1 votes

F.I.V avatar

servir la zone racine avec bind et utiliser RPZ

Demandé el 27 de Juillet, 2016
Quand la question a-t-elle été
862 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai quelques problèmes avec la configuration de BIND comme mon serveur privé dans la zone racine.

J'ai essayé le point "." (j'avais lu quelque part) et une chaîne vide "" (ma mauvaise supposition) comme identifiant de la zone racine (qui ont tous deux des erreurs de syntaxe).

zone "." { ; sorry 
    ... 
};

également

zone "" { ;sorry 
    ... 
};

Avez-vous une idée de la façon dont le serveur de la zone racine peut être utilisé ?

(Ma note : Servir la zone racine peut être différent d'être un serveur racine).

Mise à jour

Le problème se situe en fait dans la zone de politique de réponse à la racine (".") :

options {
    #response-policy {zone "com"; }; #it is OK (before commenting)
    response-policy {zone "."; }; #it makes error when loading the config
};  

zone "."{
    type master; 
    file "db/zone.root.db"; 
};

zone "com"{ #just for syntax test/check
    type master; 
    file "db/zone.root.db"; 
};

named-checkconf -zj named.conf

  zone ./IN: NS 'LOCALHOST' has no address records (A or AAAA)
  zone ./IN: not loaded due to errors.
  _default/./IN: bad zone
  zone com/IN: loaded serial 1

ANMERKUNG : Dans les deux configurations : celle qui charge le service et celle qui le termine, la sortie est la même.

dig www.google.com @127.0.0.1

01     ; <<>> DiG 9.10.4-P2 <<>> www.google.com @127.0.0.1
02     ;; global options: +cmd
03     ;; Got answer:
04     ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58406
05     ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 1
06     
07     ;; OPT PSEUDOSECTION:
08     ; EDNS: version: 0, flags:; udp: 4096
09     ;; QUESTION SECTION:
10     ;www.google.com.                        IN      A
11     
12     ;; ANSWER SECTION:
13     www.google.com.         5       IN      CNAME   nosslsearch.google.com.rpz.zone.
14     nosslsearch.google.com.rpz.zone. 3600 IN A      216.239.32.20
15     
16     ;; AUTHORITY SECTION:
17     rpz.zone.               3600    IN      NS      LOCALHOST.
18     
19     ;; Query time: 44 msec
20     ;; SERVER: 127.0.0.1#53(127.0.0.1)
21     ;; WHEN: Mon Aug 01 17:07:14 Daylight Time 2016
22     ;; MSG SIZE  rcvd: 127

Note : Voir la ligne 13 et la terminaison ".rpz.zone".

nslookup

01     > server 127.0.0.1
02     Default server: 127.0.0.1
03     Address: 127.0.0.1#53
04     > www.google.com
05     Server:         127.0.0.1
06     Address:        127.0.0.1#53
07     
08     Non-authoritative answer:
09     www.google.com  canonical name = nosslsearch.google.com.rpz.zone.
10     Name:   nosslsearch.google.com.rpz.zone
11     Address: 216.239.32.20

ping www.google.com -n 1

1     Pinging nosslsearch.google.com.rpz.zone [216.239.32.20] with 32 bytes of data:
2     Reply from 216.239.32.20: bytes=32 time=149ms TTL=45
3     
4     Ping statistics for 216.239.32.20:
5         Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
6     Approximate round trip times in milli-seconds:
7         Minimum = 149ms, Maximum = 149ms, Average = 149ms

Résumé des éléments de sortie ci-dessus La rpz.zone est ajoutée partout, c'est pourquoi j'ai pensé à m'installer dans la zone des racines.

Et c'est mon

fichier zone.root.db

01     $TTL 1H
02     @                       SOA LOCALHOST. named-mgr.example.com (1 1h 15m 30d 2h)
03                             NS  LOCALHOST.
04     
05     nosslsearch.google.com       A     216.239.32.20
06     google.com                   CNAME nosslsearch.google.com
07     www.google.com               CNAME nosslsearch.google.com
08

Je veux juste me débarrasser du rp.zone qui est ajouté aux réponses, comment ?

Demandé el 27 de Juillet, 2016 par F.I.V

Réponse

Trop de publicités?

2voto

Jacob avatar
Jacob Points 1861

Les zones RPZ ont une sémantique spéciale défini, de sorte que le nom de la zone n'est pas réellement pertinent pour son fonctionnement.
En fait, le nom doit être choisi de manière à ne pas entrer en conflit avec les zones actuelles. Le fait que les données de la ZRP soient chargées à partir d'une zone n'est qu'un moyen d'utiliser les mécanismes existants de chargement/synchronisation des zones.

Vous ne voudriez donc pas nommer la zone RPZ. . o com ou quelque chose comme ça. Cependant, comme il est chargé en tant que zone, les spécifications habituelles du fichier maître s'appliquent à l'interprétation de son contenu.

par exemple pour une zone nommée example les points suivants

www.google.com CNAME nosslsearch.google.com

signifie

www.google.com.example. CNAME nosslsearch.google.com.example.

(à moins de remplacer explicitement $ORIGIN )

Alors que RPZ définit le nom du propriétaire (colonne la plus à gauche) de manière à ce que, lors de la recherche par nom de requête, le nom de la zone RPZ soit automatiquement appliqué,

QNAME

Les enregistrements de politique QNAME sont déclenchés par les noms de requête des demandes et les cibles des enregistrements CNAME résolus pour générer la réponse. Le nom du propriétaire de nom propriétaire d'un enregistrement de politique QNAME est le nom de la requête relativisé par rapport à la zone de politique.

les données de l'enregistrement CNAME (côté droit) sont utilisées telles quelles pour les cas où vous fournissez des données locales. (C'est-à-dire, lorsque les données CNAME ne sont pas l'un des cas spéciaux définis dans RPZ, tels que rpz-drop. , . , *. etc)

Données locales

Un ensemble d'enregistrements DNS ordinaires peut être utilisé pour répondre aux questions suivantes aux requêtes. Les requêtes pour les types d'enregistrements qui ne font pas partie de l'ensemble sont répondues par NODATA.

Une forme spéciale de données locales est un CNAME dont la cible est un caractère de remplacement. tel que *.example.com. Il est utilisé comme s'il s'agissait d'un CNAME ordinaire après que l'astérisque (*) a été remplacé par le nom de la requête. Le but de cette forme spéciale est l'enregistrement de la requête dans l'autorité du jardin clos. Serveur DNS.

Pour faire court, vous voudriez quelque chose comme ceci à la place :

www.google.com CNAME nosslsearch.google.com.
Répondu el 1 de Août, 2016 par Jacob (1861 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X