[Linux] DNS 서버 구축 with bind

 

리눅스에서 DNS(Domain Name System)의 개념과 구성 방법을 이해하고, BIND를 활용한 자체 DNS 서버 구축 실습을 진행합니다.

DNS 란

네트워크에서 컴퓨터는 IP 주소를 기반으로 서로를 식별하고 통신합니다. 하지만 IP 주소는 숫자로 되어 있어 기억하거나 사용하기 불편합니다. 이를 해결하기 위해 DNS(Domain Name System)가 등장했습니다. DNS는 도메인 이름을 IP 주소로 변환하거나, 반대로 IP 주소를 도메인 이름으로 변환해주는 시스템입니다. 예를 들어 “naver.com”과 같은 도메인은 사람이 기억하기 쉬운 문자열이며, DNS는 이를 실제 통신에 사용되는 IP 주소로 바꿔주는 역할을 합니다.

nslookup 명령어를 사용하면 도메인 이름을 DNS 서버에 질의하여 해당 IP 주소를 조회할 수 있습니다. 반대로 IP 주소를 입력해 도메인 이름을 확인하는 것도 가능합니다. 아래는 nslookup 명령어로 "naver.com"의 IP 주소를 조회하는 예입니다.



해당 질의에 응답한 DNS 서버의 IP는 “172.19.140.7”이며, 이 주소는 SKT에서 제공하는 DNS 서버입니다. 이처럼 통신사들은 자체적인 DNS 서버를 운영하고 있으며, DNS 서버는 인터넷 접속을 위한 필수 구성 요소입니다.

예를 들어 “kisa.or.kr”처럼 .kr로 끝나는 도메인은 우리나라 국가 도메인입니다. .kr 도메인을 관리하는 DNS 서버가 여러 곳에 분산되어 있으며, 만약 이 서버들이 모두 중단된다면 .kr 도메인을 사용하는 웹사이트는 전혀 접근할 수 없게 됩니다. 이런 이유로 주요 도메인에 대한 DNS 서버는 여러 위치에 분산 배치하여 안정적으로 운영됩니다.



<출처: https://krnic.kisa.or.kr/jsp/resources/dns/dnsInfo.jsp>

 

사용 가능한 외부 DNS 서버 주소

DNS 서버는 통신사뿐 아니라 다양한 기관에서도 운영 중입니다. 아래는 대표적인 외부 DNS 서버 주소 목록입니다. 이 외에도 수많은 DNS 서버가 존재하며, 필요에 따라 적절한 서버를 선택하여 사용할 수 있습니다.

KT DNS

168.126.63.1
168.126.63.2

SK Broadband

210.220.163.82
219.250.36.130

SKT

172.19.140.7

LG U+

164.124.101.2
203.248.252.2
61.41.153.2
1.214.68.2

그 밖에 통신사가 아닌 곳에서도 DNS 서버를 제공하고 있습니다.

Google

8.8.8.8
8.8.4.4

 

환경

Redhat Enterprise linux (RHEL)

 

목표

앞에서 DNS의 기본 개념을 간단히 살펴보았습니다. 이제부터는 실제로 DNS 서버를 직접 구축해보겠습니다. 이번 실습의 목표는 내부 환경에서 아래 도메인 주소들이 원활히 사용될 수 있도록 DNS 서버를 구성하는 것입니다

  • api.sno.example.com ↔ 192.168.243.200

  • api-int.sno.example.com ↔ 192.168.243.200

  • *.apps.sno.example.com ↔ 192.168.243.200

DNS 서버가 위 도메인을 요청받으면 해당 IP로 응답하고, 반대로 IP를 입력받으면 도메인으로 응답하는 역방향 조회도 함께 설정합니다

 

DNS 서버 설치

DNS 서버를 직접 구축하는 이유는 다양합니다. 예를 들어 성능 개선, 보안 강화, 또는 외부 DNS 의존성 제거 등의 목적이 있습니다. 이번 실습에서는 bind 패키지를 활용해 DNS 서버를 구성합니다. bind는 레드햇 계열 OS에서 기본으로 제공되는 패키지이며, 설치 이미지 또는 로컬 리포지터리를 통해 설치할 수 있습니다. (로컬 리포지터리 설정은 Local Repo 구성’ 문서를 참조하세요.)

