Oktober 15, 2020
Articles
Keine Kommentare

Konfigurieren Sie BIND als einfache Weiterleitung (keine Root-Server-Abfragen).

Ich möchte einen einfachen Bindungsserver einrichten, der als einfache Weiterleitung an OpenDNS fungieren kann Server.

Ich möchte nicht, dass meine Bindung die Stammserver abfragen kann. Ich möchte, dass der gesamte Datenverkehr nur an OpenDNS geht und möglicherweise als „Cache“ dafür fungiert.

Wie kann dies erreicht werden? Sollte ich die Hinweise für Root-Server auf irgendeine Weise deaktivieren? Ist dies das richtige Verfahren?

Ich vermute, die Zone „.“ Auskommentieren zu müssen, die von den Root-Servern auf named.conf.default-zone Datei. Ich habe jedoch gelesen, dass die nicht abfragenden Root-Server auch durch Deaktivieren der Rekursion erreicht werden können, aber Das Deaktivieren der Rekursion scheint dazu zu führen, dass der Server die Weiterleitungen nicht nutzen kann. Wo ist meine Conf falsch?

Conf ist die folgende:

named.conf 

// This is the primary configuration file for the BIND DNS server named. // // Please read /usr/share/doc/bind9/README.Debian.gz for information on the // structure of BIND configuration files in Debian, *BEFORE* you customize // this configuration file. // // If you are just adding zones, please do that in /etc/bind/named.conf.local include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones";

named.conf.options 

acl "trusted" { 127.0.0.1/8; 10.0.0.0/8; 172.16.0.0/12; 192.168.0.0/16; ::1; }; options { directory "/var/cache/bind"; # bind cache directory recursion no; # enables resursive queries allow-query { trusted; } ; allow-recursion { "none"; }; additional-from-cache no; allow-transfer { none; }; # disable zone transfers by default // If there is a firewall between you and nameservers you want // to talk to, you may need to fix the firewall to allow multiple // ports to talk. See http://www.kb.cert.org/vuls/id/800113 // If your ISP provided one or more IP addresses for stable // nameservers, you probably want to use them as forwarders. // Uncomment the following block, and insert the addresses replacing // the all-0"s placeholder. forward only; forwarders { 208.67.222.222; 208.67.220.220; }; //======================================================================== // If BIND logs error messages about the root key being expired, // you will need to update your keys. See https://www.isc.org/bind-keys //======================================================================== dnssec-enable no; dnssec-validation no; dnssec-lookaside auto; auth-nxdomain no; # conform to RFC1035 };

named.conf.local 

// // Do any local configuration here // // Consider adding the 1918 zones here, if they are not used in your // organization //include "/etc/bind/zones.rfc1918";

named.conf.default-zone 

// prime the server with knowledge of the root servers zone "." { type hint; file "/etc/bind/db.root"; }; // be authoritative for the localhost forward and reverse zones, and for // broadcast zones as per RFC 1912 zone "localhost" { type master; file "/etc/bind/db.local"; }; zone "127.in-addr.arpa" { type master; file "/etc/bind/db.127"; }; zone "0.in-addr.arpa" { type master; file "/etc/bind/db.0"; }; zone "255.in-addr.arpa" { type master; file "/etc/bind/db.255"; };

Antwort

Die BIND-Konfiguration sendet tatsächlich, wenn die Weiterleitungen definiert sind, alle Anforderungen, die vom lokalen BIND nicht erfüllt wurden, an die Weiterleitungen.

Wenn forward only; verwendet wird, werden die lokalen Zonen ignoriert und alle Anforderungen werden nur aus dem Cache oder von den Weiterleitern erfüllt.

Wenn Sie lokale Zonen benötigen (z Private IP-Adressen aus RFC 1918 und einer lokalen Heim- / Bürozone) Um Weiterleitungen zu erhalten, müssen Sie sowohl die Zone mit den Stammhinweisen als auch die Anweisung forward only; kommentieren. 

// forward only; // zone "." { // type hint; // file "/etc/bind/db.root"; // };

Aus dem DNS-HowTo

Wenn jedoch „nur weiterleiten“ festgelegt ist, gibt BIND auf, wenn die Weiterleitung keine Antwort erhält, und gethostbyname () kehrt sofort zurück. Daher ist es nicht erforderlich, ein Sleight-of durchzuführen -hand mit Dateien in / etc und starten Sie den Server neu.

In meinem Fall habe ich nur die Zeilen

nur vorwärts hinzugefügt; Weiterleitungen {193.133.58.5;};

zum Abschnitt options {} meiner Datei named.conf. Es funktioniert sehr gut. Der einzige Nachteil ist, dass eine unglaublich hoch entwickelte DNS-Software auf den Status eines dummen Caches reduziert wird.

Wenn Sie also nur einen dummen Cache benötigen, können Sie nur Anforderungen weiterleiten. Dies ist die entsprechende Konfiguration in einer Unternehmensumgebung, wenn Sie beispielsweise Anfragen an die Zentrale weiterleiten.

Gemäß Ihrer Situation, in der Ihre Anfragen nach außen weitergeleitet werden, würde ich raten, dies nicht blind zu tun. forward only, um keine DNS-Anforderungen des Bereichs privater IP-Adressen / lokaler DNS / Windows-Domänen für die höheren Hierarchien / Stammnamenserver weiterzuleiten.

Kommentare

  • Übrigens unterstützen OpenDNS (und andere) die verschlüsselte Weiterleitung. Ich mache es zu Hause.
  • Oh, großartig, bitte geben Sie die Änderungen an, wenn Sie können ^^ Ich möchte eine verschlüsselte Weiterleitung verwenden, damit ich einen dummen DNS-Enforcer des Provider-Routers loswerden kann, der die DNS-Pakete neu schreibt!
  • öffne eine neue Frage und kommentiere mit meinem Benutzer; Auf diese Weise wird es dokumentiert und wir werden keine Themen / Fragen verwechseln.
  • Ok, ich werde 🙂 Kaffee zuerst, dann werde ich die neue Frage schreiben!
  • Ich habe es jetzt gesehen. .komplexer als ich eigentlich gewartet habe. Wird später antworten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.