况下才允许增量区域传输。 区域传输间隔是DNS记录更改传播速度的主要因素。当区域发生更改时，绑定主机将通知从属DNS服务器，而不是等待从属DNS服务器联系。这可以大大缩短将区域更改传播到Internet的时间。 反向区 反向区域包含将IP地址映射到DNS名称的PTR记录。它是DNS A记录的对应项。PTR记录通常是邮件服务器通过垃圾邮件过滤器所必需的。此记录不属于域。您需要在主机提供商的控制面板上创建PTR记录，或者询问您的ISP，所以我不打算在BIND中介绍创建反向区域。 更改NS记录并创建胶水记录 现在你需要去你的域名注册商的网站更改你的域名的NS记录，这样互联网就会知道你现在正在使用自己的DNS服务器。通常在NS记录中使用主机名，比如ns1。实例com和ns2。实例通用域名格式。 名称服务器1:ns1。实例com名称服务器2:ns2。实例通用域名格式 如果你有一个域名的例子。com，您使用一个子域作为权威DNS服务器（ns1.example.com和ns2.example.com），然后您还需要在您的域注册器上创建一个粘合记录，以便Internet可以知道您的DNS服务器的IP地址。胶水记录是ns1的A记录。实例com和ns2。实例通用域名格式。 ns1。实例主服务器ns2的com IP地址。实例从服务器的com IP地址 上述信息将通过可扩展配置协议（EPP）发送给运行TLD DNS服务器的注册运营商，以便TLD DNS服务器知道您的域名的权威DNS服务器的主机名和IP地址。根据您使用的域注册器，您的NS记录可能会立即传播，或者传播可能需要24小时。你可以去https://dnsmap.io检查您的新NS记录是否处于活动状态。 我将向你展示如何在namescapet上实现这一点。 如果你在NameCheap购买了域名，请登录你的NameCheap帐户。选择左侧边栏上的域列表菜单，然后单击最右侧的管理按钮。 选择高级DNS。 滚动到页面底部，您将找到个人DNS服务器部分。单击添加名称服务器按钮添加您自己的名称服务器：ns1。实例com和ns2。实例通用域名格式。您需要输入名称服务器的IP地址。 添加两个名称服务器后，单击搜索按钮检查它们是否已成功添加。如果是这样，胶水记录将显示在此页面底部。 现在单击“域”选项卡，并使用自定义DNS服务器。 根据您使用的域注册器，您的NS记录可能会立即传播，或者传播可能需要24小时。你可以去https://dnsmap.io检查您的新NS记录是否处于活动状态。 在NS记录和glue记录被传播到Internet之后，DNS服务器将响应您的域名的DNS查询。您可以通过以下方式查看查询日志： sudo journalctl-eu bind9 您还可以使用dig实用程序检查域名的NS记录。 举个例子。通用域名格式 如果NS记录和glue记录已传播到Internet，您应该在“答案”部分看到您的名称服务器。如果您看到SERVFAIL错误，可能是因为您没有在名称服务器上打开UDP端口53。 需要知道的事情 术语主DNS服务器仅表示此服务器存储区域文件的主副本。在DNS解析方面，它没有更高的优先级。 更改区域文件时，请始终更新SOA序列号。 在绑定区域文件中使用通配符 如果要将所有子域指向同一IP地址，可以使用通配符来实现。例如，下面一行将使您的所有子域指向1.2.3.4 IP地址。 *.你的域名。com在1.2.3.4中的应用 启用解析器 BIND可以同时充当区域的权威DNS服务器和DNS解析程序。在两台不同的主机上分离这两个角色是一种很好的做法，在本文中，我们在BIND中禁用了解析器。如果您真的想启用解析器，请按照以下说明操作。 编辑绑定配置文件。 sudo nano/etc/bind/named。形态选项 找到下面几行。 //在权威DNS服务器上禁用递归。递归否； 将它们更改为以下内容，这样只有受信任的IP地址才能向DNS解析程序发送递归查询，而您的服务器将不会是开放的解析程序。 //仅允许对受信任的客户端进行递归。递归是的；允许查询{localhost；12.34.56.78；}； 将12.34.56.78替换为您自己的IP地址。保存并关闭文件。确保在/etc/bind/named中定义区域。conf.local文件具有以下选项，因此Internet可以查询您所在区域的DNS记录。 允许查询{any；}； 然后重启BIND。 sudo systemctl重启bind9 去https://openresolver.com/测试绑定服务器是否为开放式解析程序。 收尾 就这样！我希望本教程能帮助您在Ubuntu 18.04和Ubuntu 16.04上使用BIND9设置权威DNS服务器。和往常一样，如果你觉得这篇文章很有用，那么订阅我们的免费时事通讯以获得更多提示和窍门。当心?

本教程将向您展示如何使用广泛使用的BIND 9软件在Debian 10 Buster上设置和运行自己的权威名称服务器。 注意：本教程展示了命令行方法。如果您想从web GUI编辑DNS记录，我建议使用Webmin设置权威DNS服务器，这是一个免费的开源服务器控制面板。 什么是权威DNS服务器？ 如果您拥有一个域名，并且希望您自己的DNS服务器为您的域名处理名称解析，而不是使用您的域名注册商的DNS服务器，那么您需要设置一个权威的DNS服务器。 域名所有者使用权威DNS服务器来存储DNS记录。它为DNS解析程序（如8.8.8.8或1.1.1.1）提供权威答案，这些解析程序代表终端用户在PC、智能手机或平板电脑上查询DNS记录。 关于BIND BIND（Berkeley Internet Name Domain）是一款开源、灵活、功能齐全的DNS软件，由于其稳定性和高质量，在Unix/Linux上得到了广泛应用。它最初是由加州大学伯克利分校开发的，后来在1994年，它的开发转移到了互联网系统联盟（ISC）。 BIND可以同时充当区域的权威DNS服务器和DNS解析程序。DNS解析程序也可以称为递归名称服务器，因为它为最终用户执行递归DNS查找。然而，同时扮演两个角色并不有利。在两台不同的机器上分离这两个角色是一种很好的做法。 在前一篇文章中，我解释了在Debian 10 Buster上设置本地DNS解析器的步骤。本教程将向您展示如何在Debian 10 Buster上将BIND9设置为仅限权威的DNS服务器，并禁用递归。 先决条件 要学习本教程，您应该已经购买了域名。我在namescape注册了我的域名，因为价格低廉，而且他们终身免费保护whois的隐私。 你还需要两台服务器。