É possível ter ligação Responder de forma autoritária para domínios locais?

Navegue suas respostas
0

Assim como o título diz: é possível ter o Bind (serviço chamado ) em uma máquina Linux (Fedora 27, Server Edition) respondendo autoritativamente para domínios locais ou , no mínimo, responder de tal forma que algo perguntando sobre eles irá aceitar a resposta do servidor sobre qualquer outro?

Eu sei que é suposto ser possível (em teoria, pelo menos), mas não consigo fazê-lo funcionar, mesmo que ambos os serviços e rndc sejam e mesmo que meus arquivos passem verificações em named-checkconf e named-checkzone .

Eu preciso ser capaz de receber uma resposta do servidor de vinculação para o meu domínio local (consultas originadas de um computador com Windows 7) que aponta para o meu domínio local (em oposição a uma resposta autoritativa ou não autoritativa em outro lugar na internet ), semelhante a este post: BIND9 não pode resolver o domínio local . Eu também gostaria de tornar possível adicionar outros nomes de domínio (Internet) em uma data posterior (então, uma raiz falsa provavelmente não funcionaria como uma solução), mas, como está, a resposta nslookup é:

** o servidor não pode encontrar o vpntest.it: NXDOMAIN **

Eu também reinstalei a distro (instalação mínima nua), modifiquei os arquivos de acordo com o Guia do Administrador do Fedora e verifiquei (além de cuidadosamente extrapolada) este post: link ... e ainda recebe o erro acima. Grrrrrrrrrrrrrrrr!

Meus arquivos atualmente são os seguintes:

valor /etc/nsswitch.conf : 

files dns myhostname

/etc/resolv.conf: 

# Generated by NetworkManager
nameserver 64.83.128.50
nameserver 64.20.192.50
nameserver 2001:4860:4860::8888
# NOTE: the libc resolver may not support more than 3 nameservers.
# The nameservers listed below may not be recognized.
nameserver 2001:4860:4860::8844

/ etc / hosts: 

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6

etc / named.conf (Chave RNDC excluída deste post): 

options {
    listen-on port 53 { 10.200.0.1; }; // 127.0.0.1 //
    listen-on-v6 port 53 { ::1; };
    directory   "/var/named";
    dump-file   "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named_stats.txt";
    memstatistics-file "/var/named/data/named_mem_stats.txt";

    recursion no;
    dnssec-enable yes;
    dnssec-validation auto;

    auth-nxdomain no;
    allow-query { localhost; };
    version "Damned If I Know";
    allow-recursion { 10.200.0.1/24; };

    managed-keys-directory "/var/named/dynamic";

    pid-file "/run/named/named.pid";
    session-keyfile "/run/named/session.key";

    include "/etc/crypto-policies/back-ends/bind.config";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
    type hint;
    file "named.ca";
};

include "/etc/named.rfc1912.zones";
# include "/etc/named.root.key";

key "rndc-key" {
    algorithm hmac-md5;
    secret "";
};

controls {
    inet 127.0.0.1 port 953
        allow { 127.0.0.1; } keys { "rndc-key"; };
};

zone "vpntest.it" IN {
    type master;
    file "vpntest.it.zone";
};

zone "0.200.10.in-addr.arpa" IN {
    type master;
    file "10.200.0.zone";
    allow-update { none; };
};

/var/named/vpntest.it.zone: 

$ORIGIN vpntest.it.
$TTL 86400
@       IN      SOA    ns1.vpntest.it.    hostmaster.vpntest.it. (
                100 ; serial
                21600   ; refresh after 6 hours
                3600    ; retry after 1 hour
                604800  ; expire after 1 week
                86400 ) ; minimum TTL of 1 day
;
                IN  NS  ns1.vpntest.it.
;
ns1             IN  A   10.200.0.1
;
www             IN  A   10.200.0.6

/var/named/10.200.0.zone: 

$ORIGIN 0.200.10.in-addr.arpa.
$TTL 86400
@       IN      SOA    ns1.vpntest.it.    hostmaster.vpntest.it. (
                100 ; serial
                21600   ; refresh after 6 hours
                3600    ; retry after 1 hour
                604800  ; expire after 1 week
                86400 ) ; minimum TTL of 1 day
;
@               IN  NS  ns1.vpntest.it.
;
1               IN  PTR ns1.vpntest.it.
6               IN  PTR www
    
por Y Treehugger Cymru 02.03.2018 / 23:34

1 resposta

0

Eu sei que esta pergunta é um pouco antiga (e parece que você tem alguma configuração semi-funcional), então por favor me perdoe se declarar algo que você já conhece ou que não se aplica mais ao seu problema.

Eu não posso falar diretamente com nenhum outro problema, mas você (aparentemente) não tem uma entrada para vpntest.it no seu arquivo de zona: 

$ORIGIN vpntest.it.
$TTL 86400
@       IN      SOA    ns1.vpntest.it.    hostmaster.vpntest.it. (
                100 ; serial
                21600   ; refresh after 6 hours
                3600    ; retry after 1 hour
                604800  ; expire after 1 week
                86400 ) ; minimum TTL of 1 day
;
                IN  NS  ns1.vpntest.it.
;
ns1             IN  A   10.200.0.1
;
vpntest.it.     IN  A   10.200.0.6  ; http://vpntest.it - no subdomain
www             IN  A   10.200.0.6  ; http://www.vpntest.it - subdomain

Observe que a série sempre deve ser incrementada ao fazer alterações nas suas zonas.

Outras notas

  • .it é um verdadeiro TLD junto com .dev . Isso pode causar problemas de resolução (assim como qualquer TLD público real). Você pode verificar essa lista de Domínios de nível superior internacionais e escolher um TLD falso que não esteja nessa lista (por exemplo, .nx talvez?). Existem alguns TLDs não públicos reservados oficialmente (bem, semi- excluindo .onion ), mas .invalid é aquele que você escolheria para ser absolutamente seguro (evite .local , pois isso é usado em conjunto com rede zeroconf ).

  • Como você observa nos seus comentários, recursion no; deve ser removido (já que você já está limitando a recursão com allow-recursion { 10.200.0.1/24; }; ).

  • Qualquer computador com o qual você deseja que o vpntest.it trabalhe precisa ter seu tráfego DNS passando pelo servidor BIND.

  • hosts podem substituir o BIND. Embora nsswitch.conf não pareça ser um problema (considerando o pedido), provavelmente ainda vale a pena observar a solução de problemas gerais (ou seja, você não deve precisar de vpntest.it 127.0.0.1 ao usar o BIND).

  • Embora não se aplique ao seu problema, use, por exemplo, vpntest.it/ (observe a barra à direita) para acessar domínios personalizados nas versões atuais do Chrome, Firefox e Opera (ou outros navegadores derivados do Chromium). Deixá-lo também pode causar problemas de resolução (supondo que o DNS esteja funcionando corretamente).

por 04.05.2018 / 08:53

Tags

Marcação de “primeira entrada correspondente em cada dia” a partir de uma lista de registros, usando ferramentas padrão * nix Economize mortos na chegada da bateria do MacBook