Fórum Root.cz
Hlavní témata => Server => Téma založeno: TP 01. 12. 2016, 16:37:25
-
Ahoj,
mam config Bindu :
http://pastebin.com/RiFVqE9H
nslookup db01.domain.com respond: 10.10.0.98
nslookup public.domain.com respond: ** server can't find public.domain.com: NXDOMAIN
Jak ho mohu donutit, aby mi prekladal co nenajde u sebe v zonovem souboru, tak aby se zkusil doptat z public DNS napr. googlu 8.8.8.8?
Thx!
-
Jestli se divam dobre, tak oba dotazy jsou na stejnou domenu, lisi jen "hostname"?
Nejsem pres DNS odbornik, tak je dost mozna, ze nemam pravdu, ale ja bych rekl, ze nekde u domeny mate nastaveno, jake DNS servery ji "obsluhuji". Pokud se nekdo pta na xyz.domena.cz, tak se zjisti, kdo obsluhuje domena.cz a tomu je poslan dotaz na to, kdo je xyz. Pokud to dany dns server vi, pak odpovi, pokud to nevi, tak kdyby se ptal vys, treba google dns, ale google dns se opta, kdo obsluhuje domena.cz, tam se dozvi, ze vas DNS a tomuto DNS se polozi dotaz, kdo je xyz a jste tam, kde jste zacal.
Proto pokud DNS server obstarava domenu domena.cz a nevi kdo je xyz, tak proste rekne ze nevi. Protoze on je ten jediny nejpovolanejsi, kdo by to mel vedet.
-
Proč se ptát dalšího serveru, když se může ptát přímo root serverů? Jejich konfigurace (seznam) je tuším ve /var/named/named.root, hledej na googlu něco jako "bind use root servers" nebo tak, případně kdyby se nezadařilo, konfiguraci ti napíšu, ale osobně preferuju jen nakopnutí správným směrem, aby ses něco naučil ;)
-
Ahoj,
mam config Bindu :
http://pastebin.com/RiFVqE9H
nslookup db01.domain.com respond: 10.10.0.98
nslookup public.domain.com respond: ** server can't find public.domain.com: NXDOMAIN
Jak ho mohu donutit, aby mi prekladal co nenajde u sebe v zonovem souboru, tak aby se zkusil doptat z public DNS napr. googlu 8.8.8.8?
Thx!
Sak mu sam rikas, ze domain.com spravuje prave TVUJ DNS, takze ten zaznam bud ma a pak odpovi, nebo nema a pak posle presne to co vidis = ze takovej zaznam neexistuje.
zone "domain.com"
Pokud bys to chtel jinak tak tam musis dat trebas
zone "db01.domain.com"
A jak rika tuxik, provozovat vlastni DNS jako forwarder je poradna kravina. To co hledas se jmenuje:
recursion yes;
-
Ty to kazíš soudruhu. Konfigurace DNS je mnohem jednodušší, než jak vypadá a když to necháš někoho najít, většinou to i pochopí. což je přesně to, co je třeba, protože je neuvěřitelné, kolik lidí, i síťařů, o tom ví prd.
-
Sak ja mu nerikam jak to udelat, kdyz si nenajde jak to funguje, tak mu to stejne fungovat nebude ...
-
Jak funguje DNS tak nejak tusim, ze existuji root servery, autoritativni, cashing only... O co mi jde, abych mohl Bind vyuzivat jako cashing server a zaroven mu mohl upravit tu zonu pro prvky z LAN, nechci mit v public DNS adresy z LAN.
Uvazoval jsem puvodne smerem split DNS - pro hosty z rozsahy 10.x proste servuj tento zonovy soubor, jen pak mi doslo, ze bych musel udrzovat v podstate 2 zonove soubory jeden v AWS a druhy v local lan a hlavne nektere servery nemam pouze v LAN a budou se ptat z public IP ktere bych musel po jedne zas pridavat do ALLOW... takze zavrhnuto.
Proto jsem chtel neco co mi bude cashovat zaznamy z internetu a zaroven mu budu moct podvrhnout neajke zaznamy napr. server01.domain.com ktery bude mit ip z LAN rozsahu.
Varinata : zone "db01.domain.com" me tez napadla, takto to dela kolega na Windows, ale nechce se mi pro kazdy jeden zaznam generovat vlastni zonovy soubor :(
Varianta pouzit jinou domenu tez nepripada uplne v uvahu, resil bych nejspise podobny problem casem.
Nepotrebuji stavet vlastni velke reseni master/master a X slave serveru, staci mi jeden master je to pro nekolik malo masin.
