Configuração DNS para Subdomínio Delegado de Vários Níveis Sem Acesso à Internet

Navegue suas respostas
0

Estou usando o Bind 9 no Debian. Eu tenho um mestre e um secundário.

Meus nomes de domínio são estruturados da seguinte forma:

  • my-host-1.my-project.my-corp.com
  • my-host-2.area-1.my-project.my-corp.com
  • my-host-3.area-2.my-project.my-corp.com

Meus servidores de nomes são autorizados para:

  • my-project.my-corp.com
  • area-1.my-project.my-corp.com
  • area-2.my-project.my-corp.com

Meus servidores de nomes são não autoritativos para my-corp.com e não tenho direitos administrativos para os servidores de nomes que são autoritativos para my-corp.com .

Assim, os servidores de nomes my-corp.com delegam as consultas dos meus domínios para os meus servidores de nomes, e os meus servidores de nomes encaminham as consultas que eles não podem responder diretamente ao my-corp.com servidores de nomes. Este arranjo não é opcional. É exigido pelo departamento de TI da minha empresa. Então, especificamente, meus servidores de nomes não podem realizar consultas iterativas ou de qualquer outra maneira alcançar qualquer servidor de nomes na Internet.

Os servidores de nomes my-corp.com têm os seguintes endereços IP:

  • 10.0.0.1/24 (principal)
  • 10.0.0.2/24 (secundário)

O bloco de endereços IP alocado para mim é 10.1.0.0/23 . Isso é relevante para a resolução inversa.

Meus servidores de nomes têm os seguintes endereços IP e nomes de host:

  • 10.1.0.1/23, ns1.my-project.my-corp.com (principal)
  • 10.1.1.1/23, ns2.my-project.my-corp.com (secundário)

A configuração do meu principal servidor de nomes é a seguinte: 

options {
        directory "/etc/bind";
        forward only;
        forwarders {
                10.0.0.1; 10.0.0.2;
        };

zone "my-project.my-corp.com" {
   type master;
   file "db.my-project.my-corp.com";
};

zone "0.1.10.in-addr.arpa" {
   type master;
   file "db.10.1.0";
};

zone "1.1.10.in-addr.arpa" {
   type master;
   file "db.10.1.1";
};

// ALL OF THE FOLLOWING IS DEFAULT IN BIND 9.

// prime the server with knowledge of the root servers

zone "." {
     type hint;
     file "/etc/bind/db.root";
};

// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912

zone "localhost" {
     type master;
     file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
     type master;
     file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
     type master;
     file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
     type master;
     file "/etc/bind/db.255";
};

Meu arquivo de zona mestre para my-project.my-corp.com é o seguinte: 

$TTL 3h

my-project.my-corp.com.   IN   SOA   ns1.my-project.my-corp.com. root.localhost. (
   2018010500 ; Serial
   3h         ; Refresh
   1h         ; Retry
   1w         ; Expire
   3h     )   ; Negative Cache TTL

my-project.my-corp.com.   IN   NS   ns1.my-project.my-corp.com.
my-project.my-corp.com.   IN   NS   ns2.my-project.my-corp.com.

ns1.my-project.my-corp.com.                IN   A   10.1.0.1
ns2.my-project.my-corp.com.                IN   A   10.1.1.1
my-host-1.my-project.my-corp.com.          IN   A   10.1.0.2
my-host-2.area-1.my-project.my-corp.com.   IN   A   10.1.0.3
my-host-3.area-2.my-project.my-corp.com.   IN   A   10.1.1.2

Meu arquivo de zona mestre para 0.1.10.in-addr.arpa é o seguinte: 

$TTL 3h

0.1.10.in-addr.arpa.   IN   SOA   ns1.my-project.my-corp.com. root.localhost. (
   2018010500 ; Serial
   3h         ; Refresh
   1h         ; Retry
   1w         ; Expire
   3h     )   ; Negative Cache TTL

0.1.10.in-addr.arpa.     IN   NS    ns1.my-project.my-corp.com.
0.1.10.in-addr.arpa.     IN   NS    ns2.my-project.my-corp.com.

1.0.1.10.in-addr.arpa.   IN   PTR   ns1.my-project.my-corp.com.
2.0.1.10.in-addr.arpa.   IN   PTR   my-host-1.my-project.my-corp.com.
3.0.1.10.in-addr.arpa.   IN   PTR   my-host-2.area-1.my-project.my-corp.com.

Meu arquivo de zona mestre para 1.1.10.in-addr.arpa é o seguinte: 

$TTL 3h

1.1.10.in-addr.arpa.   IN   SOA   ns1.my-project.my-corp.com. root.localhost. (
   2018010500 ; Serial
   3h         ; Refresh
   1h         ; Retry
   1w         ; Expire
   3h     )   ; Negative Cache TTL

1.1.10.in-addr.arpa.     IN   NS    ns1.my-project.my-corp.com.
1.1.10.in-addr.arpa.     IN   NS    ns2.my-project.my-corp.com.

1.1.1.10.in-addr.arpa.   IN   PTR   ns2.my-project.my-corp.com.
2.1.1.10.in-addr.arpa.   IN   PTR   my-host-3.area-2.my-project.my-corp.com.

Eu tenho duas perguntas.

QUESTÃO 1

Não há problema em colocar hosts de my-project.my-corp.com e seus dois subdomínios diretamente na mesma zona que eu fiz acima?

QUESTÃO 2

Como meus servidores de nomes não podem acessar a Internet, como devo lidar com servidores de nomes raiz? Devo simplesmente não configurá-los, pois nunca realizarei uma consulta iterativa? Se eles devem ser definidos, como deve defini-los?

    
por Dave 06.01.2018 / 01:42

1 resposta

2

Q2 vhow should I handle root nameservers?

Você tem forward only; set, junto com encaminhadores. As dicas de raiz não serão usadas.

Is it OK to put hosts from my-project.my-corp.com

Sim, isso está perfeitamente bem. Você não precisa criar arquivos de zonas adicionais, a menos que precise que as zonas sejam gerenciadas por diferentes servidores de nomes ou que possuam diferentes opções de consulta ou algo assim.

Você poderia fazer sua zona parecer mais simples se você pular anexando a zona e mencionar 'IN'. 

$TTL 3h
@  SOA   ns1.my-project.my-corp.com. root.localhost. (
   2018010500 ; Serial
   3h         ; Refresh
   1h         ; Retry
   1w         ; Expire
   3h     )   ; Negative Cache TTL

@  NS   ns1
@  NS   ns2
ns1               A   10.1.0.1
ns2               A   10.1.1.1
my-host-1         A   10.1.0.2
my-host-2.area-1  A   10.1.0.3
my-host-3.area-2  A   10.1.1.2
    
por 06.01.2018 / 02:01

Tags

Exibir um formulário por meio de CMD (VB.NET) Por que meu espaço em disco continua sendo reduzido mais do que eu acho que deveria? [fechadas]