  • dnf 명령을 사용하여 bind 패키지를 설치합니다.
# dnf install bind
...
Complete!

 

DNS 설정 파일 편집

bind 패키지를 설치하면 DNS 서버의 주요 설정 파일인 /etc/named.conf가 생성됩니다. 이 파일을 수정하여 외부에서 접근이 가능하도록 설정하고, example.com 도메인에 대한 zone 파일을 등록합니다.


다음은 named.conf 파일에 대한 주요 설정 항목입니다. 각 항목 옆에는 주석으로 설명을 추가했습니다

# vim /etc/named.conf
...
options {
    listen-on port 53 { any; };             // 외부에서 포트 접근 가능하도록 설정
    listen-on-v6 port 53 { ::1; };          // IPv6 설정 제거
    directory       "/var/named";
    dump-file       "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named_stats.txt";
    memstatistics-file "/var/named/data/named_mem_stats.txt";
    secroots-file   "/var/named/data/named.secroots";
    recursing-file  "/var/named/data/named.recursing";
    allow-query     { any; };               // 외부에서 DNS 질의 가능하도록 설정
    recursion yes;
    allow-recursion { localhost; 192.168.243.0/24; }; // 재귀 질의 허용 범위 지정
};

공인 IP 주소에 대해 무제한으로 재귀 질의를 허용하면, 악의적인 사용자가 대량의 질의를 발생시켜 DNS 서버의 리소스를 소모하거나 서비스 거부 공격(DoS)을 유도할 수 있습니다. 따라서 재귀 질의를 허용할 IP 범위를 내부 네트워크로 제한하는 것이 보안상 안전합니다.


이제 example.com 도메인을 처리할 수 있도록 zone 설정named.conf 파일에 추가합니다. DNS 서버는 zone 설정을 통해 어떤 도메인에 대해 어떤 파일을 참조할지를 결정합니다.

zone "example.com" IN {
    type master;
    file "example.com.zone";
    allow-update { none; };
};

zone "243.168.192.in-addr.arpa" IN {
    type master;
    file "example.com.reverse.zone";
    allow-update { none; };
};

위 설정에서 zone 블록은 도메인 이름(example.com)과 IP 주소(역방향)를 다루기 위한 정보를 담고 있습니다. 각 블록의 file 항목은 DNS 서버가 실제로 참조할 zone 파일의 경로를 나타내며, 이 파일은 /var/named 디렉터리에 위치해야 합니다.

따라서 이제 아래와 같은 두 개의 zone 파일을 생성해야 합니다

  • /var/named/example.com.zone: 정방향 조회용 (도메인 → IP)

  • /var/named/example.com.reverse.zone: 역방향 조회용 (IP → 도메인)

 

ZONE 파일 생성

먼저 정방향 zone 파일을 생성합니다. 이 파일은 도메인 이름을 IP 주소로 변환하는 레코드를 포함합니다
# vim /var/named/example.com.zone
$TTL 1D 
@     IN  SOA dns.sno.example.com. root.example.com. (
                2023083101   ; serial
                3h           ; refresh
                15           ; retry
                1w           ; expire
                3h           ; minimum
              )
             IN NS dns.sno.example.com.
dns.sno      IN A 192.168.243.169
api.sno      IN A 192.168.243.200
api-int.sno  IN A 192.168.243.200
*.apps.sno   IN A 192.168.243.200

위 설정에서 192.168.243.169는 현재 구성 중인 DNS 서버의 IP 주소입니다. 나머지 세 도메인(api.sno, api-int.sno, *.apps.sno)은 모두 192.168.243.200으로 매핑됩니다.


이제 역방향 zone 파일을 생성합니다. 이 파일은 IP 주소를 도메인 이름으로 변환하는 레코드를 설정합니다

# vi /var/named/example.com.reverse.zone
$TTL 1D 
@     IN  SOA dns.sno.example.com. root.example.com. (
                2023083101   ; serial
                3h           ; refresh
                15           ; retry
                1w           ; expire
                3h           ; minimum
              )
      IN NS dns.sno.example.com.
200   IN PTR api.sno.example.com.
200   IN PTR api-int.sno.example.com.

 

DNS 설정은 여기까지 완료되었습니다. 이제 서비스를 재시작하기 전에, 방금 작성한 zone 파일들의 구조와 각 레코드의 의미를 살펴보겠습니다.


SOA 레코드 영역 설명

## SOA 레코드 영역
@     IN  SOA dns.sno.example.com. root.example.com. (
                2023083101   ; serial
                3h         ; refresh
                15         ; retry
                1w         ; expire
                3h         ; minimum
              )

- @(영역 이름): @를 사용할 경우 /etc/named.conf에서 설정한 영역 이름(example.com)으로 사용한다.
- IN(클래스): SOA 레코드에서는 이 필드를 항상 IN(Internet)으로 설정합니다.
- SOA(type): SOA 레코드에서는 이 필드를 항상 SOA로 설정합니다.
- dns.sno.example.com.: 이름, 서버의 호스트 이름
- root.example.com.: 관리자 메일 주소
(아래의 serial, refresh, expire, minimum은 DNS 서버를 이중화 할 시 사용하는 내용)
- serial: zone 파일의 버전 번호. 파일을 수정할 때마다 값을 증가시켜 보조 DNS 서버가 변경 사항을 인식하게 합니다. 
- refresh: 보조 DNS 서버에서 주 DNS 서버의 정보 변경을 확인하는데 대기하는 시간.
- retry: 주 DNS 서버에서 쿼리를 실패할 경우 재시도 하기 위해 대기하는 시간.
- expire: 보조 DNS 서버가 주 DNS 서버로 접근이 되지 않을때 이전에 받아놓은 주 DNS서버의 정보를 언제까지 설정할지 지정하는 시간
- minimum: DNS 서버가 잘못된 도메인 이름 오류를 캐시하는 기간을 설정, 잘못된 정보가 오랫동안 캐시되지 않도록 보장하는 기능

DNS 서버 주소 영역 설명

   IN NS dns.sno.example.com.   	# DNS서버 주소를 설정합니다.
해당 도메인(example.com)에 대한 네임서버(NS) 레코드를 지정합니다. 이 레코드는 DNS 요청을 처리할 서버의 호스트 이름을 나타냅니다.


도메인에 대한 IP 주소 매핑

아래는 각 도메인에 대한 A 레코드 설정입니다. 도메인 이름과 해당 IP 주소를 매핑해줍니다

dns.sno      IN A 192.168.243.169
api.sno      IN A 192.168.243.200
api-int.sno  IN A 192.168.243.200
*.apps.sno   IN A 192.168.243.200

  • dns.sno는 현재 DNS 서버의 호스트 이름이며, 실제 IP는 192.168.243.169입니다.
  • api.snoapi-int.sno, 그리고 와일드카드 형식의 *.apps.sno는 모두 동일한 IP로 매핑됩니다.
  • 와일드카드는 test.apps.snoadmin.apps.sno와 같은 하위 도메인 전체를 포함합니다.



방화벽 활성화 및 DNS서비스 시작

DNS는 내부적으로 53번 포트를 사용하지만, 방화벽에서는 서비스 이름 만으로도 편리하게 등록을 할 수 있습니다.

# firewall-cmd --add-service=dns
success
# firewall-cmd --add-service=dns --permanent
success


설정이 완료되었으면 DNS 서비스를 시작합니다
# systemctl start named


도메인 주소 확인 (검증)

먼저 현재 테스트하는 서버가 올바른 DNS 서버를 참조하고 있는지 확인합니다. /etc/resolv.conf 파일에 설정된 nameserver가 구축한 DNS 서버의 IP 주소인지 확인합니다

# cat /etc/resolv.conf
nameserver 192.168.243.169


이제 dig 명령어를 사용해 도메인 → IP 매핑이 정상적으로 작동하는지 확인합니다. 앞서 설정한 세 개의 도메인 모두 올바르게 응답하는지 테스트합니다