Pak je tu jeste varianta napsat si skriptik, ktery mi pomoci API do amazonu nasype celou zonu krome private IP a zaroven vtvori druhy zone file, ktery budu mit ve svem local bindu a tim docilim vysledku ktery bych chtel a budu mit vsechny zaznamy jednotne - public IP v AWS, private + public v local bind.
Jak to tedy resite vy? Uvazuju uplne spatne?
-
různé zónové soubory budete potřebovat tak jako tak
můžete je mít na různých DNS serverech, nebo na tom jednom a použít views
-
ahoj,
nedavno jsem si doma rozjizdel router banana pi r1 a daval sem tam i dns server. vytvoril jsem si domenu magi.net (podle toho superpocitace s jednoho anime;) a mam nastaveny zonovy soubor, kde si muzu davat staticke zaznamy pocitacu v siti a navic se to dynamicky plni nazvy pocitacu, ktere si liznou adresu s dhcp serveru. pokud se klient pta na nejakou adresu s internetu tak se pouzije recursion. cetl jsem ze nezabezpeceny dns server se da zneuzit k ddos utoku a tak sem se to pokusil zabespecit tim, ze jsem rekurzivni dotazy povolil jen s adres vnitrni site a navic sem v iptables zakazal prichozi komunikaci. nevim jestli to mam vsechno zpravne, ale funguje mi to. tady sou konfiguraky:
/etc/bind/named.conf.options
acl goodclients {
10.0.0.0/24;
localhost;
};
options {
directory "/var/cache/bind";
recursion yes;
allow-query { goodclients; };
dnssec-validation auto;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};
/etc/bind/named.conf.local
include "/etc/bind/magi-net-rndc-key";
zone "magi.net" {
type master;
file "/var/lib/bind/db.magi.net";
notify no;
allow-update { key magi-net-rndc-key; };
};
zone "0.0.10.in-addr.arpa" {
type master;
file "/var/lib/bind/db.10";
notify no;
allow-update { key magi-net-rndc-key; };
};
/var/lib/bind/db.10
$ORIGIN .
$TTL 604800 ; 1 week
0.0.10.in-addr.arpa IN SOA ns.magi.net. root.magi.net. (
42 ; serial
604800 ; refresh (1 week)
86400 ; retry (1 day)
2419200 ; expire (4 weeks)
604800 ; minimum (1 week)
)
NS ns.
$ORIGIN 0.0.10.in-addr.arpa.
1 PTR ns.magi.net.
$TTL 300 ; 5 minutes
11 PTR Tablet-mm.magi.net.
$TTL 3600 ; 1 hour
18 PTR Zbyso.magi.net.
$TTL 300 ; 5 minutes
4 PTR magi.magi.net.
5 PTR fish-desktop.magi.net.
/var/lib/bind/db.magi.net
$ORIGIN .
$TTL 604800 ; 1 week
magi.net IN SOA ns.magi.net. root.magi.net. (
36 ; serial
604800 ; refresh (1 week)
86400 ; retry (1 day)
2419200 ; expire (4 weeks)
604800 ; minimum (1 week)
)
NS ns.magi.net.
$ORIGIN magi.net.
$TTL 300 ; 5 minutes
fish-desktop A 10.0.0.5
TXT "00f53ac1c7d9d9576b355c1fd9f5e0ca9c"
karel A 10.0.0.4
TXT "31efa4fa064f3675b8af0b8d0e86af0859"
magi A 10.0.0.4
TXT "31059cd8535a6612479c46af7f7f2fceed"
$TTL 604800 ; 1 week
ns A 10.0.0.1
pi CNAME ns
$TTL 300 ; 5 minutes
Tablet-mm A 10.0.0.11
/etc/dhcp/dhcpd.conf
authoritative;
option domain-name-servers 10.0.0.1;
option domain-name "magi.net";
option domain-search "magi.net";
ddns-updates on;
ddns-update-style interim;
ignore client-updates;
update-static-leases on;
default-lease-time 600;
max-lease-time 7200;
log-facility local7;
include "/etc/bind/magi-net-rndc-key";
zone MAGI.NET. {
primary 127.0.0.1;
key magi-net-rndc-key;
}
zone 0.0.10.in-addr.arpa. {
primary 127.0.0.1;
key magi-net-rndc-key;
}
subnet 10.0.0.0 netmask 255.255.255.0 {
range 10.0.0.10 10.0.0.100;
option routers 10.0.0.1;
}
host quandasim {
hardware ethernet 1c:87:2c:43:56:2d;
fixed-address 10.0.0.4;
}