Nakonfigurujte BIND na jednoduchý předávací modul (žádné dotazy na kořenové servery)

Chtěl bych nastavit jednoduchý vazebný server schopný fungovat jako jednoduchý předávací server do OpenDNS servery.

Nechci, aby moje vazba byla schopna dotazovat se na kořenové servery, chci, aby veškerý provoz směřoval pouze do OpenDNS a mohl pro ni fungovat jako „mezipaměť“.

Jak toho lze dosáhnout? Mám nějakým způsobem deaktivovat tipy na kořenové servery? Je to správný postup?

Můj odhad je komentovat zónu „.“ Obsluhovanou kořenovými servery na named.conf.default-zones soubor. Četl jsem však, že kořenových serverů bez dotazu lze dosáhnout také deaktivací rekurze, ale Zdá se, že deaktivace rekurze vede k tomu, že server není schopen využívat také výhody předávacích systémů. Kde je moje chyba špatná?

Conf je následující:

named.conf

// This is the primary configuration file for the BIND DNS server named. // // Please read /usr/share/doc/bind9/README.Debian.gz for information on the // structure of BIND configuration files in Debian, *BEFORE* you customize // this configuration file. // // If you are just adding zones, please do that in /etc/bind/named.conf.local include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones"; 

named.conf.options

acl "trusted" { 127.0.0.1/8; 10.0.0.0/8; 172.16.0.0/12; 192.168.0.0/16; ::1; }; options { directory "/var/cache/bind"; # bind cache directory recursion no; # enables resursive queries allow-query { trusted; } ; allow-recursion { "none"; }; additional-from-cache no; allow-transfer { none; }; # disable zone transfers by default // If there is a firewall between you and nameservers you want // to talk to, you may need to fix the firewall to allow multiple // ports to talk. See http://www.kb.cert.org/vuls/id/800113 // If your ISP provided one or more IP addresses for stable // nameservers, you probably want to use them as forwarders. // Uncomment the following block, and insert the addresses replacing // the all-0"s placeholder. forward only; forwarders { 208.67.222.222; 208.67.220.220; }; //======================================================================== // If BIND logs error messages about the root key being expired, // you will need to update your keys. See https://www.isc.org/bind-keys //======================================================================== dnssec-enable no; dnssec-validation no; dnssec-lookaside auto; auth-nxdomain no; # conform to RFC1035 }; 

named.conf.local

// // Do any local configuration here // // Consider adding the 1918 zones here, if they are not used in your // organization //include "/etc/bind/zones.rfc1918"; 

named.conf.default-zones

// prime the server with knowledge of the root servers zone "." { type hint; file "/etc/bind/db.root"; }; // be authoritative for the localhost forward and reverse zones, and for // broadcast zones as per RFC 1912 zone "localhost" { type master; file "/etc/bind/db.local"; }; zone "127.in-addr.arpa" { type master; file "/etc/bind/db.127"; }; zone "0.in-addr.arpa" { type master; file "/etc/bind/db.0"; }; zone "255.in-addr.arpa" { type master; file "/etc/bind/db.255"; }; 

Odpověď

Konfigurace BIND skutečně dělá, když jsou definovány servery pro předávání, odešle předávajícím všechny požadavky, které místní BIND nesplnily.

Tím spíše, že při použití forward only; jsou místní zóny ignorovány a všechny požadavky jsou uspokojeny pouze z mezipaměti nebo ze strany předávajících.

Pokud potřebujete mít místní zóny (tj soukromé IP adresy z RFC 1918 a místní domácí / kancelářské zóny), pro účely přeposílání musíte zónu komentovat kořenovými radami a směrnicí forward only;.

// forward only; // zone "." { // type hint; // file "/etc/bind/db.root"; // }; 

Z DNS HowTo

Pokud je ale nastaveno „pouze vpřed“, pak se BIND vzdá, když nedostane odpověď od přeposílatelů, a gethostbyname () se vrátí okamžitě. Není tedy nutné provádět sleight-of – ručně se soubory v / etc a restartujte server.

V mém případě jsem jen přidal řádky

pouze vpřed; forwarders {193.133.58.5;};

do sekce možností {} mého souboru named.conf. Funguje to velmi pěkně. Jedinou nevýhodou je, že redukuje neuvěřitelně sofistikovaný software DNS na stav hloupé mezipaměti.

Takže pokud potřebujete pouze hloupou mezipaměť, můžete předávat pouze požadavky. Toto je příslušná konfigurace zapnuto v podnikovém prostředí, když přeposíláte požadavky například do centrální kanceláře.

Podle vaší situace, kdy vaše přeposílání požadavků směřuje ven, doporučuji nedělat slepě forward only aby nedošlo k předávání požadavků DNS na rozsah soukromých adres IP / místní domény DNS / Windows pro vyšší hierarchie / kořenové servery jmen.

Komentáře

  • btw, OpenDNS (a další) podporují šifrované přeposílání. Dělám to doma.
  • Skvělé, prosím, uveďte změny, když můžete ^ ^ Chtěl bych použít šifrované přeposílání, abych se mohl zbavit hloupého poskytovatele routeru dns vymahače, který přepíše dns pakety!
  • otevřít novou otázku a přidat komentář s mým uživatelem; tak to bude zdokumentováno a nebudeme míchat předměty / otázky.
  • Dobře, ano 🙂 Nejprve kávu, pak napíšu novou otázku!
  • Už jsem to viděl. .složitější, než jsem ve skutečnosti čekal. Odpovíme později.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *