serve a zona raiz com bind e utiliza o RPZ

1

Eu tenho alguns problemas com a configuração do BIND como meu servidor privado na zona de raiz.

Eu tentei o ponto "." (tinha lido em algum lugar) e uma string vazia "" (meu palpite) quanto ao identificador da zona raiz (ambos possuem erros de sintaxe)

zone "." { ; sorry 
    ... 
};

também

zone "" { ;sorry 
    ... 
};

Você tem alguma dica de como server a zona raiz?

(Minha Nota: Servir a zona raiz pode ser diferente de ser um servidor raiz!)

Atualizar

O problema, na verdade, está na zona de política de resposta na raiz ("."):

options {
    #response-policy {zone "com"; }; #it is OK (before commenting)
    response-policy {zone "."; }; #it makes error when loading the config
};  


zone "."{
    type master; 
    file "db/zone.root.db"; 
};

zone "com"{ #just for syntax test/check
    type master; 
    file "db/zone.root.db"; 
};

named-checkconf -zj named.conf

  zone ./IN: NS 'LOCALHOST' has no address records (A or AAAA)
  zone ./IN: not loaded due to errors.
  _default/./IN: bad zone
  zone com/IN: loaded serial 1

NOTA : Em ambas as configurações: a que o serviço carrega e a outra que termina, a saída é a mesma

dig www.google.com @127.0.0.1

01     ; <<>> DiG 9.10.4-P2 <<>> www.google.com @127.0.0.1
02     ;; global options: +cmd
03     ;; Got answer:
04     ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58406
05     ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 1
06     
07     ;; OPT PSEUDOSECTION:
08     ; EDNS: version: 0, flags:; udp: 4096
09     ;; QUESTION SECTION:
10     ;www.google.com.                        IN      A
11     
12     ;; ANSWER SECTION:
13     www.google.com.         5       IN      CNAME   nosslsearch.google.com.rpz.zone.
14     nosslsearch.google.com.rpz.zone. 3600 IN A      216.239.32.20
15     
16     ;; AUTHORITY SECTION:
17     rpz.zone.               3600    IN      NS      LOCALHOST.
18     
19     ;; Query time: 44 msec
20     ;; SERVER: 127.0.0.1#53(127.0.0.1)
21     ;; WHEN: Mon Aug 01 17:07:14 Daylight Time 2016
22     ;; MSG SIZE  rcvd: 127

Nota: Veja a linha 13 e o trailing ".rpz.zone".

nslookup

01     > server 127.0.0.1
02     Default server: 127.0.0.1
03     Address: 127.0.0.1#53
04     > www.google.com
05     Server:         127.0.0.1
06     Address:        127.0.0.1#53
07     
08     Non-authoritative answer:
09     www.google.com  canonical name = nosslsearch.google.com.rpz.zone.
10     Name:   nosslsearch.google.com.rpz.zone
11     Address: 216.239.32.20

ping www.google.com -n 1

1     Pinging nosslsearch.google.com.rpz.zone [216.239.32.20] with 32 bytes of data:
2     Reply from 216.239.32.20: bytes=32 time=149ms TTL=45
3     
4     Ping statistics for 216.239.32.20:
5         Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
6     Approximate round trip times in milli-seconds:
7         Minimum = 149ms, Maximum = 149ms, Average = 149ms

Resumo dos snippets de saída acima : o rpz.zone é adicionado em todos os lugares, por isso pensei em migrar para a área de raiz.

E esta é minha

zone.root.db file

01     $TTL 1H
02     @                       SOA LOCALHOST. named-mgr.example.com (1 1h 15m 30d 2h)
03                             NS  LOCALHOST.
04     
05     nosslsearch.google.com       A     216.239.32.20
06     google.com                   CNAME nosslsearch.google.com
07     www.google.com               CNAME nosslsearch.google.com
08     

Eu só quero me livrar do rp.zone sendo anexado às respostas !, como?

    
por F.I.V 27.07.2016 / 06:31

1 resposta

2

Zonas RPZ têm semântica especial definida, tal que o nome da zona não é realmente relevante para o seu funcionamento.
Na verdade, o nome deve ser escolhido para não entrar em conflito com as zonas reais. Os dados RPZ que estão sendo carregados de uma zona são apenas uma maneira de fazer uso dos mecanismos de carregamento / sincronização de zonas existentes.

Então, você não desejaria nomear a zona RPZ . ou com ou algo assim. No entanto, como ele é carregado como uma zona, as especificações do arquivo mestre regulares se aplicam a como o conteúdo é interpretado.

por exemplo, para uma zona chamada example , a seguinte

www.google.com CNAME nosslsearch.google.com

significa

www.google.com.example. CNAME nosslsearch.google.com.example.

(a menos que seja explicitamente sobrescrevendo $ORIGIN )


Enquanto o RPZ define o nome do proprietário (coluna mais à esquerda) de forma que, ao corresponder pelo nome da consulta, ele auto-anexa o nome da zona RPZ,

QNAME

QNAME policy records are triggered by query names of requests and targets of CNAME records resolved to generate the response. The owner name of a QNAME policy record is the query name relativized to the policy zone.

os dados do registro CNAME (lado direito) são usados como estão nos casos em que você está fornecendo dados locais. (Ou seja, quando os dados CNAME não são um dos casos de casos especiais definidos no RPZ, como rpz-drop. , . , *. , etc)

Local Data

A set of ordinary DNS records can be used to answer queries. Queries for record types not the set are answered with NODATA.

A special form of local data is a CNAME whose target is a wildcard such as *.example.com. It is used as if were an ordinary CNAME after the astrisk (*) has been replaced with the query name. The purpose for this special form is query logging in the walled garden's authority DNS server.

Para encurtar a história, você gostaria de algo assim:

www.google.com CNAME nosslsearch.google.com.
    
por 01.08.2016 / 15:16