Eu tenho um novo site interno em vários sites e estou procurando resolver o fqdn dele para o subdomínio específico do site, dependendo da sub-rede de origem usada. A forma como nosso DNS de ligação está configurado atualmente é que a resolução fqdn é mestre no site a e escravizada no site b e c (tudo via fantoche), portanto, não posso configurar arquivos de registro separados no site b e c com respostas diferentes para fazer isso.
Por exemplo, quero IPs no site a 172.10.0.0/16 para resolver server.domain.com para server.a.domain.com e IPs no site b 172.11.0.0/16 para resolver server.domain.com para servidor. b.domínio.com etc.
Estive olhando para o Bind RPZ, mas isso não parece oferecer opções específicas de resolução para sub-redes, apenas a capacidade de descartar ou bloquear sub-redes inteiras, a menos que eu esteja lendo errado. Posso fazê-lo funcionar para redirecionar o cname em vez de encaminhar para a zona correta para resolução, mas isso é aplicado geralmente a todos os servidores que não usam um gatilho de IP do cliente como estou tentando usar e posso muito bem estar atualizando o CNAME na zona domain.com.
adicionado a name.d.conf.options
response-policy { zone "rpz"; };
arquivo de zona rpz
zone "rpz" {
type master;
file "/etc/named/zones/rpz/db.rpz.conf";
allow-query { none; };
};
arquivodb
@ IN SOA nstest.domain.com. domain.com. (
2 ; serial
3H ; refresh
1H ; retry
1W ; expiry
1H) ; minimum
@ IN NS nstest.domain.com. ; destination IP rewrite
16.0.0.16.172.rpz-ip CNAME server.domain.com.
server.domain.com CNAME server.a.domain.com.
Com essas configurações, todas as solicitações para server.domain.com por meio deste ns, independentemente do IP de origem, são resolvidas para server.a.domain.com
Ou está tentando usar RPZ o método errado para isso, também vi visualizações de ligação em minha pesquisa, mas parece que você precisa recriar o arquivo de zona inteiro para cada site, só quero modificar um único registro CNAME .
Qualquer ajuda será apreciada.
Responder1
- servidor dedicado para localização B
neste caso você pode usar facilmente o RPZ. A solução poderia até mesmo ser executada neste servidor DNS em uma porta não padrão (diferente de 53 TCP/UDP) e no nível do firewall configurar o redirecionamento de porta para que, uma vez que a solicitação venha de uma rede específica, ela seja redirecionada para essas portas. Todas as outras solicitações seriam tratadas pelo servidor DNS em portas padrão (como RPZ "global" é um problema, suponho que seja necessário ter um servidor DNS também para o outro tráfego).
- Servidor DNS "compartilhado" não apenas para o local B
The Views é provavelmente a direção certa para você. Caso você não precise explicitamente do CNAME, mas pode ser até mesmo um registro A, você pode facilmente definir apenas "subdomínio específico" na visualização e, para o resto, manter a resolução/encaminhamento "normal" para outro servidor DNS ".
Digamos que você tenha um domínioexemplo.comno servidor DNS no local A. Existeservidor.exemplo.comque normalmente é resolvido como um registro A para 192.0.2.10. Também há outro registrooutro.exemplo.comresolvendo para A com valor 192.0.2.20.
Então você tem algum local local (local B) resolvendo o servidor de ligação para alguns clientes locais. Você pode criar uma visualização local para um cliente específico (IPs locais no local B) onde você pode criar um domínioservidor.exemplo.com.
@ IN SOA dns.example.com. admin.example.com. (
2 ; serial
3H ; refresh
1H ; retry
1W ; expiry
1H) ; minimum
@ IN NS dns.example.com ; destination IP rewrite
@ IN A 192.0.2.30
Assim que o cliente enviar a solicitação para server.example.com, ela será resolvida localmente como zona "mestre" local em visualização. Depois que o cliente solicitar qualquer outra coisa (exceto o subdomínio para server.example.com), ele resolverá ou encaminhará regularmente com base em outra configuração ...
Portanto, no local A o resultado será:
server.example.com => 192.0.2.10
another.example.com => 192.0.2.20
No local B será:
server.example.com => 192.0.2.30
another.example.com => 192.0.2.20
Dessa forma, você pode substituir apenas a lista explícita de subdomínios. A desvantagem é que por se tratar de uma zona extra deve haver pelo menos SOA e o mais provável registro NS, portanto não é possível usar CNAME neste caso.