BIND9: gli spedizionieri hanno qualche priorità?

11

Sto solo configurando il mio server BIND9 e funziona bene finora. Ho deciso di integrare un piccolo espediente nelle capacità del mio DNS. Voglio che risolva domini conformi a IANA come * .com e * .net dal server DNS del mio ISP, ma voglio anche integrare domini OpenNIC come .geek e .project utilizzando un server DNS OpenNIC come spedizioniere. Quindi la mia sezione spedizionieri assomiglia sostanzialmente a questa:

forwarders {
   IP.OF.ISP.DNS;
   IP.OF.OPENNIC.DNS;
}

Nonostante OpenNIC-DNS sia in grado di risolvere domini IANA, non voglio fidarmi di loro, perché dirottare domini importanti come paypal.com o ebay.com è semplicemente troppo semplice. Bind9 sta chiedendo i record degli spedizionieri passo dopo passo (dal primo IP all'ultimo IP) o chiede arbitrariamente? Voglio essere sicuro che il DNS del mio ISP abbia la massima priorità nella risoluzione dei domini.

Esiste un modo per "debug" della query DNS direttamente sul mio server DNS per vedere quale server utilizza per cercare il dominio richiesto?

domain-name-system  bind 
grindhold
fonte

Risposte:

5

L'ho già cercato prima, ma al momento ho difficoltà a trovare qualcosa di meglio di questo: https://lists.isc.org/pipermail/bind-users/2012-April/087455.html

BIND8 e successivi considerano ciascuno degli spedizionieri che iniziano con "uguale peso". Sulla base dell'SRTT delle risposte, il nameserver inizia a favorire l'uno rispetto all'altro. Una certa percentuale di query raggiungerà sempre quella con una latenza più elevata, per ripetere il test delle acque e mantenere corretta la preferenza di peso calcolata. (tenendo presente che una volta memorizzato nella cache un record, gli spedizionieri non verranno consultati nuovamente fino alla scadenza del TTL)

In breve, la direttiva forwarder è progettata pensando alla ridondanza e alla latenza minimizzata, non in un modello di failover in standby attivo. Questo non farà ciò che desideri e non sono a conoscenza di direttive BIND per riconfigurare questo comportamento. Finisco per fissare un po 'la documentazione di BIND nella mia linea di lavoro, quindi mi sento abbastanza fiducioso su questa affermazione.

Andrew B
fonte
4
Detto questo, potresti essere in grado di realizzare ciò che stai cercando di creare costruendo zone di inoltro per ciascuno dei suffissi di dominio che vuoi gestire con OpenNIC. È anche possibile utilizzare le zone "suggerimento", ma sembri interessato a utilizzare le cache a monte invece di gestire tu stesso la ricorsione.
Andrew B,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.