Configuração DNS para subdomínio delegado multinível sem acesso à Internet

tag-icon tag-icon dns bind
Configuração DNS para subdomínio delegado multinível sem acesso à Internet

Estou usando o Bind 9 no Debian. Tenho um mestre e um secundário.

Meus nomes de domínio estão estruturados da seguinte forma:

  • meu-host-1.meu-projeto.minha-corp.com
  • meu-host-2.area-1.meu-projeto.minha-corp.com
  • meu-host-3.area-2.meu-projeto.minha-corp.com

Meus servidores de nomes são autorizados para:

  • meu-projeto.my-corp.com
  • area-1.meu-projeto.minha-corp.com
  • area-2.meu-projeto.minha-corp.com

Meus servidores de nomes sãonãoautoritário paramy-corp.come não tenho direitos administrativos para os servidores de nomes que têm autoridade paramy-corp.com.

Então omy-corp.comservidores de nomes delegam consultas de meus domínios aos meus servidores de nomes, e meus servidores de nomes encaminham consultas que eles não podem responder diretamente aomy-corp.comservidores de nomes. Este arranjo não é opcional. É exigido pelo departamento de TI da minha empresa. Então, especificamente, meus servidores de nomes não podem realizar consultas iterativas ou de qualquer outra forma alcançar qualquer servidor de nomes na Internet.

Omy-corp.comservidores de nomes têm os seguintes endereços IP:

  • 10.0.0.1/24 (primário)
  • 10.0.0.2/24 (secundário)

O bloco de endereço IP alocado para mim é10.1.0.0/23. Isso é relevante para resolução reversa.

Meus servidores de nomes têm os seguintes endereços IP e nomes de host:

  • 10.1.0.1/23, ns1.my-project.my-corp.com (primário)
  • 10.1.1.1/23, ns2.my-project.my-corp.com (secundário)

A configuração do meu servidor de nomes principal é a seguinte:

options {
        directory "/etc/bind";
        forward only;
        forwarders {
                10.0.0.1; 10.0.0.2;
        };

zone "my-project.my-corp.com" {
   type master;
   file "db.my-project.my-corp.com";
};

zone "0.1.10.in-addr.arpa" {
   type master;
   file "db.10.1.0";
};

zone "1.1.10.in-addr.arpa" {
   type master;
   file "db.10.1.1";
};

// ALL OF THE FOLLOWING IS DEFAULT IN BIND 9.

// prime the server with knowledge of the root servers

zone "." {
     type hint;
     file "/etc/bind/db.root";
};

// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912

zone "localhost" {
     type master;
     file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
     type master;
     file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
     type master;
     file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
     type master;
     file "/etc/bind/db.255";
};

Meu arquivo de zona mestre parameu-projeto.my-corp.comé o seguinte:

$TTL 3h

my-project.my-corp.com.   IN   SOA   ns1.my-project.my-corp.com. root.localhost. (
   2018010500 ; Serial
   3h         ; Refresh
   1h         ; Retry
   1w         ; Expire
   3h     )   ; Negative Cache TTL

my-project.my-corp.com.   IN   NS   ns1.my-project.my-corp.com.
my-project.my-corp.com.   IN   NS   ns2.my-project.my-corp.com.

ns1.my-project.my-corp.com.                IN   A   10.1.0.1
ns2.my-project.my-corp.com.                IN   A   10.1.1.1
my-host-1.my-project.my-corp.com.          IN   A   10.1.0.2
my-host-2.area-1.my-project.my-corp.com.   IN   A   10.1.0.3
my-host-3.area-2.my-project.my-corp.com.   IN   A   10.1.1.2

Meu arquivo de zona mestre para0.1.10.in-addr.arpaé o seguinte:

$TTL 3h

0.1.10.in-addr.arpa.   IN   SOA   ns1.my-project.my-corp.com. root.localhost. (
   2018010500 ; Serial
   3h         ; Refresh
   1h         ; Retry
   1w         ; Expire
   3h     )   ; Negative Cache TTL

0.1.10.in-addr.arpa.     IN   NS    ns1.my-project.my-corp.com.
0.1.10.in-addr.arpa.     IN   NS    ns2.my-project.my-corp.com.

1.0.1.10.in-addr.arpa.   IN   PTR   ns1.my-project.my-corp.com.
2.0.1.10.in-addr.arpa.   IN   PTR   my-host-1.my-project.my-corp.com.
3.0.1.10.in-addr.arpa.   IN   PTR   my-host-2.area-1.my-project.my-corp.com.

Meu arquivo de zona mestre para1.1.10.in-addr.arpaé o seguinte:

$TTL 3h

1.1.10.in-addr.arpa.   IN   SOA   ns1.my-project.my-corp.com. root.localhost. (
   2018010500 ; Serial
   3h         ; Refresh
   1h         ; Retry
   1w         ; Expire
   3h     )   ; Negative Cache TTL

1.1.10.in-addr.arpa.     IN   NS    ns1.my-project.my-corp.com.
1.1.10.in-addr.arpa.     IN   NS    ns2.my-project.my-corp.com.

1.1.1.10.in-addr.arpa.   IN   PTR   ns2.my-project.my-corp.com.
2.1.1.10.in-addr.arpa.   IN   PTR   my-host-3.area-2.my-project.my-corp.com.

Eu tenho duas perguntas.

QUESTÃO 1

Posso colocar hosts demeu-projeto.my-corp.come seus dois subdomínios diretamente na mesma zona que fiz acima?

QUESTÃO 2

Como meus servidores de nomes não conseguem acessar a Internet, como devo lidar com os servidores de nomes raiz? Devo simplesmente não configurá-los, já que nunca realizarei uma consulta iterativa? Se eles devem ser definidos, comodeveEu os defino?

Responder1

P2: como devo lidar com servidores de nomes raiz?

Você forward only;definiu, junto com os encaminhadores. As dicas de raiz não serão usadas.

Posso colocar hosts em my-project.my-corp.com

Sim, está perfeitamente bem. Você não precisa criar arquivos de zonas adicionais, a menos que precise que as zonas sejam manipuladas por servidores de nomes diferentes ou tenham opções de consulta diferentes ou algo assim.

Você poderia fazer com que sua zona parecesse mais simples se você ignorasse o acréscimo da zona e mencionasse 'IN'.

$TTL 3h
@  SOA   ns1.my-project.my-corp.com. root.localhost. (
   2018010500 ; Serial
   3h         ; Refresh
   1h         ; Retry
   1w         ; Expire
   3h     )   ; Negative Cache TTL

@  NS   ns1
@  NS   ns2
ns1               A   10.1.0.1
ns2               A   10.1.1.1
my-host-1         A   10.1.0.2
my-host-2.area-1  A   10.1.0.3
my-host-3.area-2  A   10.1.1.2

informação relacionada