# dig api.sno.example.com | grep "ANSWER SECTION" -A 1
# dig api-int.sno.example.com | grep "ANSWER SECTION" -A 1
# dig test.apps.sno.example.com | grep "ANSWER SECTION" -A 1


이번에는 nslookup 명령어를 사용해 IP 주소 → 도메인 이름 변환이 정상적으로 작동하는지 확인합니다. 이는 앞서 구성한 역방향 zone 파일의 설정이 제대로 반영되었는지를 검증하는 절차입니다

# nslookup 192.168.243.200
200.243.168.192.in-addr.arpa	name = api-int.sno.example.com.
200.243.168.192.in-addr.arpa	name = api.sno.example.com.

 이와 같이 하나의 IP 주소에 대해 복수의 도메인 이름이 매핑될 수 있으며, 등록한 PTR 레코드가 순서대로 응답됩니다.


마무리

이번 글에서는 리눅스 환경에서 BIND 패키지를 활용해 DNS 서버를 직접 구축하는 방법을 살펴보았습니다. 실습에서는 내부 도메인 이름에 대한 정방향 및 역방향 레코드를 설정하고, 이를 통해 DNS 질의가 정상적으로 작동하는지를 검증했습니다.

이와 같은 방식은 특히 테스트 환경이나 네트워크 분리 환경에서 유용하게 활용될 수 있습니다. 다만, 운영 환경에서 DNS 서버를 사용할 경우에는 이중화 구성, 보안 설정 강화, 쿼리 제한 정책 등 추가적인 고려가 필요합니다.

 

참조

https://namu.wiki/w/DNS

https://krnic.kisa.or.kr/jsp/resources/dns/dnsInfo.jsp

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/managing_networking_infrastructure_services/assembly_setting-up-and-configuring-a-bind-dns-server_networking-infrastructure-services

댓글

댓글 쓰기

이 블로그의 인기 게시물

[Linux] RHEL Local YUM Repository 구성

이미지
RHEL(Redhat Enterprise Linux)에 Local YUM Repository 구성하는 방법에 대하여 설명합니다. 레드햇 리눅스 같은 경우 기업환경의 인터넷이 되지 않는 환경에서 사용되는 경우가 많은데 Local YUM Repository를 구성하여 패키지를 쉽게 설치할 수 있습니다.   테스트 환경 • Red Hat Enterprise Linux (RHEL)   Local YUM Repository 구성 목적 Local YUM Repository를 구성하는 방법에 여러 가지가 있지만 가장 간단한 방법인 설치 CD를 이용해 구성하는 방법에 대해 소개합니다. 주로 이 방법은 OS 엔지니어가 RHEL을 설치 후 사용하며, local repo를 서버에 구성한 뒤 철수합니다. 그러면 애플리케이션 측에서 추가 패키지를 요청하여도 서버 관리자분들이 yum 명령어를 사용하여 쉽게 서버에 설치할 수 있습니다.   Local YUM Repository 설정 레드햇 설치 CD에는 기본 RHEL 서브스크립션에서 제공하는 RPM 패키지들이 모두 포함되어 있습니다. 따라서 RHEL을 설치한 버전과 동일한 ISO 파일 이 준비되어 있어야 하며, 이를 통해 로컬 저장소를 구성할 수 있습니다.   VMware Workstation을 기준으로 설명하자면, RHEL ISO 파일을 가상 머신에 마운트 하면 됩니다. ISO 파일이 마운트되면 시스템은 자동으로 /dev/sr0 장치를 생성하게 되며, 이는 udev 에 의해 처리됩니다.   CD가 삽입되면 시스템에서는 /dev/sr0 장치를 자동으로 생성합니다. 이 장치는 **광학 디스크 장치(CD/DVD)**로 인식되며, 이를 확인하는 가장 쉬운 방법은 lsblk 명령어를 사용하는 것입니다. # lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS sda 8:0 0 2G 0 disk └─mpatha ...
자세한 내용 보기

