Je voudrais configurer un serveur de liaison simple capable dagir comme un simple redirecteur vers OpenDNS
Je ne veux pas que ma liaison puisse cependant interroger les serveurs racine, je veux que tout le trafic aille uniquement vers OpenDNS et peut-être agir comme « cache » pour cela.
Comment cela peut-il être réalisé? Dois-je désactiver les indications des serveurs racine dune manière ou dune autre? Est-ce la bonne procédure?
Je suppose que je commente la zone « . » Servie par les serveurs racine sur named.conf.default-zones fichier. Jai lu cependant que les serveurs racines non interrogés peuvent être atteints également en désactivant la récursivité, mais la désactivation de la récursivité semble conduire le serveur à ne pas pouvoir profiter des redirecteurs aussi .. où ma conf est fausse?
La conf est la suivante:
named.conf
// This is the primary configuration file for the BIND DNS server named. // // Please read /usr/share/doc/bind9/README.Debian.gz for information on the // structure of BIND configuration files in Debian, *BEFORE* you customize // this configuration file. // // If you are just adding zones, please do that in /etc/bind/named.conf.local include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones";
named.conf.options
acl "trusted" { 127.0.0.1/8; 10.0.0.0/8; 172.16.0.0/12; 192.168.0.0/16; ::1; }; options { directory "/var/cache/bind"; # bind cache directory recursion no; # enables resursive queries allow-query { trusted; } ; allow-recursion { "none"; }; additional-from-cache no; allow-transfer { none; }; # disable zone transfers by default // If there is a firewall between you and nameservers you want // to talk to, you may need to fix the firewall to allow multiple // ports to talk. See http://www.kb.cert.org/vuls/id/800113 // If your ISP provided one or more IP addresses for stable // nameservers, you probably want to use them as forwarders. // Uncomment the following block, and insert the addresses replacing // the all-0"s placeholder. forward only; forwarders { 208.67.222.222; 208.67.220.220; }; //======================================================================== // If BIND logs error messages about the root key being expired, // you will need to update your keys. See https://www.isc.org/bind-keys //======================================================================== dnssec-enable no; dnssec-validation no; dnssec-lookaside auto; auth-nxdomain no; # conform to RFC1035 };
named.conf.local
// // Do any local configuration here // // Consider adding the 1918 zones here, if they are not used in your // organization //include "/etc/bind/zones.rfc1918";
named.conf.default-zones
// prime the server with knowledge of the root servers zone "." { type hint; file "/etc/bind/db.root"; }; // be authoritative for the localhost forward and reverse zones, and for // broadcast zones as per RFC 1912 zone "localhost" { type master; file "/etc/bind/db.local"; }; zone "127.in-addr.arpa" { type master; file "/etc/bind/db.127"; }; zone "0.in-addr.arpa" { type master; file "/etc/bind/db.0"; }; zone "255.in-addr.arpa" { type master; file "/etc/bind/db.255"; };
Réponse
La configuration BIND envoie en effet, lorsque les redirecteurs sont définis, toutes les requêtes qui nont pas été satisfaites par le BIND local aux redirecteurs.
De plus, lorsque forward only;
est utilisé, les zones locales sont ignorées et toutes les requêtes ne sont satisfaites quà partir du cache ou par les transitaires.
Si vous avez besoin de zones locales (ie adresses IP privées de la RFC 1918 et dune zone locale domicile / bureau), pour avoir des transitaires, vous devez commenter à la fois la zone avec les indices de racine et la directive forward only;
.
// forward only; // zone "." { // type hint; // file "/etc/bind/db.root"; // };
À partir du Procédure DNS
Mais si « forward only » est défini, alors BIND abandonne quand il nobtient pas de réponse des transitaires, et gethostbyname () revient immédiatement. Il nest donc pas nécessaire de faire un tour de passe-passe -hand avec les fichiers dans / etc et redémarrer le serveur.
Dans mon cas, je viens dajouter les lignes
forward only; forwarders {193.133.58.5;};
à la section options {} de mon fichier named.conf. Cela fonctionne très bien. Le seul inconvénient est que cela réduit un logiciel DNS incroyablement sophistiqué au statut de cache stupide.
Donc, si vous navez besoin que dun cache muet, vous ne pouvez transférer que les requêtes. Cest la configuration appropriée activé dans une entreprise lorsque vous transférez des demandes au bureau central par exemple.
Selon votre situation, où vos demandes de transfert vers lextérieur, je vous conseillerais de ne pas faire aveuglément forward only
afin de ne pas transmettre les requêtes DNS de la plage dadresses IP privées / DNS locaux / domaines Windows pour les hiérarchies supérieures / serveurs de noms racine.
Commentaires
- btw, OpenDNS (et autres) prennent en charge le transfert crypté. Je le fais à la maison.
- Oh génial, sil vous plaît, fournissez les changements quand vous le pouvez ^^ Je voudrais utiliser le transfert crypté pour que je puisse me débarrasser dun stupide fournisseur de routeur dns enforcer qui réécrit les paquets dns!
- ouvrir une nouvelle question et commenter avec mon utilisateur; de cette façon, il sera documenté et nous ne mélangerons pas les sujets / questions.
- Ok je le ferai 🙂 Café dabord puis jécrirai la nouvelle question!
- Je lai vu maintenant .. .plus complexe que ce que jattendais en fait. Je répondrai plus tard.