一台服务器用于主DNS服务器，另一台用于从DNS服务器。理想情况下，这两台服务器应该位于不同的物理位置。如果一个DNS服务器处于脱机状态，另一个DNS服务器仍然可以回答您的域名的DNS查询。 每台服务器只需要512MB内存，以下是我推荐的主机提供商。我都用过了。 Vultr：起价为每月2.5美元。需要信用卡。你可以通过我的推荐链接在Vultr创建一个账户，获得50美元的免费信用。 DigitalOcean：起价为每月5美元。不需要信用卡。你可以用贝宝。你可以通过我的推荐链接在DigitalOcean创建一个帐户，获得50美元的免费信用。 购买两台服务器后，在其上安装Debian 10，并按照以下说明操作。 请注意，在Debian上安装软件时，您需要拥有root权限。可以在命令开头添加sudo，或者使用su-command切换到root用户。 使用BIND9在Debian 10 Buster上设置权威DNS服务器 您需要在两台服务器上运行本节中的命令。 通过SSH登录这两台服务器，并运行以下命令，从默认存储库在Debian 10服务器上安装BIND 9。BIND 9是当前版本，BIND 10是一个死项目。 sudo apt update sudo apt install bind9 bind9utils bind9-doc 检查版本号。 named -v 样本输出： BIND 9.11.5-P4-5.1-Debian (Extended Support Version) <id:998753c> 要检查版本号和生成选项，请运行 named -V 默认情况下，绑定在安装后自动启动。您可以通过以下方式检查其状态： systemctl status bind9 输出： ● bind9.service - BIND Domain Name Server Loaded: loaded (/lib/systemd/system/bind9.service; enabled; vendor preset: en Active: active (running) since Sun 2019-07-14 10:27:56 UTC; 4min 6s ago Docs: man:named(8) Main PID: 1481 (named) Tasks: 4 (limit: 1149) Memory: 13.7M CGroup: /system.slice/bind9.service └─1481 /usr/sbin/named -u bind 提示：如果上述命令没有立即退出，请按Q。 如果它没有运行，那么从以下内容开始： sudo systemctl start bind9 并在启动时启用自动启动： sudo systemctl enable bind9 BIND服务器将以BIND用户的身份运行，该用户是在安装过程中创建的，并在TCP和UDP端口53上侦听，如运行以下命令所示： sudo netstat -lnptu | grep named 绑定守护进程被称为named。（守护进程是在后台运行的软件。）命名的二进制文件由bind9包安装，还有另一个重要的二进制文件：rndc，远程名称守护程序控制器，由bind9utils包安装。rndc二进制文件用于重新加载/停止和控制绑定守护进程的其他方面。通信通过TCP端口953完成。 例如，我们可以检查绑定名称服务器的状态。 sudo rndc status 主绑定配置文件/etc/BIND/named。conf从其他3个文件中获取设置。 /etc/bind/named。形态选项 /etc/bind/named。conf.local /etc/bind/named。conf.default-zones Debian上的BIND9服务器提供了本地主机和本地网络客户端的递归服务。由于我们正在设置权威DNS服务器，因此需要禁用递归。编辑/etc/bind/named。conf.options文件。 sudo nano /etc/bind/named.conf.options 在options{…}子句中添加以下行。 // hide version number from clients for security reasons. version "not currently available"; // disable recursion on authoritative DNS server. recursion no; // enable the query log querylog yes; // disallow zone transfer allow-transfer { none; }; 从技术上讲，您只需要添加递归no；禁用递归，但最好添加其他3条指令。保存并关闭文件。然后重启BIND。 sudo systemctl restart bind9 主DNS服务器配置 从两台服务器中选择一台作为主DNS服务器。我们将把它命名为ns1。实例通用域名格式。 主DNS服务器保存区域文件的主副本。在此服务器上更改DNS记录。一个域可以有一个或多个DNS区域。每个DNS区域都有一个区域文件，其中包含该区域中的每个DNS记录。为了简单起见，本文假设您希望使用单个DNS区域来管理您的域名的所有DNS记录。 /etc/bind/named。conf.default-zones文件定义根区域和本地主机区域。要为域名添加区域，请编辑/etc/bind/named。conf.local文件。 sudo nano /etc/bind/named.conf.local 将以下行添加到此文件。替换示例。使用你自己的域名。将12.34.56.78替换为从属DNS服务器的IP地址。 zone "example.com" { type master; file "/etc/bind/db.example.com"; allow-query { any; }; allow-transfer { 12.34.56.78; }; }; 在上述配置中，我们使用zone子句创建了一个新区域，并指定这是主区域。区域文件是/etc/bind/db。实例com，我们将在其中添加DNS记录。仅允许从DNS服务器进行区域传输。 我们可以使用区域模板文件，而不是从头创建区域文件。复制数据库的内容。空到一个新文件。 sudo cp /etc/bind/db.empty /etc/bind/db.example.com 区域文件可以包含3种类型的条目： 注释：以分号（；）开头 指令：以美元符号（$）开头 资源记录：又名DNS记录 区域文件通常由以下类型的DNS记录组成。 SOA（授权开始）记录：定义区域的关键特征。这是区域文件中的第一个DNS记录，是必需的。 NS（名称服务器）记录：指定用于存储DNS记录和回答域名DNS查询的服务器。区域文件中必须至少有两条NS记录。 MX（邮件交换器）记录：指定哪些主机负责域名的电子邮件传递。 （地址）记录：将DNS名称转换为IPv4地址。 AAAA（Quad A）记录：将DNS名称转换为IPv6地址。 CNAME记录（规范名称）：用于为DNS名称创建别名。 TXT记录：SPF、DKIM、DMARC等。 现在，让我们编辑区域文件。 sudo nano /etc/bind/db.example.com 默认情况下，它如下所示： 你可以改成这个。 哪里 $TTL指令定义区域的默认生存时间值，即DNS记录可以缓存在DNS解析程序上的时间。该指令是强制性的。时间以秒为单位。 $ORIGIN指令定义基本域。 域名必须以点（.）结尾，这是根域。当域名以点结尾时，它是一个完全限定的域名（FQDN）。 @符号引用基本域。 在DNS类中。它代表互联网。存在其他DNS类，但很少使用。 区域文件中的第一条记录是SOA（授权开始）记录。此记录包含以下信息： 主DNS服务器。 区域管理员的电子邮件地址。RFC 2142建议使用电子邮件地址[email&#160；protected]。在区域文件中，此电子邮件地址采用以下形式：hostmaster。实例com，因为@符号在区域文件中有特殊含义。 区域序列号。序列号是从DNS服务器跟踪区域变化的一种方式。按照惯例，序列号采用日期格式：yyyymmddss，其中yyyy是四位数字的年份号，mm是月份，dd是日期，ss是日期的序列号。更改区域文件时，必须更新序列号。 刷新值。当达到刷新值时，从DNS服务器将尝试从主DNS服务器读取SOA记录。如果序列号变高，则启动区域传输。 重试值。定义从DNS服务器无法连接到主DNS服务器时的重试间隔（以秒为单位）。 到期：如果从属DNS服务器在这段时间内未能与主DNS服务器联系，则从属DNS服务器将停止响应此区域的DNS查询。 负缓存TTL：为不存在的DNS名称（NXDOMAIN）定义DNS响应的生存时间值。 TXT记录通常用双引号括起来。如果添加DKIM记录，还需要用括号括起该值。 保存并关闭文件。然后运行以下命令检查主配置文件中是否存在语法错误。无声输出表示未发现错误。 sudo named-checkconf 然后检查区域文件的语法。 sudo named-checkzone example.com /etc/bind/db.example.com 如果区域文件中存在语法错误，则需要修复它，否则将无法加载此区域。以下消息表示没有语法错误。 zone example.com/IN: loaded serial 2019011503 OK 然后重启BIND9。 sudo systemctl restart bind9 如果您使用的是简单防火墙（UFW），请打开TCP和UDP端口53。 sudo ufw allow 53/tcp sudo ufw allow 53/udp 如果您直接使用iptables防火墙，请运行以下命令。 sudo iptables -A INPUT -p tcp --dport 53 -j ACCEPT sudo iptables -A INPUT -p udp --dport 53 -j ACCEPT 从DNS服务器配置 现在我们使用另一台服务器作为从DNS服务器，它将被命名为ns2。实例通用域名格式。 首先，编辑命名文件。conf.local文件。 sudo nano /etc/bind/named.conf.local 添加一个如下所示的区域。将12.34.56.78替换为主DNS服务器的IP地址。 zone "example.com" { type slave; file "db.example.com"; allow-query { any; }; masters { 12.34.56.78; }; }; 在上面的配置中，我们指定这是示例中的从属DNS服务器。它将只接受来自主DNS服务器的区域传输。 保存并关闭文件。然后运行以下命令检查主配置文件中是否存在语法错误。 sudo named-checkconf 如果没有发现错误，请重新启动BIND9。 sudo systemctl restart bind9 从DNS服务器上的区域文件是从区域传输加载的，该传输用于同步从主DNS服务器到从DNS服务器的DNS记录更改。BIND9重新启动后，区域传输将立即启动。使用以下命令检查BIND9日志。 sudo journalctl -eu bind9 您可以看到如下消息，这表明区域传输成功。 named[31518]: transfer of 'example.com/IN' from 12.34.56.78#53: Transfer completed: 1 messages, 16 records, 886 bytes, 0.004 secs (221500 bytes/sec) 区域文件将另存为/var/cache/bind/db。实例从DNS服务器上的com。 如果您使用的是简单防火墙（UFW），请打开TCP和UDP端口53。 sudo ufw allow 53/tcp sudo ufw allow 53/udp 如果您直接使用iptables防火墙，请运行以下命令。 sudo iptables -A INPUT -p tcp --dport 53 -j ACCEPT sudo iptables -A INPUT -p udp --dprot 53 -j ACCEPT 更多关于区域转移的信息 当达到SOA记录中的刷新时间时，从属DNS服务器将再次联系主服务器，如果主服务器上的序列号大于从属服务器上的序列号，则将启动区域传输。有两种类型的区域转移： 完整区域传输（AXFR）：传输区域文件的完整副本。 增量区域传输（IXFR）：仅传输更改的DNS记录。 两种类型的区域传输都使用TCP端口53。默认情况下，从属DNS服务器上的绑定将请求增量区域传输，而主DNS服务器上的绑定仅在区域是动态的情况下才允许增量区域传输。 区域传输间隔是DNS记录更改传播速度的主要因素。当区域发生更改时，绑定主机将通知从属DNS服务器，而不是等待从属DNS服务器联系。这可以大大缩短将区域更改传播到Internet的时间。 反向区 反向区域包含将IP地址映射到DNS名称的PTR记录。它是DNS A记录的对应项。PTR记录通常是邮件服务器通过垃圾邮件过滤器所必需的。此记录不属于域。您需要在主机提供商的控制面板上创建PTR记录，或者询问您的ISP，所以我不打算在BIND中介绍创建反向区域。 更改NS记录并创建胶水记录 现在你需要去你的域名注册商的网站更改你的域名的NS记录，这样互联网就会知道你现在正在使用自己的DNS服务器。通常在NS记录中使用主机名，比如ns1。实例com和ns2。实例通用域名格式。 name server 1:   ns1.example.com name server 2: ns2.example.com 如果你有一个域名的例子。com，您使用一个子域作为权威DNS服务器（ns1.example.com和ns2.example.com），然后您还需要在您的域注册器上创建一个粘合记录，以便Internet可以知道您的DNS服务器的IP地址。胶水记录是ns1的A记录。实例com和ns2。实例通用域名格式。 ns1.example.com        IP-address-of-master-server ns2.example.com IP-address-of-slave-server 上述信息将通过可扩展配置协议（EPP）发送给运行TLD DNS服务器的注册运营商，以便TLD DNS服务器知道您的域名的权威DNS服务器的名称和IP地址。根据您使用的域注册器，您的NS记录可能会立即传播，或者传播可能需要24小时。你可以去https://dnsmap.io检查您的新NS记录是否处于活动状态。 我将向你展示如何在namescapet上实现这一点。 如果你在NameCheap购买了域名，请登录你的NameCheap帐户。选择左侧边栏上的域列表菜单，然后单击最右侧的管理按钮。 选择高级DNS。 滚动到页面底部，您将找到个人DNS服务器部分。单击添加名称服务器按钮添加您自己的名称服务器：ns1。实例com和ns2。实例通用域名格式。您需要输入名称服务器的IP地址。 添加两个名称服务器后，单击搜索按钮检查它们是否已成功添加。如果是这样，胶水记录将显示在此页面底部。 现在单击“域”选项卡，并使用自定义DNS服务器。 根据您使用的域注册器，您的NS记录可能会立即传播，或者传播可能需要24小时。你可以去https://dnsmap.io检查您的新NS记录是否处于活动状态。 胶水记录和NS记录传播到Internet后，DNS服务器将响应域名的DNS查询。您可以通过以下方式查看查询日志： sudo journalctl -eu bind9 您还可以使用dig实用程序检查域名的NS记录。 dig NS example.com 如果NS记录和glue记录已传播到Internet，您应该在“答案”部分看到您的名称服务器。如果您看到SERVFAIL错误，可能是因为您没有在名称服务器上打开UDP端口53。 需要知道的事情 术语主DNS服务器仅表示此服务器存储区域文件的主副本。在DNS解析方面，它没有更高的优先级。 更改区域文件时，请始终更新SOA序列号。 启用解析器 BIND可以同时充当区域的权威DNS服务器和DNS解析程序。在两台不同的机器上分离这两个角色是一种很好的做法，在本文中，我们在BIND中禁用了解析器。如果您真的想启用解析器，请按照以下说明操作。 编辑绑定配置文件。 sudo nano /etc/bind/named.conf.options 找到下面几行。 // disable recursion on authoritative DNS server. recursion no; 将它们更改为以下内容，这样只有受信任的IP地址才能向DNS解析程序发送递归查询，而您的服务器将不会是开放的解析程序。 // allow recursion for trusted clients only. recursion yes; allow-query { localhost; 12.34.56.78; }; 将12.34.56.78替换为您自己的IP地址。保存并关闭文件。确保在/etc/bind/named中定义区域。conf.local文件具有以下选项，因此Internet可以查询您所在区域的DNS记录。 allow-query { any; }; 然后重启BIND。 sudo systemctl restart bind9 去https://openresolver.com/测试绑定服务器是否为开放式解析程序。 收尾 就这样！我希望本教程能帮助您使用BIND9在Debian 10 Buster上设置权威DNS服务器。和往常一样，如果你觉得这篇文章很有用，那么订阅我们的免费时事通讯以获得更多提示和窍门。当心?

本教程将向您展示如何使用Unbound在Ubuntu20.04上设置本地DNS解析器。DNS解析程序有许多名称，下面列出了其中一些名称。它们都指同一件事。 全解析程序（与存根解析程序相反） 递归DNS服务器 递归名称服务器 递归解析器 DNS递归器 DNS解析器的示例有8.8.8.8（谷歌公共DNS服务器）和1.1.1.1（Cloudflare公共DNS服务器）。计算机上的操作系统也有一个解析器，尽管由于其功能有限，它被称为存根解析器。存根解析程序是终端用户计算机上的一个小型DNS客户端，它接收来自Firefox等应用程序的DNS请求，并将请求转发给递归解析程序。几乎每个解析器都可以缓存DNS响应以提高性能，因此它们也被称为缓存DNS服务器。 为什么要运行自己的DNS解析程序 通常，您的计算机、路由器或服务器使用ISP的DNS解析程序来查询DNS名称，那么为什么要运行本地DNS解析程序呢？ 它可以加快DNS查找，因为本地DNS解析程序只侦听您的DNS请求，而不应答其他人的DNS请求，因此您直接从解析程序上的缓存中获取DNS应答的几率要高得多。您的计算机和DNS解析器之间的网络延迟被消除（几乎为零），因此DNS查询可以更快地发送到根DNS服务器。 如果您运行邮件服务器并使用DNS黑名单（DNSBL）阻止垃圾邮件，那么您应该运行自己的DNS解析程序，因为一些DNS黑名单（如URIBL）会拒绝来自公共DNS解析程序的请求。 如果您在VPS（虚拟专用服务器）上运行自己的VPN服务器，那么在同一个VPS上安装DNS解析器也是一个很好的做法。 如果你不喜欢你的互联网浏览历史记录存储在第三方服务器上，你可能还想运行自己的DNS解析器。 提示：本地并不意味着你的家用电脑。相反，这意味着DNS解析程序与DNS客户端运行在同一个盒子或同一个网络上。您可以在家庭计算机上安装未绑定的DNS解析器。这是你家电脑的本地版本。您还可以在云服务器上安装未绑定的DNS解析器，它位于云服务器的本地。 