Jeg vil gerne konfigurere en simpel bindingsserver, der er i stand til at fungere som en simpel videresender til OpenDNS servere.
Jeg vil ikke have min binding, men jeg kan spørge rodserverne, jeg vil have, at al trafik kun går til OpenDNS og måske fungerer som “cache” for det.
Hvordan dette kan opnås? Skal jeg deaktivere tipene til rodserverne på en eller anden måde? Er dette den korrekte procedure?
Mit gæt er at kommentere den zone “.”, Der serveres af rodserverne på named.conf.default-zones fil. Jeg læste dog, at de ikke-forespørgende rodservere også kan opnås ved at deaktivere rekursion, men deaktivering af rekursion ser ud til at føre til, at serveren ikke også kan udnytte videresenderne .. hvor min conf er forkert?
Conf er følgende:
named.conf
// This is the primary configuration file for the BIND DNS server named. // // Please read /usr/share/doc/bind9/README.Debian.gz for information on the // structure of BIND configuration files in Debian, *BEFORE* you customize // this configuration file. // // If you are just adding zones, please do that in /etc/bind/named.conf.local include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones";
named.conf.options
acl "trusted" { 127.0.0.1/8; 10.0.0.0/8; 172.16.0.0/12; 192.168.0.0/16; ::1; }; options { directory "/var/cache/bind"; # bind cache directory recursion no; # enables resursive queries allow-query { trusted; } ; allow-recursion { "none"; }; additional-from-cache no; allow-transfer { none; }; # disable zone transfers by default // If there is a firewall between you and nameservers you want // to talk to, you may need to fix the firewall to allow multiple // ports to talk. See http://www.kb.cert.org/vuls/id/800113 // If your ISP provided one or more IP addresses for stable // nameservers, you probably want to use them as forwarders. // Uncomment the following block, and insert the addresses replacing // the all-0"s placeholder. forward only; forwarders { 208.67.222.222; 208.67.220.220; }; //======================================================================== // If BIND logs error messages about the root key being expired, // you will need to update your keys. See https://www.isc.org/bind-keys //======================================================================== dnssec-enable no; dnssec-validation no; dnssec-lookaside auto; auth-nxdomain no; # conform to RFC1035 };
named.conf.local
// // Do any local configuration here // // Consider adding the 1918 zones here, if they are not used in your // organization //include "/etc/bind/zones.rfc1918";
named.conf.default-zones
// prime the server with knowledge of the root servers zone "." { type hint; file "/etc/bind/db.root"; }; // be authoritative for the localhost forward and reverse zones, and for // broadcast zones as per RFC 1912 zone "localhost" { type master; file "/etc/bind/db.local"; }; zone "127.in-addr.arpa" { type master; file "/etc/bind/db.127"; }; zone "0.in-addr.arpa" { type master; file "/etc/bind/db.0"; }; zone "255.in-addr.arpa" { type master; file "/etc/bind/db.255"; };
Svar
BIND-konfiguration sender faktisk, når videresendere er defineret, alle de anmodninger, der ikke blev opfyldt af den lokale BIND, til videresenderne.
Mere, at når forward only;
bruges, ignoreres de lokale zoner, og alle anmodninger imødekommes kun fra cachen eller af videresenderne.
Hvis du har brug for lokale zoner (dvs. private IP-adresser fra RFC 1918 og en lokal hjemme- / kontorzone), med henblik på at have videresendere, skal du kommentere både zonen med rodtip og forward only;
-direktivet.
// forward only; // zone "." { // type hint; // file "/etc/bind/db.root"; // };
Fra DNS HowTo
Men hvis “kun fremad” er indstillet, giver BIND op, når det ikke får svar fra speditørerne, og gethostbyname () vender straks tilbage. Derfor er der ikke behov for at udføre slagtning af -hånd med filer i / etc og genstart serveren.
I mit tilfælde tilføjede jeg bare linjerne
kun fremad; videresendere {193.133.58.5;};
til indstillingssektionen {} i min named.conf-fil. Det fungerer meget pænt. Den eneste ulempe ved dette er, at det reducerer et utroligt sofistikeret stykke DNS-software til status som en dum cache.
Så hvis du kun har brug for en dum cache, kan du kun videresende anmodninger. Dette er den passende konfiguration i en virksomhedsindstilling, når du f.eks. videresender anmodninger til det centrale kontor.
I henhold til din situation, hvor dine videresendende anmodninger udefra, vil jeg råde dig til ikke at gøre det blindt forward only
for ikke at videresende DNS-anmodninger om de private IP-adresser / lokale DNS / Windows-domæner til de højere hierarkier / rodnavneservere.
Kommentarer
- btw, OpenDNS (og andre) understøtter krypteret videresendelse. Jeg gør det derhjemme.
- Åh fantastisk, bedes du give ændringerne, når du kan ^^ Jeg vil gerne bruge krypteret videresendelse, så jeg kan slippe af med en dum udbyder router dns håndhæver, der omskriver dns pakker!
- åbn et nyt spørgsmål og kommentar med min bruger; på den måde vil det blive dokumenteret, og vi blander ikke emner / spørgsmål sammen.
- Ok jeg vil 🙂 Kaffe først så skriver jeg det nye spørgsmål!
- Jeg har set det nu .. .mere kompleks end jeg faktisk ventede på. Svarer senere.