oktober 15, 2020
Articles
Inga kommentarer

Konfigurera BIND så att den är en enkel vidarebefordrare (inga root-serversfrågor)

Jag skulle vilja ställa in en enkel bindningsserver som kan fungera som enkel vidarebefordrare till OpenDNS servrar.

Jag vill inte ha min bindning men jag kan fråga rotservrarna, jag vill att all trafik bara ska gå till OpenDNS och kanske fungera som ”cache” för det.

Hur detta kan uppnås? Ska jag inaktivera rotserverns tips på något sätt? Är det rätt procedur?

Min gissning är att kommentera zonen ”.” Som serveras av rotservrarna på namngiven.conf.default-zones -fil. Jag läste dock att de icke-frågande rotservrarna kan uppnås också genom att inaktivera rekursion inaktivera rekursion verkar leda till att servern inte kan dra nytta av vidarebefordrarna också … där min konf är fel?

Conf är följande:

named.conf 

// This is the primary configuration file for the BIND DNS server named. // // Please read /usr/share/doc/bind9/README.Debian.gz for information on the // structure of BIND configuration files in Debian, *BEFORE* you customize // this configuration file. // // If you are just adding zones, please do that in /etc/bind/named.conf.local include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones";

named.conf.options 

acl "trusted" { 127.0.0.1/8; 10.0.0.0/8; 172.16.0.0/12; 192.168.0.0/16; ::1; }; options { directory "/var/cache/bind"; # bind cache directory recursion no; # enables resursive queries allow-query { trusted; } ; allow-recursion { "none"; }; additional-from-cache no; allow-transfer { none; }; # disable zone transfers by default // If there is a firewall between you and nameservers you want // to talk to, you may need to fix the firewall to allow multiple // ports to talk. See http://www.kb.cert.org/vuls/id/800113 // If your ISP provided one or more IP addresses for stable // nameservers, you probably want to use them as forwarders. // Uncomment the following block, and insert the addresses replacing // the all-0"s placeholder. forward only; forwarders { 208.67.222.222; 208.67.220.220; }; //======================================================================== // If BIND logs error messages about the root key being expired, // you will need to update your keys. See https://www.isc.org/bind-keys //======================================================================== dnssec-enable no; dnssec-validation no; dnssec-lookaside auto; auth-nxdomain no; # conform to RFC1035 };

named.conf.local 

// // Do any local configuration here // // Consider adding the 1918 zones here, if they are not used in your // organization //include "/etc/bind/zones.rfc1918";

named.conf.default-zones 

// prime the server with knowledge of the root servers zone "." { type hint; file "/etc/bind/db.root"; }; // be authoritative for the localhost forward and reverse zones, and for // broadcast zones as per RFC 1912 zone "localhost" { type master; file "/etc/bind/db.local"; }; zone "127.in-addr.arpa" { type master; file "/etc/bind/db.127"; }; zone "0.in-addr.arpa" { type master; file "/etc/bind/db.0"; }; zone "255.in-addr.arpa" { type master; file "/etc/bind/db.255"; };

Svar

BIND-konfiguration sänder verkligen, när vidarebefordrarna är definierade, alla förfrågningar som inte var uppfyllda av den lokala BIND till vidarebefordrarna.

Mer, att när forward only; används, ignoreras de lokala zonerna och alla förfrågningar uppfylls endast från cache eller vidarebefordrare.

Om du behöver ha lokala zoner (dvs. privata IP-adresser från RFC 1918 och en lokal hem- / kontorszon), för att ha vidarebefordrare, måste du kommentera både zonen med rottips och forward only; -direktivet. 

// forward only; // zone "." { // type hint; // file "/etc/bind/db.root"; // };

Från DNS HowTo

Men om ”endast framåt” är inställt, så ger BIND upp när det inte får svar från vidarebefordrarna, och gethostbyname () återkommer omedelbart. Därför finns det inget behov av att utföra -hand med filer i / etc och starta om servern.

I mitt fall lade jag bara till raderna

endast framåt; vidarebefordrare {193.133.58.5;};

till avsnittet för alternativ {} i min namngivna.conf-fil. Det fungerar väldigt snyggt. Den enda nackdelen med detta är att den reducerar en otroligt sofistikerad bit DNS-programvara till statusen för en dum cache.

Så om du bara behöver en dum cache kan du bara vidarebefordra förfrågningar. Detta är lämplig konfiguration på i en företagsinställning när du vidarebefordrar förfrågningar till exempelvis centralkontoret.

Enligt din situation, där dina vidarebefordran till utsidan, skulle jag rekommendera att du inte gör blindt forward only för att inte vidarebefordra DNS-förfrågningar för de privata IP-adresserna / lokala DNS / Windows-domäner för de högre hierarkierna / rotnamnservrarna.

Kommentarer

  • btw, OpenDNS (och andra) stöder krypterad vidarebefordran. Jag gör det hemma.
  • Åh fantastiskt, snälla ange ändringarna när du kan ^^ Jag skulle vilja använda krypterad vidarebefordran så att jag kan bli av med en dum leverantör av routerns dns-handhavare som skriver om dns-paketen!
  • öppna en ny fråga och kommentera med min användare; på det sättet kommer det att dokumenteras och vi kommer inte att blanda ihop ämnen / frågor.
  • Okej jag kommer 🙂 Kaffe först så skriver jag den nya frågan!
  • Jag har sett det nu .. . mer komplex än jag väntade faktiskt. Svarar senare.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *