Ist es möglich, für lokale Domänen eine verbindliche Bind-Antwort zu erhalten?

tag-icon tag-icon dns bind nameserver
Ist es möglich, für lokale Domänen eine verbindliche Bind-Antwort zu erhalten?

Wie der Titel schon sagt: Ist es möglich,Binden(genanntKann der Server-Dienst auf einem Linux-Rechner (Fedora 27, Server Edition) für lokale Domänen autoritativ antworten oder zumindest so antworten, dass eine Abfrage danach die Antwort des Servers gegenüber allen anderen akzeptiert?

Ich weiß, dass es möglich sein soll (zumindest theoretisch), aber ich bekomme es nicht zum Laufen, obwohl sowohl diegenanntUndrndcDienste sind und obwohl meine Dateien die Prüfungen auf beiden bestehenbenannte-checkconfUndbenannte Prüfzone.

Ich muss in der Lage sein, vom Bind-Server für meine lokale Domäne (Anfragen, die von einem Windows 7-PC stammen) eine Antwort zu erhalten, die auf meine lokale Domäne verweist (im Gegensatz zu einer autoritativen oder nicht autoritativen Antwort anderswo im Internet), ähnlich diesem Beitrag:BIND9 kann lokale Domäne nicht auflösen. Ich möchte es auch möglich machen, zu einem späteren Zeitpunkt andere (Internet-)Domänennamen hinzuzufügen (eine falsche Root wäre also wahrscheinlich keine gute Lösung), aber so wie es aussieht,nslookupAntwort ist:

**Server kann vpntest.it nicht finden: NXDOMAIN **

Ich habe außerdem die Distribution neu installiert (Minimum-Installation), die Dateien entsprechend dem Fedora-Administratorhandbuch geändert und diesen Beitrag geprüft (und sorgfältig extrapoliert):https://serverfault.com/questions/838380/dns-use-public-domain-name-for-internal-use...UndTrotzdemerhalte den obigen Fehler. Grrrrrrrrrrrrrrrr!

Meine Dateien sind derzeit wie folgt:

/etc/nsswitch.confWert:

files dns myhostname

/etc/resolv.conf:

# Generated by NetworkManager
nameserver 64.83.128.50
nameserver 64.20.192.50
nameserver 2001:4860:4860::8888
# NOTE: the libc resolver may not support more than 3 nameservers.
# The nameservers listed below may not be recognized.
nameserver 2001:4860:4860::8844

/etc/hosts:

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6

etc/named.conf(RNDC-Schlüssel aus diesem Beitrag gelöscht):

options {
    listen-on port 53 { 10.200.0.1; }; // 127.0.0.1 //
    listen-on-v6 port 53 { ::1; };
    directory   "/var/named";
    dump-file   "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named_stats.txt";
    memstatistics-file "/var/named/data/named_mem_stats.txt";

    recursion no;
    dnssec-enable yes;
    dnssec-validation auto;

    auth-nxdomain no;
    allow-query { localhost; };
    version "Damned If I Know";
    allow-recursion { 10.200.0.1/24; };

    managed-keys-directory "/var/named/dynamic";

    pid-file "/run/named/named.pid";
    session-keyfile "/run/named/session.key";

    include "/etc/crypto-policies/back-ends/bind.config";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
    type hint;
    file "named.ca";
};

include "/etc/named.rfc1912.zones";
# include "/etc/named.root.key";

key "rndc-key" {
    algorithm hmac-md5;
    secret "";
};

controls {
    inet 127.0.0.1 port 953
        allow { 127.0.0.1; } keys { "rndc-key"; };
};

zone "vpntest.it" IN {
    type master;
    file "vpntest.it.zone";
};

zone "0.200.10.in-addr.arpa" IN {
    type master;
    file "10.200.0.zone";
    allow-update { none; };
};

/var/named/vpntest.it.zone:

