Início / computer / Perguntas / 1835881
Accepted
user1081303
Asked: 2024-03-20 19:28:36 +0800 CST

Subdomínio com registro NS personalizado não resolvido

  • 772

Atualmente estou hospedando um domínio example.com. Neste domínio existem dois subdomínios dignos de nota, foo.example.come bar.example.com. Os registros DNS para esses subdomínios são configurados da seguinte forma:

  • foo.example.comtem um registro 'A' apontando para um determinado IP. Isso funciona como pretendido.
  • bar.example.comtem um registro 'NS' apontando para foo.example.com.

Pelo que entendi, bar.example.comdevo foo.example.com, portanto, resolver para o mesmo endereço IP, sendo bar.example.comresolvido via foo.example.com, como é minha intenção. No entanto bar.example.com, simplesmente não é acessível, retornando o seguinte do dns.google:

"Status": 2 /* SERVFAIL */

Precisamente como faço para corrigir isso? No momento, estou examinando o arquivo ZONE, mas fui informado de que minha configuração deve funcionar pela maioria dos guias on-line.

Caso seja relevante, o objetivo é explorar o tunelamento DNS.

dns

1 respostas

  1. Best Answer

    Pelo que entendi, bar.example.com e foo.example.com devem, portanto, resolver para o mesmo endereço IP,

    Não, não é isso que os registros NS fazem. (Em vez disso, é isso que os registros CNAME fariam.)

    Os registros NS delegam o tratamento da consulta DNS ao endereço IP de seu destino – a consulta nunca "é resolvida" para esse endereço IP; em vez disso, resulta em uma resposta de 'referência' que faz com que o resolvedor reenvie toda a consulta ao host emfoo.example.com .

    Espera-se que esse host execute seu próprio servidor de nomes (BIND, etc.) com seu próprio arquivo de zona enraizado naquele subdomínio e se torne responsável por fornecer o resultado real. (Esses registros NS são exatamente o mesmo mecanismo pelo qual todo o seu domínio foi delegado ao seu servidor.)

    É isso que permite que o "túnel DNS" funcione - como o servidor em questão tem total responsabilidade pela compreensão da consulta, não se limita apenas a fazer uma pesquisa no banco de dados; ele também pode aceitar consultas falsas com dados TCP/IP de alguma forma encapsulados nelas.

    Você pode ver a resposta de referência provisória enviando a consulta diretamente ao servidor oficial do seu domínio – não haverá nada na seção 'Resposta'; em vez disso, terá uma seção 'Autoridade' não vazia (indicando que é uma referência para algum outro servidor) e o registro A será incluído apenas como uma dica na seção 'Adicional'.

    $ dig bar.example.com @localhost

;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 2

;; AUTHORITY SECTION
bar.example.com.    1800    IN  NS  foo.example.com.

;; ADDITIONAL SECTION:
foo.example.com.    1800    IN  A   10.147.18.242

    A próxima etapa realizada pelo resolvedor seria então dig bar.example.com @10.147.18.242, e o que quer que fosse retornado seria (espero) a resposta final.

    (Opcionalmente, +nordflagenvia a consulta com o sinalizador 'RD' não definido, ou seja, "recursão não desejada", para imitar com mais precisão o que um resolvedor faria; embora não seja necessário para obter o resultado acima, torna mais fácil notar certos erros de configuração transformando consultas mal direcionadas em falhas graves.)

    • 0

relate perguntas