Perguntas[bind](server)

Eu já estava fazendo uma pergunta semelhante que era muito específica ( nomeada para uso interno e encaminhando subdomínios específicos ). Para essa pergunta, encontrei uma solução alternativa que não está OK.

Agora estou fazendo uma pergunta mais geral. A pergunta é por que resolver outras zonas depende da configuração da zona "."?

Temos um DNS que não tem acesso à internet, porque queremos que ele resolva apenas nomes de domínio locais. Queremos que ele resolva apenas um domínio externo. Vamos chamá-lo de dmz.example.com. A configuração para essa zona em /etc/named.conf é:

zone "dmz.example.com" in
{
  type forward;
  forwarders { 10.100.1.1; 10.100.1.2; }; // DMZ DNSes
};

Como não queremos que nossos DNSs resolvam domínios externos/de internet, fizemos isso com o arquivo root.servers vazio assim:

zone "."
{
  type hint;
  file "root.servers"; // root.server is empty file
};

Quando o DNS é solicitado para um domínio de internet, ele retorna imediatamente no-answer, pois root.servers está vazio. Para domínios para os quais ele é master ou slave, ele os resolve normalmente. Com essa configuração, o DNS não resolve dmz.example.com.

Então mudamos a configuração da zona "." Definimos para ser uma zona de encaminhamento para ".", mas forwarder é um IP inexistente ou inacessível. Assim:

zone "." in
{
  type forward;
  forwarders { 10.100.100.100; }; // non-existent IP
};

Quando usamos essa configuração para a zona ".", o DNS resolve dmz.example.com, mas não responde mais imediatamente a consultas para domínios de internet. Ele espera o timeout para que o encaminhador responda.

Não gosto disso por dois motivos:

1. O DNS agora faz consultas desnecessárias a IPs inexistentes.
2. Domínios da Internet não são mais resolvidos com uma resposta negativa instantânea.

Como posso fazer com que o DNS resolva dmz.example.com e responda pelos domínios da Internet como antes (instantaneamente, sem tráfego de rede desnecessário)?

Temos servidores DNS em um ambiente protegido sem acesso à internet e esses servidores resolvem apenas domínios internos que criamos. O arquivo root.servers nesses servidores DNS internos está vazio:

zone "."
{
  type hint;
  file "root.servers"; // root.server is empty file
};

Dessa forma, o DNS interno resolve apenas nomes internos.

Então temos servidores DNS na DMZ que encaminham domínios internos para a DMZ assim:

zone "internal" in
  type forward;
  forwarders { 10.10.10.1; 10.10.10.2; }; // internal DNSes
};

Esses DNSs na DMZ também encaminham endereços de internet de DNSs que resolvem domínios de internet assim:

zone "." in {
  type forward;
  forwarders { 172.20.10.1; 172.20.20.2; }; // DNSes resolving internet domains
};

Dessa forma, o DNS na DMZ resolve domínios internos e de internet. Ele funciona assim há muitos anos.

Agora, precisamos obter certificados assinados de uma CA bem conhecida para alguns servidores na DMZ. Para isso, criamos um subdomínio de internet. Vamos chamá-lo de dmz.example.com.

Criamos uma zona dmz.example.com em servidores de nomes DMZ e a DMZ resolve esses domínios. Queremos resolver esses domínios na rede interna também. Para esse propósito, abrimos o acesso DNS de interno para DMZ e adicionamos uma zona em DNSes internos como esta:

zone "dmz.example.com" in
{
  type forward;
  forwarders { 10.100.1.1; 10.100.1.2; }; // DMZ DNSes
};

Agora, DNSes internos não resolvem dmz.example.com e não acessam DNSes DMZ para obter informações sobre esse domínio. Não consigo entender por que o DNS interno não usa essa configuração de zona? Isso tem algo a ver com o arquivo root.servers vazio e a zona "."?

Na outra direção, onde os DNSs DMZ encaminham domínios internos, funciona.

