Bind 9 a překlad adres z internetu

TP

Bind 9 a překlad adres z internetu
« kdy: 01. 12. 2016, 16:37:25 »
Ahoj,
mam config Bindu :
http://pastebin.com/RiFVqE9H

nslookup db01.domain.com respond: 10.10.0.98

nslookup public.domain.com respond: ** server can't find public.domain.com: NXDOMAIN

Jak ho mohu donutit, aby mi prekladal co nenajde u sebe v zonovem souboru, tak aby se zkusil doptat z public DNS napr. googlu 8.8.8.8?

Thx!
« Poslední změna: 02. 12. 2016, 09:21:08 od Petr Krčmář »


JmJ

  • ****
  • 324
    • Zobrazit profil
Re:bind9
« Odpověď #1 kdy: 01. 12. 2016, 16:52:21 »
Jestli se divam dobre, tak oba dotazy jsou na stejnou domenu, lisi jen "hostname"?

Nejsem pres DNS odbornik, tak je dost mozna, ze nemam pravdu, ale ja bych rekl, ze nekde u domeny mate nastaveno, jake DNS servery ji "obsluhuji".  Pokud se nekdo pta na xyz.domena.cz, tak se zjisti, kdo obsluhuje domena.cz a tomu je poslan dotaz na to, kdo je xyz. Pokud to dany dns server vi, pak odpovi, pokud to nevi, tak kdyby se ptal vys, treba google dns, ale google dns se opta, kdo obsluhuje domena.cz, tam se dozvi, ze vas DNS a tomuto DNS se polozi dotaz, kdo je xyz a jste tam, kde jste zacal.

Proto pokud DNS server obstarava domenu domena.cz a nevi kdo je xyz, tak proste rekne ze nevi. Protoze on je ten jediny nejpovolanejsi, kdo by to mel vedet.


Tuxik

  • *****
  • 1 473
    • Zobrazit profil
    • E-mail
Re:bind9
« Odpověď #2 kdy: 01. 12. 2016, 17:02:46 »
Proč se ptát dalšího serveru, když se může ptát přímo root serverů? Jejich konfigurace (seznam) je tuším ve /var/named/named.root, hledej na googlu něco jako "bind use root servers" nebo tak, případně kdyby se nezadařilo, konfiguraci ti napíšu, ale osobně preferuju jen nakopnutí správným směrem, aby ses něco naučil ;)

j

Re:bind9
« Odpověď #3 kdy: 01. 12. 2016, 17:14:56 »
Ahoj,
mam config Bindu :
http://pastebin.com/RiFVqE9H

nslookup db01.domain.com respond: 10.10.0.98

nslookup public.domain.com respond: ** server can't find public.domain.com: NXDOMAIN

Jak ho mohu donutit, aby mi prekladal co nenajde u sebe v zonovem souboru, tak aby se zkusil doptat z public DNS napr. googlu 8.8.8.8?

Thx!
Sak mu sam rikas, ze domain.com spravuje prave TVUJ DNS, takze ten zaznam bud ma a pak odpovi, nebo nema a pak posle presne to co vidis = ze takovej zaznam neexistuje.

zone "domain.com"

Pokud bys to chtel jinak tak tam musis dat trebas

zone "db01.domain.com"

A jak rika tuxik, provozovat vlastni DNS jako forwarder je poradna kravina. To co hledas se jmenuje:

recursion yes;


Tuxik

  • *****
  • 1 473
    • Zobrazit profil
    • E-mail
Re:bind9
« Odpověď #4 kdy: 01. 12. 2016, 17:18:10 »
Ty to kazíš soudruhu. Konfigurace DNS je mnohem jednodušší, než jak vypadá a když to necháš někoho najít, většinou to i pochopí. což je přesně to, co je třeba, protože je neuvěřitelné, kolik lidí, i síťařů, o tom ví prd.


j

Re:bind9
« Odpověď #5 kdy: 01. 12. 2016, 17:28:54 »
Sak ja mu nerikam jak to udelat, kdyz si nenajde jak to funguje, tak mu to stejne fungovat nebude ...

TP

Re:bind9
« Odpověď #6 kdy: 01. 12. 2016, 18:20:15 »
Jak funguje DNS tak nejak tusim, ze existuji root servery, autoritativni, cashing only... O co mi jde, abych mohl Bind vyuzivat jako cashing server a zaroven mu mohl upravit tu zonu pro prvky z LAN, nechci mit v public DNS adresy z LAN.

Uvazoval jsem puvodne smerem split DNS - pro hosty z rozsahy 10.x proste servuj tento zonovy soubor, jen pak mi doslo, ze bych musel udrzovat v podstate 2 zonove soubory jeden v AWS a druhy v local lan a hlavne nektere servery nemam pouze v LAN a budou se ptat z public IP ktere bych musel po jedne zas pridavat do ALLOW... takze zavrhnuto.

Proto jsem chtel neco co mi bude cashovat zaznamy z internetu a zaroven mu budu moct podvrhnout neajke zaznamy napr. server01.domain.com ktery bude mit ip z LAN rozsahu.

Varinata : zone "db01.domain.com" me tez napadla, takto to dela kolega na Windows, ale nechce se mi pro kazdy jeden zaznam generovat vlastni zonovy soubor :(

Varianta pouzit jinou domenu tez nepripada uplne v uvahu, resil bych nejspise podobny problem casem.

