我在 OPNsense 上运行 BIND 作为内部 DNS 区域的从属服务器。
我注意到,如果该区域的主服务器出现故障,从服务器将在第一次失败的更新尝试后停止响应该区域的请求(以 SRVFAIL 响应)。
其背后的设计原因可能是为了避免在无法到达主服务器时从从服务器发出陈旧的数据。(毕竟主服务器可能还好,只是从服务器的网络连接失败了。)但是,如果主服务器宕机并且无法及时恢复,这对于弹性来说是个坏消息。
是否有设置告诉 BIND 始终为从属区域提供最后已知的信息,无论主服务器无法访问多长时间,即使有返回陈旧数据的风险?
如果是这样,是否可以从 OPNsense Web GUI 以某种方式访问(即在引擎盖下没有不受支持的戳)?
我有 2 个 ubuntu 服务器和 bind9 都安装在它们上面。
这是第一个的配置:
options {
directory "/var/cache/bind";
forwarders {
1.1.1.1;
};
dnssec-validation auto;
};
zone "example.com" {
type master;
file "/etc/bind/zones/db.example.com";
};
$TTL 604800
@ IN SOA dns-srv. root.dns-srv. (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS dns-srv.
@ IN A 172.16.194.4
www IN A 172.16.194.4
这些是第二个的配置:
options {
directory "/var/cache/bind";
forwarders {
172.16.194.3;
};
dnssec-validation auto;
};
所以第一个 dns 服务器将请求转发到 1.1.1.1,第二个 dns 服务器将请求转发到第一个 dns 服务器 172.16.194.3。
我从第一台服务器上的公共 dns 查询名称没有问题,将查询转发到第二台服务器也没有问题。有用。每个使用第二个 dns 服务器的主机都可以查询和获得回复。问题出在第一个 dns 服务器上定义的区域“example.com”上。当第二个 dns 服务器向第一个 dns 服务器查询“example.com”时,我收到错误:insecurity proof failed resolving 'example.com/A/IN': 172.16.194.3#53
为什么我会收到此错误,我该怎么做才能使第二个 dns 服务器解析在第一个 dns 服务器上定义的区域?
在两台服务器上,操作系统都是 ubuntu 服务器 20.4,绑定版本是 9.16
在我的 debian 测试服务器上,当我运行 nsupdate 命令并手动输入详细信息时,一切正常。例如:
nsupdate -k /etc/bind/update.key
> update add PC1.direct.labo 3600 A 192.168.100.1
> send
> quit
之后,我在我的区域文件中找到了记录。 像那样
当我尝试使用输入文件时出现问题,我们称之为“order.dns”:
update add PC2.direct.labo 3600 A 192.168.100.2
show
send
quit
并执行它:
nsupdate order.dns -k /etc/bind/update.key
然后我得到update failed: REFUSED
我究竟做错了什么?
现在我在缓存中有一个 RR,但我想更改它。像这样,我xx.yy IN A 1.1.1.1在缓存中,现在我想将其更改为xx.yy IN A 2.2.2.2. 有没有内置工具bind9?(不重启更好)
采取以下设置:
example.com)和一个由提供商管理的名称服务器。MXforexample.com明天可能会指向不同的服务器,或者 for 的 IP 地址www.example.com可能会在一夜之间发生变化,而我不会收到通知。fileserver.internal.example.com)上。但是,我不想将这些 DNS 记录暴露给 Internet。最后一项意味着我需要在内部运行我自己的 DNS 服务器,并让它回答我的区域的查询。但是,我需要确保对任何公共资源的查询都由提供商的 DNS 服务器回答。
到目前为止,我一直在使用 pfSense 中的 DNS 转发器功能,这正是我所需要的。我可以为内部系统添加记录(甚至让 DHCP 服务器为它授予的任何租约自动插入它们),如果 DNS 服务器收到对其中任何一个的请求,这些记录将被返回。任何其他请求将被转发到相应的外部名称服务器。
现在我正在尝试使用 Linux 服务器完成相同的操作,可能使用 BIND。我正在设想如下设置:
internal.example.com.internal.example.com。鉴于外界没有人知道该internal.example.com区域,这是否会按预期工作?BIND 是否优先考虑它具有权威性的任何区域(而不是尝试通过首先查询根区域来定位它),还是可以将其配置为这样做?
当我试图为 Fail2ban 创建一个规则时,在我看来它已经消失了很长一段时间,因为过去我真的很紧张,我也愿意将它提交给世界:-)
做了什么?
