Bind9 Veja quais correspondências dependem do nome de domínio solicitado

1

Não tenho certeza se o título se encaixa na pergunta. Por favor, sinta-se à vontade para editar, Obrigado

Estou usando bind9 como um servidor DNS de cache interno para minha rede de pequena empresa. Tenho um único dispositivo que tem permissão para resolver endereços (este é um servidor proxy executando o squid 3.1). Todos os outros dispositivos obtêm o IP 192.168.1.99 retornado para qualquer consulta feita com este arquivo named.conf.local:

view "Allowed" {
 match-clients { 192.168.1.99; 127.0.0.1; };
 recursion yes;
 zone "webb.local" {
  type master;
  allow-query { any; };
  file "/etc/bind/master/webb.local";
  };
 };
view "Blocked" {
 match-clients { any; };
 recursion no;
 zone "." {
  type master;
 file "/etc/bind/master/db.catchall";
 };
};

O que eu quero agora é permitir que a visão "Bloqueado" resolva corretamente um grupo selecionado de nomes de domínio, ou seja, aqueles terminando "meraki.com", mas para que eles continuem recebendo 192.168. 1,99 para todos os outros endereços (conforme definido em "/etc/bind/master/db.catchall"). Meu palpite é que isso pode ser feito com "match-destination", mas não consigo encontrar nenhuma documentação sobre como usar esse recurso.

Muito obrigado por toda a ajuda com antecedência, é muito apreciado!

    
por o.comp 06.06.2015 / 19:35

1 resposta

1

Sua estratégia atual de firewall DNS para o BIND está um pouco atrasada, já que você está roubando a autoridade da zona raiz. Fazer um repasse de trabalho nessa situação é bastante difícil; não há nenhuma funcionalidade de "lista branca" que permita reativar a recursão de registros DNS específicos. A solução não é dimensionada porque você está preso mantendo as informações atualizadas manualmente em todos os casos:

  • Você pode configurar uma declaração forwarder para cada domínio interno que você gerencia, pois há uma confiança razoável de que os IPs do seu servidor de nomes não serão alterados sem aviso. Usar um forwarder para um domínio que você não gerencia é uma má ideia, porque os servidores de nomes podem mudar a qualquer momento.
  • A outra solução é definir estaticamente todos e quaisquer registros DNS que você deseja duplicar na . zone. Isso não é escalável devido ao fato de que as partes remotas podem alterar esses registros DNS a qualquer momento ou adicionar conteúdo a seus sites que exigem registros DNS que você não replicou.

Minha recomendação é que você considere o abandono da abordagem e, ao invés disso, utilize o RPZ. As perguntas e respostas a seguir podem ajudá-lo a começar: Configure o BIND9 como o firewall do DNS

Se você optar pelo RPZ, o termo whitelisting que você deseja procurar é rpz-passthru ; lembre-se de colocar na lista branca tanto o topo do domínio ( example.com ) quanto todos os registros abaixo dele com um curinga ( *.example.com ).

    
por 06.06.2015 / 21:18