Configuración de DNS para subdominios delegados de varios niveles sin acceso a Internet

tag-icon tag-icon dns bind
Configuración de DNS para subdominios delegados de varios niveles sin acceso a Internet

Estoy usando Bind 9 en Debian. Tengo una maestra y una secundaria.

Mis nombres de dominio están estructurados de la siguiente manera:

  • mi-host-1.mi-proyecto.mi-corp.com
  • mi-host-2.area-1.mi-proyecto.mi-corp.com
  • mi-host-3.area-2.mi-proyecto.mi-corp.com

Mis servidores de nombres tienen autoridad para:

  • mi-proyecto.my-corp.com
  • area-1.mi-proyecto.mi-corp.com
  • area-2.mi-proyecto.my-corp.com

Mis servidores de nombres sonnoautorizado parami-corp.comy no tengo derechos administrativos para los servidores de nombres que tienen autoridad parami-corp.com.

Entonces elmi-corp.comLos servidores de nombres delegan consultas para mis dominios a mis servidores de nombres, y mis servidores de nombres reenvían consultas que no pueden responder directamente almi-corp.comservidores de nombres. Este arreglo no es opcional. Lo requiere el departamento de TI de mi empresa. Entonces, específicamente, mis servidores de nombres no pueden realizar consultas iterativas ni llegar de ninguna otra manera a ningún servidor de nombres en Internet.

Elmi-corp.comLos servidores de nombres tienen las siguientes direcciones IP:

  • 10.0.0.1/24 (primario)
  • 10.0.0.2/24 (secundario)

El bloque de dirección IP que se me ha asignado es10.1.0.0/23. Esto es relevante para la resolución inversa.

Mis servidores de nombres tienen las siguientes direcciones IP y nombres de host:

  • 10.1.0.1/23, ns1.my-project.my-corp.com (primario)
  • 10.1.1.1/23, ns2.my-project.my-corp.com (secundario)

La configuración de mi servidor de nombres principal es la siguiente:

options {
        directory "/etc/bind";
        forward only;
        forwarders {
                10.0.0.1; 10.0.0.2;
        };

zone "my-project.my-corp.com" {
   type master;
   file "db.my-project.my-corp.com";
};

zone "0.1.10.in-addr.arpa" {
   type master;
   file "db.10.1.0";
};

zone "1.1.10.in-addr.arpa" {
   type master;
   file "db.10.1.1";
};

// ALL OF THE FOLLOWING IS DEFAULT IN BIND 9.

// prime the server with knowledge of the root servers

zone "." {
     type hint;
     file "/etc/bind/db.root";
};

// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912

zone "localhost" {
     type master;
     file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
     type master;
     file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
     type master;
     file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
     type master;
     file "/etc/bind/db.255";
};

Mi archivo de zona maestra parami-proyecto.my-corp.comes como sigue:

$TTL 3h

my-project.my-corp.com.   IN   SOA   ns1.my-project.my-corp.com. root.localhost. (
   2018010500 ; Serial
   3h         ; Refresh
   1h         ; Retry
   1w         ; Expire
   3h     )   ; Negative Cache TTL

my-project.my-corp.com.   IN   NS   ns1.my-project.my-corp.com.
my-project.my-corp.com.   IN   NS   ns2.my-project.my-corp.com.

ns1.my-project.my-corp.com.                IN   A   10.1.0.1
ns2.my-project.my-corp.com.                IN   A   10.1.1.1
my-host-1.my-project.my-corp.com.          IN   A   10.1.0.2
my-host-2.area-1.my-project.my-corp.com.   IN   A   10.1.0.3
my-host-3.area-2.my-project.my-corp.com.   IN   A   10.1.1.2

Mi archivo de zona maestra para0.1.10.en-dirección.arpaes como sigue:

$TTL 3h

0.1.10.in-addr.arpa.   IN   SOA   ns1.my-project.my-corp.com. root.localhost. (
   2018010500 ; Serial
   3h         ; Refresh
   1h         ; Retry
   1w         ; Expire
   3h     )   ; Negative Cache TTL

0.1.10.in-addr.arpa.     IN   NS    ns1.my-project.my-corp.com.
0.1.10.in-addr.arpa.     IN   NS    ns2.my-project.my-corp.com.

1.0.1.10.in-addr.arpa.   IN   PTR   ns1.my-project.my-corp.com.
2.0.1.10.in-addr.arpa.   IN   PTR   my-host-1.my-project.my-corp.com.
3.0.1.10.in-addr.arpa.   IN   PTR   my-host-2.area-1.my-project.my-corp.com.

Mi archivo de zona maestra para1.1.10.en-dirección.arpaes como sigue:

$TTL 3h

1.1.10.in-addr.arpa.   IN   SOA   ns1.my-project.my-corp.com. root.localhost. (
   2018010500 ; Serial
   3h         ; Refresh
   1h         ; Retry
   1w         ; Expire
   3h     )   ; Negative Cache TTL

1.1.10.in-addr.arpa.     IN   NS    ns1.my-project.my-corp.com.
1.1.10.in-addr.arpa.     IN   NS    ns2.my-project.my-corp.com.

1.1.1.10.in-addr.arpa.   IN   PTR   ns2.my-project.my-corp.com.
2.1.1.10.in-addr.arpa.   IN   PTR   my-host-3.area-2.my-project.my-corp.com.

Tengo dos preguntas.

PREGUNTA 1

¿Está bien poner hosts desdemi-proyecto.my-corp.com¿Y sus dos subdominios directamente en la misma zona como lo hice anteriormente?

PREGUNTA 2

Dado que mis servidores de nombres no pueden acceder a Internet, ¿cómo debo manejar los servidores de nombres raíz? ¿Debería simplemente no configurarlos en absoluto ya que nunca realizaré una consulta iterativa? Si es necesario definirlos, ¿cómodebería¿Yo los defino?

Respuesta1

P2 ¿Cómo debo manejar los servidores de nombres raíz?

Lo has forward only;configurado, junto con los transportistas. No se utilizarán las sugerencias de raíz.

¿Está bien colocar hosts de my-project.my-corp.com?

Sí, eso está perfectamente bien. No necesita crear archivos de zonas adicionales a menos que necesite que las zonas sean manejadas por diferentes servidores de nombres o tenga diferentes opciones de consulta o algo así.

Podrías hacer que tu zona parezca más simple si omites agregar la zona y mencionar "IN".

$TTL 3h
@  SOA   ns1.my-project.my-corp.com. root.localhost. (
   2018010500 ; Serial
   3h         ; Refresh
   1h         ; Retry
   1w         ; Expire
   3h     )   ; Negative Cache TTL

@  NS   ns1
@  NS   ns2
ns1               A   10.1.0.1
ns2               A   10.1.1.1
my-host-1         A   10.1.0.2
my-host-2.area-1  A   10.1.0.3
my-host-3.area-2  A   10.1.1.2

información relacionada