Meine Datei mit Zone
Mein/etc/bind/db.piduna.org
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN piduna.org.
@ IN SOA ns1.piduna.org. root.piduna.org. (
2018031701 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns1.piduna.org.
@ IN NS ns2.piduna.org.
@ IN A 192.168.110.15
ns1 IN A 192.168.110.15
ns2 IN A 192.168.110.14
abc100 IN A 192.168.110.1
abc101 IN A 192.168.110.2
abc102 IN A 192.168.110.3
abc103 IN A 192.168.110.4
abc104 IN A 192.168.110.5
abc105 IN A 192.168.110.6
abc106 IN A 192.168.110.7
abc107 IN A 192.168.110.8
abc108 IN A 192.168.110.9
abc109 IN A 192.168.110.10
abc110 IN A 192.168.110.11
abc111 IN A 192.168.110.12
abc112 IN A 192.168.110.13
abc113 IN A 192.168.110.14
abc114 IN A 192.168.110.15
gitlab IN A 192.168.110.14
redmine IN A 192.168.110.14
* IN CNAME piduna.org.
192.168.110.*natürlich sind das keine echten IP-Adressen. Stattdessen verwende ich die echten IP-Adressen von VPS.
Mein /etc/bind/named.conf.local:
//
// Do any local configuration here
//
// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";
zone "abchosting.org" {
type master;
file "/etc/bind/db.piduna.org";
};
Mein /etc/bind/named.conf.options:
options {
directory "/var/cache/bind";
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
listen-on port 53 {
127.0.0.1;
192.168.110.15;
};
forwarders {
8.8.8.8;
8.8.4.4;
};
//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================
dnssec-validation auto;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { none; };
};
Also, ich habe es getestet. Alles ist ok. Funktioniert. Aber ich habe Zweifel an meiner Konfiguration /etc/bind/db.piduna.org. Ist alles ok? Vielleicht ein paar Ratschläge zur Sicherheit? Ich wiederhole, ich habe das für eine externe Domain gemacht. Ich brauche:
- 15 A-Records für meine VPS-s;
- zwei A-Records für meine Dienste, wie Gitlab und Redmine;
- Ping der Subdomain von 192.168.110.15.
Danke für Ihr Verständnis und Ihre Hilfe.
Antwort1
Sie sagen, Sie haben es getestet. Was haben Sie also genau gemacht? named-checkzoneGibt es irgendein Online-Tool zur Fehlerbehebung?
Was sind Ihre Zweifel? Ihre Frage ist zu allgemein. Von welcher Sicherheit sprechen Sie?
Ich sehe jedoch verschiedene Probleme:
- Sie verwenden einen Platzhalterdatensatz. Brauchen Sie ihn wirklich? Wenn nicht, empfehle ich, ihn zu entfernen, da er weitaus mehr Probleme als Lösungen schafft.
- Sie scheinen also einen autoritativen Nameserver zu haben, da Sie eine Zone definieren, dieser jedoch nur auf lokalen/internen IP-Adressen lauscht. Bedeutet das, dass er nicht global erreichbar ist (was für einen autoritativen Nameserver keine gute Idee wäre) oder dass Sie ein NAT-Setup davor haben, was für einen Nameserver ebenfalls keine gute Idee ist?
- Sie scheinen also einen autoritativen Nameserver zu haben, leiten Anfragen aber extern weiter. Es scheint, als würden Sie rekursive und autoritative Funktionen auf demselben Server mischen, was aus Sicherheitsgründen eine sehr schlechte Idee ist (und man könnte auch sagen, dass die Weiterleitung an Google Public DNS aus Sicherheitsgründen sowieso keine gute Idee ist, Sie sollten Ihren eigenen lokalen rekursiven Nameserver haben).