未绑定DNS解析程序 Unbound是一个开源的DNS验证解析器，这意味着它可以进行DNSSEC验证，以确保DNS响应是真实的。未绑定功能： 轻量级且速度极快，因为它不提供全面的权威DNS服务器功能。在我的一台服务器上，Unbound使用了BIND9所需内存的四分之一。 DNS响应缓存 预取：获取即将过期的数据，这样当TTL在数据上过期时，当需要重新进行查找时，客户端就不会出现延迟峰值。 TLS上的DNS HTTPS上的DNS 查询名称最小化：向上游服务器发送最小数量的信息以增强隐私。 积极使用DNSSEC验证的缓存 权限区域，用于根区域的本地副本 DNS64 DNSCrypt DNSSEC验证：在Ubuntu上默认启用? EDNS客户端子网 可以作为DNS转发器运行。 支持本地数据和响应策略区域为特定域名提供自定义回复。 第一步：在Ubuntu 20.04上安装未绑定的DNS解析器 从默认存储库运行以下命令在Ubuntu 20.04上安装Unbound。 sudo apt更新sudo apt安装未绑定 检查版本。 未绑定-V 样本输出： 默认情况下，“解除绑定”会在安装后自动启动。您可以通过以下方式检查其状态： systemctl状态未绑定 如果它没有运行，那么从以下内容开始： sudo systemctl启动解除绑定 并在启动时启用自动启动： sudo systemctl启用解除绑定 注意：如果有另一个服务在UDP端口53上侦听，则unbound可能无法启动。您需要在开始解除绑定之前停止该服务。要找出哪个服务已经在使用UDP端口53，请运行以下命令。 sudo ss-lnptu | grep 53 如果之前安装了BIND9解析器，那么需要运行以下命令停止并禁用它，以便Unbound可以侦听UDP端口53。默认情况下，Unbound监听127.0.0.1:53和[：：1]：53 sudo systemctl disable named--now 第2步：配置未绑定 Unbound的主配置文件是/etc/Unbound/Unbound。配置：开箱即用，Ubuntu上的未绑定服务器仅为localhost提供递归服务。外界的质疑将被拒绝。 编辑配置文件。 sudo nano/etc/unbound/unbound。形态 默认情况下，该文件中只有一行配置。 包括：“/etc/unbound/unbound.conf.d/*.conf” 这将包括/etc/unbound/unbound下的配置文件。conf.d/目录，其中包含两个配置文件。 qname最小化。conf：启用QNAME最小化。 根自动信任锚文件。conf：启用DNSSEC验证。 你不必碰这两个文件。只需知道它们将有助于您的DNS解析。现在我们需要添加自定义配置。您可以查看示例配置文件/usr/share/doc/unbound/examples/unbound。conf以了解如何配置未绑定。为了方便起见，我为您编译了一个最小配置。在/etc/unbound/unbound中添加以下行。conf文件。 服务器：#工作目录。目录：“/etc/unbound”#作为未绑定的用户用户名运行：unbound verbosity:2#取消注释并增加以获得更多日志记录。#监听所有接口，回答本地子网的查询。接口：0.0.0.0#如果您的系统没有IPv6，请注释掉以下行。接口：：：0#对几乎过期的DNS缓存项执行预取。预取：是访问控制：10.0.0.0/8允许访问控制：127.0.0.1/24允许访问控制：2001:DB8:：/64允许#从客户端隐藏服务器信息隐藏身份：是隐藏版本：是远程控制：#在此处启用带未绑定控制的远程控制（8）。控制启用：无#远程控制监听哪些接口。#给出0.0.0.0和：：0来监听所有接口设置为绝对路径以使用unix本地名称管道，证书#不用于该管道，因此密钥和证书文件不需要存在。控制接口：127.0.0.1#控制接口：1#远程控制操作的端口号。控制端口：8953 以上配置不言自明。有两件事你可能需要考虑。 （1） 默认情况下，Ubuntu运行systemd解析的存根解析器，它监听127.0.0.53:53。您需要停止它，以便unbound可以绑定到0.0.0.0:53。 sudo systemctl disable systemd已解决--现在 （2） 如果您的本地网络范围不是10.0.0.0/8，您需要更改它，例如， 访问控制：192.168.0.0/24允许 因此unbound将接受来自192.168.0.0/24网络的DNS查询。 保存并关闭文件。然后重新绑定。 sudo systemctl重新启动解除绑定 检查状态。确保它在运行。 systemctl状态未绑定 如果在未绑定的服务器上运行UFW防火墙，则需要打开端口53以允许LAN客户端发送DNS查询。 sudo ufw允许从10.0.0.0/8进入任何端口53 这将打开专用网络10.0.0.0/8的TCP和UDP端口53。 第3步：在Ubuntu 20.04服务器上设置默认DNS解析程序 我们需要让Ubuntu20.04服务器使用127.0.0.1作为DNS解析器，这样unbound将回答DNS查询。Ubuntu上的unbound包附带一个systemd服务unbound resolvconf。应该帮助我们实现这一目标的服务。然而，我发现它不起作用。 相反，您可以创建自定义的未绑定resolvconf。服务文件。 sudo nano/etc/systemd/system/unbound resolvconf。服务 在此文件中添加以下行。 [Unit]Description=local unbound via resolvconf After=unbound。服务条件文件可执行=/sbin/resolvconf[service]Type=oneshot RemainAfterExit=yes ExecStart=/bin/sh-c'echo nameserver 127.0.0.1 |/sbin/resolvconf-a lo。unbound'ExecStop=/sbin/resolvconf-d lo。unbound[安装]WantedBy=未绑定。服务 保存并关闭此文件。然后重新加载系统D。 sudo systemctl后台程序重新加载 确保您的系统具有resolvconf二进制文件。 sudo apt安装openresolv 接下来，重新启动此服务。 sudo systemctl重新启动未绑定的resolvconf。服务 现在检查/etc/resolv的内容。