Somos um novo ISP e um dos nossos clientes recentes tem um servidor de e-mail por trás do nosso IP público e está solicitando rDNS de nós. Temos um prefixo /21 e damos ao nosso cliente um prefixo /29 para seus serviços. Fiz algumas pesquisas e descobri que nós, como um ISP, somos responsáveis ​​por fazer rDNS, mas simplesmente não consigo encontrar muitas informações sobre como isso é configurado.

Criei um servidor bind9 como teste e criei uma zona de teste com zona reversa que está funcionando bem localmente, mas como faço para configurar isso sem mexer no domínio de nossos clientes?

Eu realmente apreciaria sua ajuda.

Cumprimentos,

Estou usando o BIND 9.18.28-0ubuntu0.24.04.1-Ubuntu para atender zonas assinadas por DNSSEC, mas quando atualizo uma zona, o serial SOA da zona assinada não se relaciona com o SOA não assinado.

Após a última atualização, meu arquivo de zona para a zona assinada tem o serial SOA 2024081200, mas a versão assinada da zona tem o serial 2024040710.

Se eu fizer uma alteração no arquivo de zona e alterar o serial SOA para 2024081301 e recarregar o Bind, o serial assinado muda para 2024040711.

Parece que não importa quais mudanças eu faça, o serial para a zona assinada é incrementado apenas em um. Quero que ele use o serial do arquivo de zona não assinado como a nova base para o serial assinado (incrementando-o em um quando as chaves são rotacionadas).

A zona está configurada assim

zone "example.com" IN {
    type primary;
    file "/var/cache/bind/zones/example.com";
    dnssec-policy default;
    inline-signing yes;
};

E minha política dnssec se parece com isso

dnssec-policy standard {
    dnskey-ttl 600;
    keys {
            ksk lifetime P365D algorithm ecdsap256sha256;
            zsk lifetime P60D algorithm ecdsap256sha256;
    };
    max-zone-ttl P1D;
    parent-ds-ttl PT1H;
    parent-propagation-delay PT1H;
    publish-safety PT1H;
    retire-safety PT1H;
    signatures-refresh P5D;
    signatures-validity P14D;
    signatures-validity-dnskey P14D;
    zone-propagation-delay PT5M;
};

O que estou perdendo?

Pergunta de novato. No BIND tenho que criar dois Name Servers, ns1 e ns2, para resolver 3 domínios relacionados a 3 sites no Apache. Apache e seus 3 domínios estão em um servidor dedicado chamado srv1.domain.tld Os dois servidores de nomes estão em dois VPS (ns1.domain.tld e ns2.domain.tld) ​​Obviamente todos os domínios são gerenciados pelo provedor com seu painel DNS. No painel de 3 domínios indiquei os dois novos Name Servers pessoais enquanto no painel domain.tld inseri os três registros A para os dois VPS e o servidor dedicado.

Gostaria de saber se no BIND, além das 3 zonas para os três domínios, tenho que criar uma zona para domínio.tld porque neste caso substituirá a zona gerenciada pelo provedor e suas configurações. Ou eu estou errado?

Hesito em fazer essa pergunta porque suspeito que estou sendo estúpido, mas...

No servidor Ubuntu 22.04 executando o bind 9.18.18, quando executo ddns-confgen -k host.example.com, ele gera algumas instruções referentes às chaves e configurações necessárias para a configuração do servidor nomeado. Também inclui o seguinte:

# After the keyfile has been placed, the following command will
# execute nsupdate using this key:
nsupdate -k <keyfile>

A página de manual afirma:

O nome da chave pode ser especificado usando o parâmetro -k e o padrão é ddns-key. A chave gerada é acompanhada por texto de configuração e instruções que podem ser usadas com nsupdate e nomeadas ao configurar DNS dinâmico

Onde está a "chave gerada" a que ela se refere (não há nada na página de manual sobre um caminho ou qualquer opção para isso)? Ele não aparece no diretório em que executei o comando, mas preciso dessa chave para fornecer ao nsupdatecomando ao atualizar a zona.

Estou usando nsupdate -lum script local para atualizar registros DNS no Bind9.

Está funcionando, exceto que preciso que o PHP tenha acesso de leitura à chave em /run/named/session.key.

Posso conceder acesso ao PHP alterando o grupo da chave para o usuário do processo PHP e adicionando g+rpermissões de leitura a ele, mas as permissões são revertidas bind:bindsempre chmod 600que o Bind é reiniciado.

Existe uma maneira de configurar as permissões padrão no Bind9 para /run/named/session.keyque um grupo diferente seja o proprietário e a leitura do grupo seja habilitada ( chmod 640) quando o Bind for iniciado?

Eu configurei um Bind9 para ser o DNS da minha rede. Estou usando-o como encaminhador e como resolução IP interna.

O problema é que não consigo reverter o DNS dos IPs da Internet.

Por exemplo, tenho um servidor proxy que mostra todos os domínios que tenho uma conexão aberta, mas depois de começar a usar o bind9, ele mostra apenas endereços IP e não domínios.

Não estou tentando resolver ips locais; Quero resolver ips de internet.

Fiz um teste, como você pode ver abaixo:

 C:\Users\ivola>nslookup youtube.com ns.lan
Server:  UnKnown
Address:  192.168.50.232

Non-authoritative answer:
Name:    youtube.com
Addresses:  2a03:2880:f10e:83:face:b00c:0:25de
          199.96.58.105




C:\Users\ivola>nslookup 199.96.58.105 ns.lan
Server:  UnKnown
Address:  192.168.50.232

*** Unknown: can't find 199.96.58.105: Non-existent domain

Minha configuração é muito básica:

opções {

    directory "/var/cache/bind";

    empty-zones-enable no;
    allow-query { any; };
     forwarders {
            8.8.4.4;        //google
            1.1.1.1;        //cloudflare
            8.8.8.8;        //google
            94.247.43.254;  //open nic
            194.36.144.87;  //open nic
            129.134.30.12;  //whatsapp
     };

    dnssec-validation auto;

    zone "lan" IN {
            type master;
            file "/etc/bind/lan.zone";

};

lan.zona:

$ TTL 2d

$ORIGIN lan.

@ EM SOA ns.lan.
mail.hotmail.com. (2023111002; serial 12h; atualizar 15m; tentar novamente 3w; expirar 2h; ttl mínimo)

                    IN      NS      ns.lan. ns                      IN      A       192.168.50.232 homeserver              IN      A      

192.168.50.11 openwrt EM UM 192.168.50.1 qbittorrent.direct EM UM 192.168.50.11 direto
EM UM 192.168.50.251 confronto EM UM
192.168.50.11 yacd.clash EM UM 192.168.50.11 *.homeserver EM UM 192 .168.50.11 esxi IN A 192.168. 50,10 extras EM A
192.168.50.232 umbrel EM A 192.168.50.232 ax3 EM A 192.168.60.1

Estamos executando o BIND 9.16.6 Red Hat v7.7. Estou procurando algumas dicas sobre a ordem da atualização e qual comando executar para desligar cada nó normalmente. Temos um mestre oculto separado e 2 escravos.

Isto é uma resposta ao CVE-2023-2828.

Estou usando o BIND 9.18 para fins de teste. Eu crio uma zona que suporta DNS dinâmico e tento usar nsupdatepara atualizar o registro de recursos do domínio. Após 15 minutos, a atualização é gravada com êxito no arquivo de zona original. No entanto, quando eu uso digpara consultar o domínio e a resposta não muda. Então eu desligo named, reinicio e uso digpara consultar o domínio novamente, e a resposta mostra a atualização. Eu tento atualizar manualmente o arquivo de zona usando rndce o resultado é o mesmo - o arquivo de zona é atualizado com sucesso, mas a atualização só fica visível digdepois que eu reinicio o bind9.

Minha dúvida é, tenho que reiniciar periodicamente o bind9 para tornar as atualizações visíveis para as consultas?

Obrigado!