Haluan määrittää yksinkertaisen sidontapalvelimen, joka pystyy toimimaan yksinkertaisena huolitsijana OpenDNS: ään palvelimet.
En halua sidontani voivan kysyä juuripalvelimia, haluan kaiken liikenteen siirtyvän vain OpenDNS: ään ja ehkä toimia sen ”välimuistina”.
Kuinka tämä voidaan saavuttaa? Pitäisikö minun poistaa juuripalvelinvihjeet jollakin tavalla? Onko tämä oikea menettely?
Luulen, että kommentoin vyöhykettä ”.”, Jota juuripalvelimet palvelevat kansiossa named.conf.default-zone -tiedosto. Luin kuitenkin, että juuripalvelimet, jotka eivät kysy, voidaan saavuttaa myös poistamalla rekursio käytöstä, mutta rekursio poistetaan käytöstä, mikä johtaa siihen, että palvelin ei kykene hyödyntämään myös kuormatraktoreita .. missä konftini on väärässä?
Conf on seuraava:
named.conf
// This is the primary configuration file for the BIND DNS server named. // // Please read /usr/share/doc/bind9/README.Debian.gz for information on the // structure of BIND configuration files in Debian, *BEFORE* you customize // this configuration file. // // If you are just adding zones, please do that in /etc/bind/named.conf.local include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones";
named.conf.options
acl "trusted" { 127.0.0.1/8; 10.0.0.0/8; 172.16.0.0/12; 192.168.0.0/16; ::1; }; options { directory "/var/cache/bind"; # bind cache directory recursion no; # enables resursive queries allow-query { trusted; } ; allow-recursion { "none"; }; additional-from-cache no; allow-transfer { none; }; # disable zone transfers by default // If there is a firewall between you and nameservers you want // to talk to, you may need to fix the firewall to allow multiple // ports to talk. See http://www.kb.cert.org/vuls/id/800113 // If your ISP provided one or more IP addresses for stable // nameservers, you probably want to use them as forwarders. // Uncomment the following block, and insert the addresses replacing // the all-0"s placeholder. forward only; forwarders { 208.67.222.222; 208.67.220.220; }; //======================================================================== // If BIND logs error messages about the root key being expired, // you will need to update your keys. See https://www.isc.org/bind-keys //======================================================================== dnssec-enable no; dnssec-validation no; dnssec-lookaside auto; auth-nxdomain no; # conform to RFC1035 };
named.conf.local
// // Do any local configuration here // // Consider adding the 1918 zones here, if they are not used in your // organization //include "/etc/bind/zones.rfc1918";
named.conf.default-zone
// prime the server with knowledge of the root servers zone "." { type hint; file "/etc/bind/db.root"; }; // be authoritative for the localhost forward and reverse zones, and for // broadcast zones as per RFC 1912 zone "localhost" { type master; file "/etc/bind/db.local"; }; zone "127.in-addr.arpa" { type master; file "/etc/bind/db.127"; }; zone "0.in-addr.arpa" { type master; file "/etc/bind/db.0"; }; zone "255.in-addr.arpa" { type master; file "/etc/bind/db.255"; };
Vastaus
BIND-kokoonpano lähettää todellakin, kun kuormatraktorit on määritetty, lähettämään kaikki pyynnöt, joita paikallinen BIND ei tyydyttänyt.
Enemmän, että kun forward only;
käytetään, paikalliset vyöhykkeet ohitetaan ja kaikki pyynnöt tyydytetään vain välimuistista tai huolitsijoilta.
Jos tarvitset paikallisia vyöhykkeitä (ts yksityiset IP-osoitteet RFC 1918: lta ja paikallinen koti / toimisto-alue), huolitsijoiden käyttämistä varten sinun on kommentoitava sekä vyöhykettä juurivihjeillä että forward only;
-direktiiviä.
// forward only; // zone "." { // type hint; // file "/etc/bind/db.root"; // };
Mutta jos ”vain eteenpäin” on asetettu, BIND luopuu, kun se ei saa vastausta kuormatraktoreilta, ja gethostbyname () palaa välittömästi. Siksi ei tarvitse suorittaa piilolinssejä -hand tiedostojen kanssa / etc: ssä ja käynnistä palvelin uudelleen.
Minun tapauksessani lisäsin vain rivit
vain eteenpäin; huolitsijat {193.133.58.5;};
minun named.conf-tiedostoni Options {} -osioon. Se toimii erittäin hienosti. Ainoa haittapuoli on se, että se vähentää uskomattoman hienostuneen DNS-ohjelmiston tyhmän välimuistin tilaksi.
Jos tarvitset vain mykän välimuistin, voit välittää vain pyynnöt. Tämä on sopiva kokoonpano päällä yritysympäristössä, kun välität pyynnöt esimerkiksi keskusvirastolle.
Tilanteen mukaan, jossa edelleenlähetyspyyntösi ulkopuolelle, kehotan olemaan tekemättä sokeasti forward only
, jotta yksityisiä IP-osoitealueita / paikallisia DNS / Windows-toimialueita koskevia DNS-pyyntöjä ei välitettäisi ylemmille hierarkioille / juuripalvelimille.
Kommentit
- btw, OpenDNS (ja muut) tukevat salattua edelleenlähetystä. Teen sen kotona.
- Voi mahtavaa, ilmoita muutokset, kun pystyt ^ ^ Haluan käyttää salattua edelleenlähetystä, jotta voin päästä eroon tyhmästä palveluntarjoajan reitittimestä dns enforcer, joka kirjoittaa uudestaan dns-paketit!
- avaa uusi kysymys ja kommentoi käyttäjäni kanssa; tällä tavoin se dokumentoidaan ja emme sekoita aiheita / kysymyksiä.
- Okei 🙂 Minä teen ensin kahvia ja sitten kirjoitan uuden kysymyksen!
- Olen nähnyt sen nyt. . monimutkaisempi kuin odotin todella. Vastaan myöhemmin.