[Linux Command] sudo command 설명

이미지
  이번 글에서는 Linux 명령어 중 sudo 명령어에 대해 알아보겠습니다. 일반 사용자에게 "root" 권한을 부여하려면 보통 root 계정의 비밀번호를 제공해야 합니다. 이후 사용자는 su 명령어를 통해 root 계정으로 로그인할 수 있습니다. root 계정은 시스템 내 모든 명령을 실행할 수 있는 강력한 권한을 가지고 있기 때문에, 신중한 관리가 필요합니다. 리눅스에 익숙하지 않은 사용자가 root 권한을 사용할 경우, 시스템 운영에 필요한 핵심 파일이 삭제되거나 권한 설정이 변경되는 등의 사고가 발생할 수 있습니다. sudo 기능을 사용하면 root 전체 권한이 아닌 특정 명령어만 일반 사용자에게 허용할 수 있어 이러한 위험을 줄일 수 있습니다. 또한, 사용 권한은 부여하되 root 비밀번호를 공개하지 않아도 된다는 점도 sudo 의 중요한 장점 중 하나입니다.   환경 : Red Hat Enterprise Linux (RHEL)   sudo command 개념 명령어 사용법을 보기 전에, sudo 명령어로 어떤 작업이 가능한지 먼저 알아보겠습니다. 일반 사용자가 /etc/shadow 파일을 열려고 하면 권한 부족으로 인해 파일을 열 수 없습니다. 아래는 실제 출력 예시입니다. 일반유저로 shadow파일 오픈 실패 [user1@localhost ~]$ cat /etc/shadow cat: /etc/shadow: Permission denied 또한 mount 명령어도 일반 사용자 권한으로는 실행할 수 없습니다. 일반 유저로 mount 명령 실패 [user1@localhost sbin]$ mount /dev/sr0 /media mount: only root can do that 이제 일반 사용자에게 mount 명령어만 sudo 를 통해 root 권한으로 실행할 수 있도록 설정해보겠습니다. [user1@localhost ~]$ sudo mount /dev/...
자세한 내용 보기

[Ansible Modules] Fetch module 설명 및 활용

이미지
  Ansible modules 중 하나인 Fetch module에 대해 알아보겠습니다. Fetch는 관리 대상 노드에서 제어 노드로 파일을 복사해 오는 데 사용되는 모듈입니다 Fetch module 이란 Fetch는 영어로 "가져오다"라는 의미입니다. Ansible의 copy 모듈과 반대로 동작하는 기능으로, copy 가 제어 노드에서 관리 노드로 파일을 전송하는 데 사용된다면, fetch 는 그 반대 방향으로, 관리 대상 노드의 파일을 제어 노드로 복사해 오는 데 사용됩니다. 여기서 제어 노드(control node)는 Ansible을 실행하는 노드를, 관리 노드(managed node)는 Ansible로 관리되는 대상 시스템을 의미합니다. Ansible modules(fetch_module) Fetch module 옵션   fetch 모듈에서 주로 사용되는 주요 옵션은 다음과 같습니다: src : 관리 대상 노드에서 복사해 올 파일의 경로입니다. dest : 제어 노드에 파일을 저장할 경로입니다. flat (기본값: false ) false : {{ inventory_hostname }}/path/to/file 형태의 디렉토리 구조로 파일이 저장됩니다. 호스트별로 디렉토리가 생성되므로 여러 노드에서 같은 파일 경로를 가져올 때 유용합니다. true : 파일 경로 구조 없이 파일만 단순 복사됩니다. 이름이 같은 파일은 덮어써지기 때문에, 관리 노드가 하나이거나 파일명이 충돌하지 않는 경우에 적합합니다. 또한 디렉토리를 지정할 경우 dest 경로 끝에 슬래시( / )를 반드시 붙여야 합니다. Fetch module 사용 방법 예제에서는 다음과 같은 인벤토리 파일을 사용합니다. [test] rocky86.lab.example.com rocky84.lab.example.com   예제 1. 기본값( flat: false )으로 파일 가져오기 fetch  모듈을 이용해 관리 노드의...
자세한 내용 보기