
Mi archivo con zona
Mi/etc/bind/db.piduna.org
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN piduna.org.
@ IN SOA ns1.piduna.org. root.piduna.org. (
2018031701 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns1.piduna.org.
@ IN NS ns2.piduna.org.
@ IN A 192.168.110.15
ns1 IN A 192.168.110.15
ns2 IN A 192.168.110.14
abc100 IN A 192.168.110.1
abc101 IN A 192.168.110.2
abc102 IN A 192.168.110.3
abc103 IN A 192.168.110.4
abc104 IN A 192.168.110.5
abc105 IN A 192.168.110.6
abc106 IN A 192.168.110.7
abc107 IN A 192.168.110.8
abc108 IN A 192.168.110.9
abc109 IN A 192.168.110.10
abc110 IN A 192.168.110.11
abc111 IN A 192.168.110.12
abc112 IN A 192.168.110.13
abc113 IN A 192.168.110.14
abc114 IN A 192.168.110.15
gitlab IN A 192.168.110.14
redmine IN A 192.168.110.14
* IN CNAME piduna.org.
192.168.110.*
Por supuesto, no son direcciones IP reales. en su lugar, estoy usando direcciones IP reales de vps-s.
Mi /etc/bind/named.conf.local
:
//
// Do any local configuration here
//
// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";
zone "abchosting.org" {
type master;
file "/etc/bind/db.piduna.org";
};
Mi /etc/bind/named.conf.options
:
options {
directory "/var/cache/bind";
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
listen-on port 53 {
127.0.0.1;
192.168.110.15;
};
forwarders {
8.8.8.8;
8.8.4.4;
};
//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================
dnssec-validation auto;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { none; };
};
Así que lo he probado. Todo está bien. Obras. Pero tengo dudas sobre mi configuración de /etc/bind/db.piduna.org
. ¿Está todo bien? ¿Quizás algunos consejos según la seguridad? Lo repito, hice esto para un dominio externo. Necesito:
- 15 registros A para mi vps-s;
- dos registros A por mis servicios, como gitlab y redmine;
- ping al subdominio desde 192.168.110.15
Gracias por su comprensión y ayuda.
Respuesta1
Dices que lo has probado, entonces, ¿qué hiciste exactamente? named-checkzone
? ¿Algún tipo de herramienta de solución de problemas en línea?
¿Cuáles son tus dudas? Tu pregunta es demasiado amplia. ¿De qué seguridad hablas?
Sin embargo, veo varios problemas:
- está utilizando un registro comodín. ¿Realmente lo necesitas? Si no, recomiendo eliminarlo ya que crea muchos más problemas que soluciones.
- por lo que parece tener un servidor de nombres autorizado ya que define una zona, pero solo escucha en direcciones IP locales/internas. ¿Eso significa que no es accesible globalmente (lo que sería una mala idea para un servidor de nombres autorizado) o que tiene alguna configuración NAT delante, lo que también es una muy mala idea para un servidor de nombres?
- entonces parece tener un servidor de nombres autorizado, pero reenvía consultas externamente. Parece que combinas funciones recursivas y autoritativas en el mismo servidor, lo cual es una muy mala idea desde el punto de vista de la seguridad (y también se podría decir que, en cualquier caso, reenviar al DNS público de Google no es una buena idea desde el punto de vista de la seguridad, deberías tener tu propio servidor de nombres recursivo local)