#cat filter.d/named-antispam.conf
[Definition]
prefregex = ([a-zA-Z][a-zA-Z][a-zA-Z])\s([0-9]|[0-9][0-9])\s([0-9][0-9]):([0-9][0-9]:[0-9][0-9])
failregex = ^rate limit drop all response to <HOST>$
和 jail.conf
#Disabled for Writing this Articel
[named-antispam]
enabled = false
filter = named-antispam
logpath = /var/log/named/rate.log
bantime = 2628000
maxretry = 30
findtime = 60
2021-01-26 11:25:19,461 fail2ban.filterpyinotify[14180]: DEBUG Event queue size: 16
2021-01-26 11:25:19,462 fail2ban.filterpyinotify[14180]: DEBUG <_RawEvent cookie=0 mask=0x2 name='' wd=2 >
如果我禁用该规则,我可以在没有该错误的情况下设置调试 - 所以在我看来我有某种我无法弄清楚的错误,这就是我在这里问的原因。在结尾处-是的,我的日志中有很多条目,但是fail2ban不在乎
我想使用 BIND 作为公司域的公共名称服务器。我正在使用全新安装的 ubuntu 服务器 20.04.1 和 BIND 9.16.1。问题是 BIND 从不权威地回答。我可以使用 dig 看到这一点。为了找到问题,我尝试了一个最小的区域“example.com”,但没有成功。区域文件是 db.example.com:
example.com. 86400 IN SOA ns1.example.com. hostmaster.example.com. (
1 ; Serial
900 ; Refresh
300 ; Retry
86400 ; Expire
600 ) ; Negative Cache TTL
example.com. 86400 IN NS ns1.example.com.
example.com. 86400 IN MX 10 mail.example.com.
ns1.example.com. 86400 IN A 123.123.123.123
mail.example.com. 86400 IN A 125.125.125.125
当然,上面的 IP 地址并不是真正的 IP 地址,但是 ns1.example.com 的 IP 地址是 BIND 运行的系统的公共 IP 地址。named-checkzone 对此很满意。在 named.conf.local 中仅添加以下行:
zone "example.com" {
type master;
file "/var/lib/bind/db.example.com";
};
命名.conf.options:
options {
directory "/var/cache/bind";
dnssec-validation auto;
auth-nxdomain no;
listen-on { any; };
listen-on-v6 { any; };
recursion no;
};
将 dig 与 ANY 一起使用,我可以看到区域文件中的所有记录,但 BIND 总是回答AUTHORITY: 0。A 记录也不会出现在答案部分,而是出现在附加部分中。不幸的是,我不允许发布 dig 的原始输出,因为它看起来像垃圾邮件。该区域配置为主,NS 记录指向运行 BIND 的服务器的 IP 地址。另一个想法是 BIND 可能会尝试从 root 查询“example.com”并且知道它不是真正的权威名称服务器。所以我也尝试了同样不应该存在于任何地方的域“example.invalid”。结果与“example.com”相同。我以前从来没有遇到过这个问题。我还能尝试什么来解决这个问题?
假设我有一个 Raspberry Pi 设置为网络上的客户端,我希望它使用 192.168.2.2 而路由器使用 192.168.2.1,使用 Pi 的 dhcpd 和绑定 DNS 的必要路由器配置是什么?
在这种情况下,我想关闭路由器的 DHCP 服务器并运行 Pi 的 dhcpd 和 dns 服务器。
它是通过简单地将除 DNS 服务器之外的所有内容设置为空白,还是将网关和 DNS 都设置为 Pi 地址 192.168.2.2,并使用静态 IP 地址 192.168.2.2 运行 Pi?
DNS 正常使用 UDP 数据包。但是,当响应大于某个大小时,它会切换到 TCP。
例如,如果我们可以在使用 DIG 或 NSLOOKUP 运行 DNS 查询命令时指定 TCP/UDP,那将非常有用。
有没有办法用 DIG 做到这一点?
我不确定我是否恰当地表达了这一点,但我想要完成的是通过以循环格式向 DNS 服务器列表发出 DNS 查询,而不是继续,对机器在线足迹进行如此轻微的匿名化一遍又一遍地使用相同的服务,因为它的响应速度最快。
我已经dnsmasq在我的 CentOS 系统上进行了设置,并且查询正在按预期通过它进行路由。 /etc/dnsmasq.conf如下...
domain-needed
bogus-priv
no-resolv
log-queries
user=dns
group=dns
listen-address=127.0.0.1
server=1.1.1.1
server=1.0.0.1
server=208.67.222.222
server=208.67.220.220
server=8.8.8.8
server=8.8.4.4
所以目前,我可以在我的日志中看到,根据 DNS 查询请求,dnsmasq 正在一次向所有 6个服务发出查询......
dnsmasq[5801]: query[A] example.com from 127.0.0.1
dnsmasq[5801]: forwarded example.com to 8.8.4.4
dnsmasq[5801]: forwarded example.com to 8.8.8.8
dnsmasq[5801]: forwarded example.com to 208.67.220.220
dnsmasq[5801]: forwarded example.com to 208.67.222.222
dnsmasq[5801]: forwarded example.com to 1.0.0.1
dnsmasq[5801]: forwarded example.com to 1.1.1.1
...并返回第一个响应。
我想要的是它只向第一台服务器发出查询,并返回/缓存响应,除非出现错误。如果有错误,它应该移动到列表中的下一个服务器,直到它得到正确的响应。然后对新请求的下一个查询应该转到列表中的下一个服务器......就像循环一样。
那可能吗?