$ORIGIN vpntest.it.
$TTL 86400
@       IN      SOA    ns1.vpntest.it.    hostmaster.vpntest.it. (
                100 ; serial
                21600   ; refresh after 6 hours
                3600    ; retry after 1 hour
                604800  ; expire after 1 week
                86400 ) ; minimum TTL of 1 day
;
                IN  NS  ns1.vpntest.it.
;
ns1             IN  A   10.200.0.1
;
www             IN  A   10.200.0.6

/var/named/10.200.0.zone:

$ORIGIN 0.200.10.in-addr.arpa.
$TTL 86400
@       IN      SOA    ns1.vpntest.it.    hostmaster.vpntest.it. (
                100 ; serial
                21600   ; refresh after 6 hours
                3600    ; retry after 1 hour
                604800  ; expire after 1 week
                86400 ) ; minimum TTL of 1 day
;
@               IN  NS  ns1.vpntest.it.
;
1               IN  PTR ns1.vpntest.it.
6               IN  PTR www

Antwort1

Ich weiß, dass diese Frage schon etwas älter ist (und es scheint, als hätten Sie eine halbwegs funktionierende Konfiguration), also verzeihen Sie mir bitte, wenn ich etwas sage, das Sie bereits wissen oder das auf Ihr Problem nicht mehr zutrifft.

Zu anderen Problemen kann ich nicht direkt etwas sagen, aber Sie haben (anscheinend) keinen Eintrag fürvpntest.itin Ihrer Zonendatei:

$ORIGIN vpntest.it.
$TTL 86400
@       IN      SOA    ns1.vpntest.it.    hostmaster.vpntest.it. (
                100 ; serial
                21600   ; refresh after 6 hours
                3600    ; retry after 1 hour
                604800  ; expire after 1 week
                86400 ) ; minimum TTL of 1 day
;
                IN  NS  ns1.vpntest.it.
;
ns1             IN  A   10.200.0.1
;
vpntest.it.     IN  A   10.200.0.6  ; http://vpntest.it - no subdomain
www             IN  A   10.200.0.6  ; http://www.vpntest.it - subdomain

Beachten Sie, dass die Seriennummer immer erhöht werden sollte, wenn Sie Änderungen an Ihren Zonen vornehmen.

Weitere Hinweise

  • .itist eine echte TLD zusammen mit .dev. Dies kann zu Auflösungsproblemen führen (wie bei jeder echten, öffentlichen TLD). Sie können diese Liste überprüfenInternationale Top Level Domainsund wähle eine gefälschte TLD, die nicht auf dieser Liste steht (z. B. .nxvielleicht?). Es gibt einigeoffiziell reservierte nicht-öffentliche TLDs(also, halb ausschließend .onion), aber .invalides ist diejenige, die Sie wählen würden, um absolut sicher zu sein (vermeiden Sie sie, .localda sie in Verbindung mitZeroconf-Netzwerk).

  • Wie Sie in Ihren Kommentaren anmerken, recursion no;sollte entfernt werden (da Sie die Rekursion bereits mit einschränken allow-recursion { 10.200.0.1/24; };).

  • Jeder Computer, vpntest.itmit dem Sie arbeiten möchten, muss seinen DNS-Verkehr über Ihren BIND-Server laufen lassen.

  • Gastgeberkann möglicherweise BIND außer Kraft setzen. Dies nsswitch.confscheint zwar kein Problem zu sein (in Anbetracht der Reihenfolge), es ist jedoch wahrscheinlich trotzdem wichtig, dies für die allgemeine Fehlerbehebung zu beachten (d. h. Sie sollten es vpntest.it 127.0.0.1bei Verwendung von BIND nicht benötigen).

  • Auch wenn es nicht auf Ihr Problem zutrifft, sollten Sie unbedingt eg vpntest.it/(beachten Sie den abschließenden Schrägstrich) verwenden, um in aktuellen Versionen von Chrome, Firefox und Opera (oder anderen Chromium-basierten Browsern) auf benutzerdefinierte Domänen zuzugreifen. Wenn Sie es weglassen, kann dies ebenfalls zu Auflösungsproblemen führen (vorausgesetzt, DNS funktioniert ansonsten ordnungsgemäß).

verwandte Informationen