形态。 cat/etc/resolv。形态 如您所见，127.0.0.1（未绑定）是默认的DNS解析器。 故障排除 如果在/etc/resolv中看到不同的值。conf文件，这意味着Unbound仍然不是默认的DNS解析程序。请注意，像Linode这样的主机提供商可能会使用网络助手自动生成/etc/resolv。conf文件。要更改默认DNS解析程序，需要在主机控制面板中禁用该网络帮助程序。 如果这个方法仍然不起作用，可能是因为/etc/resolv。Ubuntu服务器上的conf文件不是指向/run/resolvconf/resolv的符号链接。conf.您需要删除/etc/resolv。并创建一个符号链接。 sudo rm/etc/resolv。conf sudo ln-s/run/resolvconf/resolv。conf/etc/resolv。形态 如果在Ubuntu服务器上运行WireGuard VPN客户端，则需要在WireGuard客户端配置文件中使用以下DNS设置。 DNS=127.0.0.1 然后重新启动WireGuard VPN客户端。 第4步：在客户端计算机上设置默认DNS解析程序 在Ubuntu桌面上，您可以按照上面的说明设置默认DNS解析程序，但请记住将127.0.0.1替换为未绑定服务器的IP地址。在MacOS和Windows上设置默认DNS解析器的步骤可以在Internet上找到。 如何在未绑定状态下禁用IPv6 如果您的服务器没有IPv6连接，最好在未绑定状态下关闭IPv6，以减少在IPv6上不必要的DNS查找。要在Ubuntu的Unbound中禁用IPv6，只需在/etc/Unbound/Unbound中的server:子句中添加以下行。conf文件。 do-ip6：没有 保存并关闭文件。然后重新绑定。 sudo systemctl重新启动解除绑定 未绑定的DNSSEC DNSSEC是一种验证DNS响应未被篡改的方法。如果您的安装未绑定到默认的Ubuntu存储库，则默认情况下会启用该功能。让我们在Ubuntu 20.04服务器上快速进行DNS查询。 挖一个利努克斯宝贝。通用域名格式 您可以在DNS响应中看到ad标志。广告意味着真实的数据。 请注意，域名必须启用DNSSEC才能进行验证。如果你没有看到广告标志，这可能意味着域名没有启用DNSSEC。 本地数据 您可以使用Unbound中的本地数据功能来提供本地内部主机名或覆盖公共DNS记录。 例如，如果我在博客web服务器上安装unbound，我可以在unbound配置文件的server:子句中添加以下四行，以便域始终解析为localhost。 本地数据：“linuxbabe.com A 127.0.0.1”本地数据：“www.linuxbabe.com A 127.0.0.1”本地数据：“linuxbabe.com AAAA:：1”本地数据：“www.linuxbabe.com AAAA:：1” 无法联系到任何服务器 如果在客户端计算机上使用dig命令时看到以下错误 ;; 连接超时；无法联系到任何服务器 可能是防火墙规则错误或未绑定解析程序未运行。 结论 我希望本教程能帮助您在Ubuntu20.04上使用Unbound设置本地DNS解析器。因为它将在本地主机/本地网络上使用，所以不需要加密（TLS上的DNS或HTTPS上的DNS）。要设置点解析器或DoH解析器，请阅读以下教程。 如何在Ubuntu上使用Nginx轻松设置DNS over TLS解析器 使用DNSdist在Ubuntu上设置DNS over HTTPS（DoH）解析器 和往常一样，如果你觉得这篇文章很有用，那么订阅我们的免费时事通讯以获得更多提示和窍门。当心?

本教程将向您展示如何使用广泛使用的BIND9 DNS软件在Ubuntu 18.04、16.04上设置本地DNS解析器。DNS解析程序有许多名称，下面列出了其中一些名称。它们都指同一件事。 全解析程序（与存根解析程序相反） DNS递归器 递归DNS服务器 递归解析器 另外，请注意，DNS服务器也可以称为名称服务器。DNS解析程序的示例有8.8.8.8（谷歌公共DNS服务器）和1.1.1.1（Cloudflare公共DNS服务器）。你电脑上的操作系统也有一个解析器，不过由于功能有限，它被称为存根解析器。存根解析程序是终端用户计算机上的一个小型DNS客户端，它接收来自Firefox等应用程序的DNS请求，并将请求转发给递归解析程序。几乎每个解析器都可以缓存DNS响应以提高性能，因此它们也被称为缓存DNS服务器。 为什么要运行自己的本地DNS解析程序 通常，您的计算机或路由器使用ISP的DNS解析程序来查询DNS名称，那么为什么要运行自己的DNS解析程序呢？ 它可以加快DNS查找，因为本地DNS解析程序只侦听您的DNS请求，而不应答其他人的DNS请求，因此您直接从解析程序上的缓存中获取DNS应答的几率要高得多。此外，您的计算机和DNS解析器之间的网络延迟被消除（几乎为零），因此DNS查询可以更快地发送到根DNS服务器。 如果您运行邮件服务器并使用DNS黑名单（DNSBL）阻止垃圾邮件，那么您应该运行自己的DNS解析程序，因为一些DNS黑名单（如URIBL）会拒绝来自公共DNS解析程序的请求。 如果您在VPS（虚拟专用服务器）上运行自己的VPN服务器，那么在同一个VPS上安装DNS解析器也是一个很好的做法。 如果你不喜欢你的互联网浏览历史记录存储在第三方服务器上，你可能还想运行自己的DNS解析器。 如果你拥有一个网站，并希望你自己的DNS服务器处理域名的名称解析，而不是使用你的域名注册商的DNS服务器，那么你需要设置一个权威的DNS服务器，这与DNS解析程序不同。BIND可以同时充当权威DNS服务器和DNS解析程序，但最好在不同的框中分离这两个角色。 本教程介绍如何设置本地DNS解析器，因为它将在本地主机/本地网络上使用，所以不需要加密（通过TLS的DNS或通过HTTPS的DNS）。设置点解析器或DoH服务器将在以后的文章中讨论。 提示：本地并不意味着你的家用电脑。相反，这意味着DNS解析程序与DNS客户端在同一个机器上运行。您可以在家庭计算机上安装绑定DNS解析程序。这是你家电脑的本地版本。您可以在云服务器上安装绑定DNS解析器，它位于云服务器的本地。 在Ubuntu 18.04、16.04和BIND9上设置本地DNS解析器 BIND（Berkeley Internet Name Domain）是一款开源DNS服务器软件，由于其稳定性和高质量，在Unix/Linux上得到了广泛应用。