Tengo un nuevo sitio web interno en varios sitios y estoy buscando resolver el fqdn en el subdominio específico del sitio dependiendo de la subred de origen utilizada. La forma en que nuestro DNS de enlace está configurado actualmente es que la resolución fqdn es maestra en el sitio a y esclava del sitio byc (todo a través de títeres), por lo que no puedo configurar archivos de registro separados en el sitio byc con diferentes respuestas para hacer esto.
Como ejemplo, quiero que las IP en el sitio a 172.10.0.0/16 resuelvan server.domain.com en server.a.domain.com y las IP en el sitio b 172.11.0.0/16 para resolver server.domain.com en el servidor. b.dominio.com, etc.
He estado mirando Bind RPZ pero no parece ofrecer opciones de resolución específicas para subredes, solo la capacidad de eliminar o bloquear subredes enteras a menos que lo esté leyendo mal. Puedo hacer que funcione para redirigir el cname en lugar de reenviarlo a la zona correcta para su resolución, pero esto se aplica generalmente a todos los servidores que no usan un activador de IP de cliente como el que estoy tratando de usar y también podría estar actualizando el CNAME. en la zona dominio.com.
agregado a name.d.conf.options
response-policy { zone "rpz"; };
archivo de zona rpz
zone "rpz" {
type master;
file "/etc/named/zones/rpz/db.rpz.conf";
allow-query { none; };
};
archivo db
@ IN SOA nstest.domain.com. domain.com. (
2 ; serial
3H ; refresh
1H ; retry
1W ; expiry
1H) ; minimum
@ IN NS nstest.domain.com. ; destination IP rewrite
16.0.0.16.172.rpz-ip CNAME server.domain.com.
server.domain.com CNAME server.a.domain.com.
Con esta configuración, todas las solicitudes a server.domain.com a través de este ns, sin importar la IP de origen, se resuelven en server.a.domain.com
¿O está tratando de usar RPZ con el método incorrecto para esto? También he visto vistas vinculadas en mi investigación, pero parece que tienes que recrear el archivo de zona completo para cada sitio, solo quiero modificar un solo registro CNAME. .
Cualquier ayuda se agradece.
Respuesta1
- servidor dedicado para la ubicación B
en este caso puedes usar RPZ fácilmente. La solución podría ser incluso ejecutar este servidor DNS en un puerto no estándar (es decir, que no sea 53 TCP/UDP) y en el nivel del firewall configurar la redirección de puertos para que una vez que la solicitud provenga de una red específica se redirija a estos puertos. Todas las demás solicitudes serían manejadas por el servidor DNS en los puertos estándar (como el RPZ "global" es un problema, supongo que es necesario tener un servidor DNS también para el resto del tráfico).
- Servidor DNS "compartido" no sólo para la ubicación B
The Views es probablemente la dirección correcta para usted. En caso de que no necesite CNAME explícitamente, pero puede ser incluso un registro A, puede definir fácilmente solo "subdominio específico" en la vista y, por lo demás, mantener la resolución/reenvío "normal" a otro servidor DNS".
Entonces digamos que tienes dominioejemplo.comen el servidor DNS en la ubicación A. Existeservidor.ejemplo.comque normalmente se resuelve como registro A en 192.0.2.10. También hay otro registro.otro.ejemplo.comresolviendo A con valor 192.0.2.20.
Luego tiene un servidor de enlace local en algún lugar (ubicación B) que resuelve para algunos clientes locales. Puede crear una vista local para un cliente específico (IP locales en la ubicación B) donde puede crear un dominioservidor.ejemplo.com.
@ IN SOA dns.example.com. admin.example.com. (
2 ; serial
3H ; refresh
1H ; retry
1W ; expiry
1H) ; minimum
@ IN NS dns.example.com ; destination IP rewrite
@ IN A 192.0.2.30
Una vez que el cliente envíe la solicitud para server.example.com, se resolverá localmente como zona "maestra" local a la vista. Una vez que el cliente solicite cualquier otra cosa (excepto el subdominio a server.example.com), realizará una resolución o reenvío regular en función de otra configuración...
Entonces, en la ubicación A el resultado será:
server.example.com => 192.0.2.10
another.example.com => 192.0.2.20
En la ubicación B será:
server.example.com => 192.0.2.30
another.example.com => 192.0.2.20
De esta manera puede anular solo la lista explícita de subdominios. La desventaja es que, como es una zona adicional, tiene que haber al menos SOA y probablemente el registro NS, por lo que no es posible usar CNAME en este caso.