Jeg vil sette opp en enkel bindingsserver som kan fungere som enkel videresender til OpenDNS servere.
Jeg ønsker ikke at bindingen min skal være i stand til å spørre rotserverne, jeg vil at all trafikken bare skal gå til OpenDNS og kanskje fungere som «cache» for den.
Hvordan kan dette oppnås? Bør jeg deaktivere tips om rotserverne på en eller annen måte? Er dette den riktige prosedyren?
Min gjetning er å kommentere sonen «.» Servert av rotserverne på named.conf.default-zones fil. Jeg leste imidlertid at ikke-spørrende rotservere kan oppnås også ved å deaktivere rekursjonen, men deaktivering av rekursjonen ser ut til å føre til at serveren ikke kan dra nytte av videresenderne også .. der min konfekt er feil?
Conf er følgende:
named.conf
// This is the primary configuration file for the BIND DNS server named. // // Please read /usr/share/doc/bind9/README.Debian.gz for information on the // structure of BIND configuration files in Debian, *BEFORE* you customize // this configuration file. // // If you are just adding zones, please do that in /etc/bind/named.conf.local include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones";
named.conf.options
acl "trusted" { 127.0.0.1/8; 10.0.0.0/8; 172.16.0.0/12; 192.168.0.0/16; ::1; }; options { directory "/var/cache/bind"; # bind cache directory recursion no; # enables resursive queries allow-query { trusted; } ; allow-recursion { "none"; }; additional-from-cache no; allow-transfer { none; }; # disable zone transfers by default // If there is a firewall between you and nameservers you want // to talk to, you may need to fix the firewall to allow multiple // ports to talk. See http://www.kb.cert.org/vuls/id/800113 // If your ISP provided one or more IP addresses for stable // nameservers, you probably want to use them as forwarders. // Uncomment the following block, and insert the addresses replacing // the all-0"s placeholder. forward only; forwarders { 208.67.222.222; 208.67.220.220; }; //======================================================================== // If BIND logs error messages about the root key being expired, // you will need to update your keys. See https://www.isc.org/bind-keys //======================================================================== dnssec-enable no; dnssec-validation no; dnssec-lookaside auto; auth-nxdomain no; # conform to RFC1035 };
named.conf.local
// // Do any local configuration here // // Consider adding the 1918 zones here, if they are not used in your // organization //include "/etc/bind/zones.rfc1918";
named.conf.default-zones
// prime the server with knowledge of the root servers zone "." { type hint; file "/etc/bind/db.root"; }; // be authoritative for the localhost forward and reverse zones, and for // broadcast zones as per RFC 1912 zone "localhost" { type master; file "/etc/bind/db.local"; }; zone "127.in-addr.arpa" { type master; file "/etc/bind/db.127"; }; zone "0.in-addr.arpa" { type master; file "/etc/bind/db.0"; }; zone "255.in-addr.arpa" { type master; file "/etc/bind/db.255"; };
Svar
BIND-konfigurasjon gjør faktisk når videresenderne er definert, sender alle forespørslene som ikke ble oppfylt av den lokale BIND til videresenderne.
Mer, at når forward only;
brukes, blir lokale soner ignorert, og alle forespørsler blir bare oppfylt fra hurtigbufferen eller av videresenderne.
Hvis du trenger å ha lokale soner (dvs. private IP-adresser fra RFC 1918 og en lokal hjemme- / kontorsone), for å ha videresendere, må du kommentere både sonen med rothint, og forward only;
-direktivet.
// forward only; // zone "." { // type hint; // file "/etc/bind/db.root"; // };
Fra DNS HowTo
Men hvis «bare fremover» er satt, så gir BIND opp når det ikke får svar fra speditørene, og gethostbyname () returnerer umiddelbart. Derfor er det ikke behov for å utføre sleight-of -hånd med filer i / etc og start serveren på nytt.
I mitt tilfelle la jeg bare til linjene
bare fremover; videresendere {193.133.58.5;};
til delen for alternativer {} i filen named.conf. Den fungerer veldig bra. Den eneste ulempen med dette er at den reduserer et utrolig sofistikert stykke DNS-programvare til statusen til en dum cache.
Så hvis du bare trenger en dum cache, kan du bare videresende forespørsler. Dette er riktig konfigurasjon på i bedriftsinnstillinger når du for eksempel sender forespørsler til sentralkontoret.
I henhold til din situasjon, der dine videresendingsforespørsler til utsiden, vil jeg råde deg til ikke å gjøre det blindt forward only
for ikke å videresende DNS-forespørsler fra de private IP-adressene / lokale DNS / Windows-domener for de høyere hierarkiene / rotnavneserverne.
Kommentarer
- btw, OpenDNS (og andre) støtter kryptert videresending. Jeg gjør det hjemme.
- Åh kjempebra, vennligst oppgi endringene når du kan ^^ Jeg vil gjerne bruke kryptert videresending slik at jeg kan bli kvitt en dum leverandør ruter dns håndhever som omskriver dns pakker!
- åpne et nytt spørsmål og kommentere med brukeren min; på den måten blir det dokumentert og vi blander ikke emner / spørsmål.
- Ok jeg vil 🙂 Kaffe først så skal jeg skrive det nye spørsmålet!
- Jeg har sett det nå .. . mer komplisert enn jeg ventet faktisk. Svarer senere.