Мой файл с зоной
Мой/etc/bind/db.piduna.org
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN piduna.org.
@ IN SOA ns1.piduna.org. root.piduna.org. (
2018031701 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns1.piduna.org.
@ IN NS ns2.piduna.org.
@ IN A 192.168.110.15
ns1 IN A 192.168.110.15
ns2 IN A 192.168.110.14
abc100 IN A 192.168.110.1
abc101 IN A 192.168.110.2
abc102 IN A 192.168.110.3
abc103 IN A 192.168.110.4
abc104 IN A 192.168.110.5
abc105 IN A 192.168.110.6
abc106 IN A 192.168.110.7
abc107 IN A 192.168.110.8
abc108 IN A 192.168.110.9
abc109 IN A 192.168.110.10
abc110 IN A 192.168.110.11
abc111 IN A 192.168.110.12
abc112 IN A 192.168.110.13
abc113 IN A 192.168.110.14
abc114 IN A 192.168.110.15
gitlab IN A 192.168.110.14
redmine IN A 192.168.110.14
* IN CNAME piduna.org.
192.168.110.*Конечно, это не настоящие IP-адреса. Вместо них я использую настоящие IP-адреса vps-ов.
Мой /etc/bind/named.conf.local:
//
// Do any local configuration here
//
// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";
zone "abchosting.org" {
type master;
file "/etc/bind/db.piduna.org";
};
Мой /etc/bind/named.conf.options:
options {
directory "/var/cache/bind";
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
listen-on port 53 {
127.0.0.1;
192.168.110.15;
};
forwarders {
8.8.8.8;
8.8.4.4;
};
//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================
dnssec-validation auto;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { none; };
};
Итак, я это проверил. Все в порядке. Работает. Но у меня есть сомнения по поводу моей конфигурации /etc/bind/db.piduna.org. Все ли в порядке. Может быть, есть какие-то советы по безопасности? Повторяю, я сделал это для внешнего домена. Мне нужно:
- 15 A-записей для моих vps-ов;
- две A-записи для моих сервисов, таких как gitlab и redmine;
- ping поддомена с 192.168.110.15
Спасибо за понимание и помощь.
решение1
Вы говорите, что протестировали его, так что именно вы сделали? named-checkzone? Есть ли какой-нибудь онлайн-инструмент для устранения неполадок?
В чем сомнения? Ваш вопрос слишком обширен. О какой безопасности вы говорите?
Однако я вижу ряд проблем:
- вы используете wildcard запись. Она вам действительно нужна? Если нет, рекомендую удалить ее, так как она создает гораздо больше проблем, чем решений
- так что у вас, похоже, есть авторитетный сервер имен, поскольку вы определяете зону, но он слушает только локальные/внутренние IP-адреса. Означает ли это, что он не является глобально доступным (что было бы плохой идеей для авторитетного сервера имен) или у вас есть какая-то настройка NAT перед ним, что также является очень плохой идеей для сервера имен?
- так что у вас, похоже, есть авторитетный сервер имен, но вы пересылаете запросы наружу. Похоже, вы смешиваете рекурсивные и авторитетные функции на одном сервере, что является очень плохой идеей с точки зрения безопасности (и можно также сказать, что в любом случае пересылка на Google Public DNS не является хорошей идеей с точки зрения безопасности, у вас должен быть свой собственный локальный рекурсивный сервер имен)