它最初由加州大学伯克利分校（UC Berkeley）开发，后来在1994年被转移到互联网系统联盟（Internet Systems Consortium，Inc.）进行开发。 运行以下命令，从默认存储库在Ubuntu 18.04、16.04上安装BIND 9。BIND 9是当前版本，BIND 10是一个死项目。 sudo apt更新sudo apt安装bind9 bind9utils bind9 doc bind9 host dnsutils 检查版本。 命名为-v 样本输出： 绑定9.11.3-1 buntu1。3-Ubuntu（扩展支持版）&lt；识别号：a375815&gt； 要检查版本号和生成选项，请运行 命名为-V 默认情况下，绑定在安装后自动启动。您可以通过以下方式检查其状态： systemctl状态绑定9 如果它没有运行，那么从以下内容开始： sudo systemctl start bind9 并在启动时启用自动启动： sudo systemctl enable bind9 BIND服务器将以BIND用户的身份运行，该用户是在安装过程中创建的，并在TCP和UDP端口53上侦听，如运行以下命令所示： sudo netstat-lnptu | grep命名 通常DNS查询被发送到UDP端口53。TCP端口53用于大小大于512字节的响应。 绑定守护进程被称为named。（守护进程是在后台运行的软件。）命名的二进制文件由bind9包安装，还有另一个重要的二进制文件：rndc，远程名称守护程序控制器，由bind9utils包安装。rndc二进制文件用于重新加载/停止和控制绑定守护进程的其他方面。通信通过TCP端口953完成。 例如，我们可以检查绑定名称服务器的状态。 sudo rndc状态 本地DNS解析程序的配置 /etc/bind/是包含bind配置的目录。 命名的。conf：主配置文件，包括其他三个文件的配置。 db。root：DNS解析程序用来查询根DNS服务器的根提示文件。有13组根DNS服务器，来自a.root-servers。net到m.root服务器。网 db。127:本地主机IPv4反向映射区域文件。 db。本地：本地主机转发IPv4和IPv6映射区域文件。 db。空：一个空的区域文件 Ubuntu上的BIND9服务器开箱即用，只为本地主机和本地网络客户端提供递归服务。外界的质疑将被拒绝。所以你不必编辑配置文件。为了让您熟悉BIND 9配置，我将向您展示如何启用递归服务。 主绑定配置文件/etc/BIND/named。conf从其他3个文件中获取设置。 /etc/bind/named。形态选项 /etc/bind/named。conf.local /etc/bind/named。conf.default-zones 要启用递归服务，请编辑第一个文件。 sudo nano/etc/bind/named。形态选项 在options子句中，添加以下行。将allow recursion语句中的IP地址替换为您自己的本地网络地址。 //出于安全原因，对客户端隐藏版本号。版本“当前不可用”；//可选-绑定默认行为为递归递归是；//向受信任的客户端提供递归服务只允许递归{127.0.0.1；192.168.0.0/24；10.10.10.0/24；}；//启用查询日志querylog yes； 保存并关闭文件。然后测试配置文件语法。 sudo命名为checkconf 如果测试成功（由静默输出指示），则重新启动BIND9。 sudo systemctl重启bind9 如果绑定服务器上运行防火墙，则需要打开端口53，以允许LAN客户端发送DNS查询。 sudo ufw允许从192.168.0.0/24进入任何端口53 这将打开专用网络192.168.0.0/24的TCP和UDP端口53。然后从同一局域网内的另一台计算机上，我们可以运行以下命令来查询google的A记录。通用域名格式。用绑定解析程序的IP地址替换192.168.0.102。 挖一个谷歌。com@192.168.0.102 现在，在绑定解析器上，使用以下命令检查查询日志。 sudo journalctl-eu bind9 这将显示bind9服务单元的最新日志消息。我可以在日志中找到以下行，这表明谷歌的DNS查询。com的A记录已从192.168.0.103的57806端口收到。 命名为[1162]：client@0x7F4D2406F0F0192.168.0.103#57806（google.com）：query:google。A+E（0）K（192.168.0.102）中的com 在Ubuntu 18.04服务器上设置默认DNS解析程序 Systemd resolved在Ubuntu 18.04上提供了存根解析器。正如本文开头提到的，存根解析器是最终用户计算机上的一个小型DNS客户端，它接收来自Firefox等应用程序的DNS请求，并将请求转发给递归解析器。 使用此命令可以看到默认的递归解析器。 系统解析——状态 正如您所见，BIND不是默认值。如果在绑定服务器上运行以下命令， 挖一个facebook。通用域名格式 在绑定日志中找不到此DNS查询。相反，您需要明确地告诉dig使用BIND。 挖一个facebook。com@127.0.0.1 要将BIND设置为默认解析程序，请打开systemd解析的配置文件。 sudo nano/etc/systemd/resolved。形态 在[Resolve]部分，添加以下行。这将为您的服务器设置一个全局DNS服务器。 DNS=127.0.0.1 保存并关闭文件。然后重新启动systemd解析服务。 sudo systemctl重启systemd已解决 现在运行以下命令检查默认DNS解析器。 系统解析——状态 现在在不指定127.0.0.1的情况下执行DNS查询。 挖一个facebook。通用域名格式 您将在BIND日志中看到DNS查询，这意味着BIND现在是默认的递归解析器。如果在绑定日志中没有看到任何查询，则可能需要配置每个链接的DNS服务器。 在Ubuntu 18.04上配置每链接DNS服务器 您还可以配置每链路DNS服务器，这将覆盖全局DNS服务器。有两种方法可以配置每链路DNS服务器： 通过systemd解决 通过网络计划 系统解决 列出/etc/systemd/network/目录下的文件。 ls/etc/systemd/network/ 样本输出： 05-0。网络99默认值。链接 如你所见，我有两个链接配置文件。05-0。网络文件是我的主网络接口，所以我编辑这个文件。 