Nepotrebuji stavet vlastni velke reseni master/master a X slave serveru, staci mi jeden master je to pro nekolik malo masin.

Pak je tu jeste varianta napsat si skriptik, ktery mi pomoci API do amazonu nasype celou zonu krome private IP a zaroven vtvori druhy zone file, ktery budu mit ve svem local bindu a tim docilim vysledku ktery bych chtel a budu mit vsechny zaznamy jednotne - public IP v AWS, private + public v local bind.

Jak to tedy resite vy? Uvazuju uplne spatne?

Re:bind9
« Odpověď #7 kdy: 01. 12. 2016, 18:43:53 »
různé zónové soubory budete potřebovat tak jako tak
můžete je mít na různých DNS serverech, nebo na tom jednom a použít views

kk

Re:bind9
« Odpověď #8 kdy: 01. 12. 2016, 19:49:37 »
ahoj,
nedavno jsem si doma rozjizdel router banana pi r1 a daval sem tam i dns server. vytvoril jsem si domenu magi.net (podle toho superpocitace s jednoho anime;) a mam nastaveny zonovy soubor, kde si muzu davat staticke zaznamy pocitacu v siti a navic se to dynamicky plni nazvy pocitacu, ktere si liznou adresu s dhcp serveru. pokud se klient pta na nejakou adresu s internetu tak se pouzije recursion. cetl jsem ze nezabezpeceny dns server se da zneuzit k ddos utoku a tak sem se to pokusil zabespecit tim, ze jsem rekurzivni dotazy povolil jen s adres vnitrni site a navic sem v iptables zakazal prichozi komunikaci. nevim jestli to mam vsechno zpravne, ale funguje mi to. tady sou konfiguraky:

/etc/bind/named.conf.options
Kód: [Vybrat]
acl goodclients {
        10.0.0.0/24;
        localhost;
        };


options {
        directory "/var/cache/bind";
        recursion yes;
        allow-query { goodclients; };
        dnssec-validation auto;
        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

/etc/bind/named.conf.local
Kód: [Vybrat]
include "/etc/bind/magi-net-rndc-key";

zone "magi.net" {
        type master;
        file "/var/lib/bind/db.magi.net";
        notify no;
        allow-update { key magi-net-rndc-key; };
};

zone "0.0.10.in-addr.arpa" {
        type master;
        file "/var/lib/bind/db.10";
        notify no;
        allow-update { key magi-net-rndc-key; };
};
/var/lib/bind/db.10
Kód: [Vybrat]
$ORIGIN .
$TTL 604800     ; 1 week
0.0.10.in-addr.arpa     IN SOA  ns.magi.net. root.magi.net. (
                                42         ; serial
                                604800     ; refresh (1 week)
                                86400      ; retry (1 day)
                                2419200    ; expire (4 weeks)
                                604800     ; minimum (1 week)
                                )
                        NS      ns.
$ORIGIN 0.0.10.in-addr.arpa.
1                       PTR     ns.magi.net.
$TTL 300        ; 5 minutes
11                      PTR     Tablet-mm.magi.net.
$TTL 3600       ; 1 hour
18                      PTR     Zbyso.magi.net.
$TTL 300        ; 5 minutes
4                       PTR     magi.magi.net.
5                       PTR     fish-desktop.magi.net.
/var/lib/bind/db.magi.net
Kód: [Vybrat]
$ORIGIN .
$TTL 604800     ; 1 week
magi.net                IN SOA  ns.magi.net. root.magi.net. (
                                36         ; serial
                                604800     ; refresh (1 week)
                                86400      ; retry (1 day)
                                2419200    ; expire (4 weeks)
                                604800     ; minimum (1 week)
                                )
                        NS      ns.magi.net.
$ORIGIN magi.net.
$TTL 300        ; 5 minutes
fish-desktop            A       10.0.0.5
                        TXT     "00f53ac1c7d9d9576b355c1fd9f5e0ca9c"
karel                   A       10.0.0.4
                        TXT     "31efa4fa064f3675b8af0b8d0e86af0859"
magi                    A       10.0.0.4
                        TXT     "31059cd8535a6612479c46af7f7f2fceed"
$TTL 604800     ; 1 week
ns                      A       10.0.0.1
pi                      CNAME   ns
$TTL 300        ; 5 minutes
Tablet-mm               A       10.0.0.11
/etc/dhcp/dhcpd.conf
Kód: [Vybrat]
authoritative;
option domain-name-servers      10.0.0.1;
option domain-name              "magi.net";
option domain-search            "magi.net";

ddns-updates            on;
ddns-update-style       interim;
ignore                  client-updates;
update-static-leases    on;

default-lease-time 600;
max-lease-time 7200;
log-facility local7;

include "/etc/bind/magi-net-rndc-key";

zone MAGI.NET. {
  primary 127.0.0.1;
  key magi-net-rndc-key;
}

zone 0.0.10.in-addr.arpa. {
  primary 127.0.0.1;
  key magi-net-rndc-key;
}

subnet 10.0.0.0 netmask 255.255.255.0 {
  range 10.0.0.10 10.0.0.100;
  option routers 10.0.0.1;
}

host quandasim {
hardware ethernet 1c:87:2c:43:56:2d;
fixed-address 10.0.0.4;
}