Aș dori să configurați un server de bind simplu capabil să acționeze ca simplu forwarder către OpenDNS serverele.
Nu vreau ca legătura mea să poată interoga serverele rădăcină, vreau ca tot traficul să meargă doar către OpenDNS și poate să acționeze ca „cache” pentru acesta.
Cum se poate realiza acest lucru? Ar trebui să dezactivez în vreun fel indicii pentru serverele rădăcină? Este aceasta procedura corectă?
Cred că este să comentez zona „.” Deservită de serverele rădăcină pe named.conf.default-zones . Am citit totuși că serverele rădăcină care nu sunt interogate pot fi realizate și prin dezactivarea recursiunii, dar dezactivarea recursiunii pare să conducă serverul să nu mai poată profita și de expeditori .. unde conf este greșit?
Conf este următorul:
named.conf
// This is the primary configuration file for the BIND DNS server named. // // Please read /usr/share/doc/bind9/README.Debian.gz for information on the // structure of BIND configuration files in Debian, *BEFORE* you customize // this configuration file. // // If you are just adding zones, please do that in /etc/bind/named.conf.local include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones"; named.conf.options
acl "trusted" { 127.0.0.1/8; 10.0.0.0/8; 172.16.0.0/12; 192.168.0.0/16; ::1; }; options { directory "/var/cache/bind"; # bind cache directory recursion no; # enables resursive queries allow-query { trusted; } ; allow-recursion { "none"; }; additional-from-cache no; allow-transfer { none; }; # disable zone transfers by default // If there is a firewall between you and nameservers you want // to talk to, you may need to fix the firewall to allow multiple // ports to talk. See http://www.kb.cert.org/vuls/id/800113 // If your ISP provided one or more IP addresses for stable // nameservers, you probably want to use them as forwarders. // Uncomment the following block, and insert the addresses replacing // the all-0"s placeholder. forward only; forwarders { 208.67.222.222; 208.67.220.220; }; //======================================================================== // If BIND logs error messages about the root key being expired, // you will need to update your keys. See https://www.isc.org/bind-keys //======================================================================== dnssec-enable no; dnssec-validation no; dnssec-lookaside auto; auth-nxdomain no; # conform to RFC1035 }; named.conf.local
// // Do any local configuration here // // Consider adding the 1918 zones here, if they are not used in your // organization //include "/etc/bind/zones.rfc1918"; named.conf.default-zones
// prime the server with knowledge of the root servers zone "." { type hint; file "/etc/bind/db.root"; }; // be authoritative for the localhost forward and reverse zones, and for // broadcast zones as per RFC 1912 zone "localhost" { type master; file "/etc/bind/db.local"; }; zone "127.in-addr.arpa" { type master; file "/etc/bind/db.127"; }; zone "0.in-addr.arpa" { type master; file "/etc/bind/db.0"; }; zone "255.in-addr.arpa" { type master; file "/etc/bind/db.255"; }; Răspuns
Configurarea BIND într-adevăr, atunci când sunt redirecționate expeditorii, trimite toate solicitările care nu au fost satisfăcute de BIND local către expeditori.
Mai mult, atunci când se utilizează forward only;, zonele locale sunt ignorate și toate cererile sunt satisfăcute numai din cache sau de către expeditori.
Dacă trebuie să aveți zone locale (de ex adrese IP private de la RFC 1918 și o zonă locală de birou / domiciliu), pentru a avea expeditori, trebuie să comentați atât zona cu indicii root, cât și directiva forward only;.
// forward only; // zone "." { // type hint; // file "/etc/bind/db.root"; // }; Din HowTo DNS
Dar dacă este setat „numai înainte”, atunci BIND renunță când nu primește un răspuns de la expeditori și gethostbyname () revine imediat. Prin urmare, nu este nevoie să efectuați -man cu fișiere în / etc și reporniți serverul.
În cazul meu, tocmai am adăugat liniile
numai forward; forwarders {193.133.58.5;};
la secțiunea de opțiuni {} din fișierul meu named.conf. Funcționează foarte frumos. Singurul dezavantaj al acestui fapt este că reduce o bucată incredibil de sofisticată de software DNS la starea unui cache prost.
Deci, dacă aveți nevoie doar de o memorie cache, puteți redirecționa numai solicitările. Aceasta este configurația potrivită activat într-un cadru corporativ atunci când redirecționați solicitări către biroul central, de exemplu.
Conform situației dvs., în cazul în care transmiteți cereri către exterior, aș sfătui să nu faceți orbește forward only pentru a nu redirecționa cererile DNS din domeniul adreselor IP private / DNS local / domenii Windows pentru ierarhiile superioare / serverele de nume rădăcină.
Comentarii
- btw, OpenDNS (și altele) acceptă redirecționarea criptată. O fac acasă.
- Oh, minunat, vă rugăm să furnizați modificările atunci când puteți ^^ Aș dori să folosesc redirecționarea criptată, astfel încât să pot scăpa de un furnizor prost de router dns enforcer care rescrie pachetele dns!
- deschideți o nouă întrebare și comentați cu utilizatorul meu; așa se va documenta și nu vom amesteca subiecte / întrebări.
- Ok, voi 🙂 Cafea mai întâi, apoi voi scrie noua întrebare!
- Am văzut-o acum .. .mai complex decât așteptam de fapt. Va răspunde mai târziu.