sudo nano/etc/systemd/network/05-eth0。网络 你的文件名可能不同。如果此目录下没有文件，则您的每链接DNS配置不受systemd resolved控制。 注释掉默认的DNS和域条目，并添加您自己的DNS条目。 DNS=127.0.0.1 保存并关闭文件。然后重新启动systemd resolved和systemd networkd服务。 sudo systemctl重启systemd已解决systemd networkd 网络计划 一些Ubuntu服务器可能正在使用netplan来配置每链接网络。在这种情况下，您需要在中配置DNS服务器。/etc/netplan/目录下的yaml文件。列出此目录中的文件。 ls/etc/netplan/ 样本输出： 01 netcfg。亚马尔 所以我编辑了这个文件。 sudo nano/etc/netplan/01 netcfg。亚马尔 在nameservers部分设置DNS服务器地址。 名称服务器：搜索：[无效]地址：-127.0.0.1 保存并关闭文件。然后应用更改。 sudo网络计划申请 注意：如果您看到以下错误消息，则netplan无法处理配置文件。 位于/etc/netplan/01 netcfg的YAML无效。yaml不一致压痕 您应该修复不一致的缩进，然后再次运行sudo netplan apply命令。 在Ubuntu 16.04服务器上设置默认DNS解析程序 Ubuntu 16.04使用resolvconf程序来管理/etc/resolv中的DNS解析程序。conf文件。安装resolvconf包。 sudo apt安装resolvconf 要将BIND设置为Ubuntu 16.04服务器上的默认解析器，需要编辑/etc/resolvconf/resolv。conf.d/head文件，并将“nameserver 127.0.0.1”添加到此文件中，这可以通过运行以下命令来完成： echo“nameserver 127.0.0.1”| sudo tee-a/etc/resolvconf/resolv。conf.d/head 无论发生什么情况，此文件中定义的解析程序始终是第一个DNS解析程序。现在重新启动resolvconf服务。 sudo systemctl restart resolvconf 现在可以检查/etc/resolv的内容。形态。 cat/etc/resolv。形态 如您所见，127.0.0.1是默认的DNS解析器。 请注意，像Linode这样的主机提供商可能会使用网络助手自动生成/etc/resolv。conf文件。要更改默认DNS解析程序，需要在主机控制面板中禁用该网络帮助程序。 更新：后来我注意到Ubuntu16.04上的BIND包附带了一个Systemd服务单元bind9 resolvconf。服务，这将帮助我们在Ubuntu服务器上设置默认的DNS解析程序，所以你不必像上面那样手动操作。默认情况下，这个服务是禁用的，我们需要启动它并在启动时启用自动启动。 sudo systemctl启动bind9 resolvconf sudo systemctl启用bind9 resolvconf 确保已安装resolvconf软件包。只有两行命令和BIND将被设置为Ubuntu 16.04服务器上的默认DNS解析程序。 在客户端计算机上设置默认DNS解析程序 在Ubuntu桌面上，您可以按照上面的说明设置默认DNS解析程序，但请记住将127.0.0.1替换为绑定服务器的IP地址。在MacOS和Windows上设置默认DNS解析器的步骤可以在Internet上找到。 如何在绑定中禁用IPv6 如果您的网络中没有使用IPv6，那么最好在BIND中关闭IPv6，否则BIND日志中会出现很多关于IPv6的错误，如下所示。 “网络无法访问”镜像。软呢帽项目。org/A/IN'：2001:4178:2:1269:dead:beef:cafe:fed5#53网络无法访问的解析“镜像”。软呢帽项目。org/AAAA/IN:2001:4178:2:1269:dead:beef:cafe:fed5#53网络无法访问的解析“镜像”。软呢帽项目。org/A/IN'：2610:28:3090:3001:dead:beef:cafe:fed5#53网络无法访问的解析镜像。软呢帽项目。org/AAAA/IN'：2610:28:3090:3001：死亡：牛肉：咖啡馆：fed5#53 要在Ubuntu上的BIND中禁用IPv6，只需打开/etc/default/bind9文件 sudo nano/etc/default/bind9 在选项中添加“-4”。 选项=“-u绑定-4” 保存并关闭文件。然后重启BIND，就完成了。 sudo systemctl重启bind9 绑定服务失败 如果绑定解析程序无法回答DNS查询（SERVFAIL），并且在绑定日志中看到以下行。 dnssec:警告：托管密钥区域：无法获取DNSKEY集合“”：超时 这可能是因为您的服务器没有可用的IPv6连接。这发生在我的一台服务器上。我以为IPv6连接正常工作，但由于我不知道的原因，它突然中断了。一旦我在BIND中禁用了IPv6，DNS解析将再次工作。 绑定最大缓存大小 BIND可以在服务器上缓存DNS结果，以加快客户端的DNS查找。BIND假设您正在运行一个专用的DNS解析程序，即没有其他web服务在同一台主机上运行，因此默认缓存大小（由最大缓存大小定义）设置为总RAM的90%，以实现最佳性能。绑定开始时，可以在绑定日志（sudo journalctl-eu bind9）中看到下面这样的一行。 无：100:“最大缓存大小90%”-设置为7165MB（共7961MB） 请注意，BIND不会立即使用90%的RAM。如果只有几个DNS请求，BIND只使用少量RAM，因为缓存的DNS结果不多。如果有大量DNS请求，那么它将使用大量RAM来存储DNS缓存。 如果RAM有限，您可能不希望BIND将90%的RAM用于缓存。编辑绑定配置文件/etc/BIND/named。形态选项。 sudo nano/etc/bind/named。形态选项 在options子句中添加以下指令。将50%更改为您的首选值。 最大缓存大小为50%； 重新启动BIND以使更改生效。 sudo systemctl重启bind9 结论 我希望本教程能帮助您在Ubuntu 18.04、16.04和BIND9上安装本地DNS解析器。和往常一样，如果你觉得这篇文章很有用，那么订阅我们的免费时事通讯以获得更多提示和窍门。当心?