我们是一家新 ISP,我们最近的一个客户在我们的公共 IP 后面有一个电子邮件服务器,并向我们请求 rDNS,我们拥有一个 /21 前缀,我们为客户提供一个 /29 前缀用于他们的服务。我做了一些研究,发现我们作为 ISP 有责任做 rDNS,但我根本找不到太多关于如何设置的信息。
我已经创建了一个 bind9 服务器作为测试,并创建了一个带有反向区域的测试区域,它在本地运行良好,但如何在不干扰我们客户端的域的情况下进行设置
我将非常感谢您的帮助。
问候,
我正在使用 BIND 9.18.28-0ubuntu0.24.04.1-Ubuntu 来提供 DNSSEC 签名区域,但是当我更新区域时,签名区域的 SOA 序列与未签名的 SOA 无关。
上次更新后,我的未签名区域的区域文件具有 SOA 序列号 2024081200,但该区域的签名版本的序列号为 2024040710。
如果我对区域文件进行更改并将 SOA 序列更改为 2024081301 并重新加载,则将签名的序列更改绑定到 2024040711。
似乎无论我做什么更改,已签名区域的序列号都只会增加 1。我希望它使用未签名区域文件的序列号作为已签名序列号的新基础(在密钥轮换时将其增加 1)。
区域配置如下
zone "example.com" IN {
type primary;
file "/var/cache/bind/zones/example.com";
dnssec-policy default;
inline-signing yes;
};
我的 dnssec 策略如下所示
dnssec-policy standard {
dnskey-ttl 600;
keys {
ksk lifetime P365D algorithm ecdsap256sha256;
zsk lifetime P60D algorithm ecdsap256sha256;
};
max-zone-ttl P1D;
parent-ds-ttl PT1H;
parent-propagation-delay PT1H;
publish-safety PT1H;
retire-safety PT1H;
signatures-refresh P5D;
signatures-validity P14D;
signatures-validity-dnskey P14D;
zone-propagation-delay PT5M;
};
我错过了什么?
新手问题。在 BIND 中,我必须创建两个名称服务器 ns1 和 ns2,以解析与 Apache 中的 3 个网站相关的 3 个域。Apache 及其 3 个域位于名为 srv1.domain.tld 的专用服务器上 这两个名称服务器位于两个 VPS 上(ns1.domain.tld 和 ns2.domain.tld) 显然,所有域均由提供商通过其 DNS 面板进行管理。在“3 个域”面板中,我指示了两个新的个人名称服务器,而在“domain.tld”面板中,我为两个 VPS 和专用服务器插入了三个 A 记录。
我想知道在 BIND 中,除了三个域的 3 个区域之外,我是否还必须为 domain.tld 创建一个区域,因为在这种情况下,它将替换由提供商及其设置管理的区域。还是我错了?
我犹豫是否要问这个问题,因为我怀疑自己很愚蠢,但是......
在运行 bind 9.18.18 的 Ubuntu 服务器 22.04 上,当我运行 时ddns-confgen -k host.example.com,它会输出一些引用指定服务器配置所需的密钥和配置的指令。它还包括以下内容:
# After the keyfile has been placed, the following command will
# execute nsupdate using this key:
nsupdate -k <keyfile>
手册页指出:
密钥名称可以使用 -k 参数指定,默认为 ddns-key。生成的密钥附带配置文本和说明,可与 nsupdate 一起使用并在设置动态 DNS 时命名
它引用的“生成的密钥”在哪里(手册页中没有任何关于路径或任何选项的内容)?nsupdate它不会出现在我运行命令的目录中,但我需要在更新区域时将该密钥提供给命令。
我正在使用nsupdate -l本地脚本来更新 Bind9 中的 DNS 记录。
它正在工作,除了我需要 PHP 对 处的密钥具有读取权限/run/named/session.key。
我可以通过更改 PHP 进程用户的密钥组并向其添加读取权限来授予 PHP 访问权限,但每次重新启动 Bind 时g+r权限都会恢复为bind:bindwith 。chmod 600
有没有办法配置 Bind9 中的默认权限,以便不同的组拥有它,并且在 Bind 启动时/run/named/session.key启用组读取( )?chmod 640
我设置了 Bind9 作为我的网络 DNS。我将它用作转发器和内部 IP 解析。
问题是我无法从互联网 IP 反转 DNS。
例如,我有一个代理服务器,显示我有开放连接的所有域,但开始使用bind9后,它只显示IP地址,而不显示域。
我并不是想解析本地 ip;我想解析互联网ip。
我做了一个测试,如下所示:
C:\Users\ivola>nslookup youtube.com ns.lan
Server: UnKnown
Address: 192.168.50.232
Non-authoritative answer:
Name: youtube.com
Addresses: 2a03:2880:f10e:83:face:b00c:0:25de
199.96.58.105
C:\Users\ivola>nslookup 199.96.58.105 ns.lan
Server: UnKnown
Address: 192.168.50.232
*** Unknown: can't find 199.96.58.105: Non-existent domain
我的配置非常基本:
选项 {
directory "/var/cache/bind"; empty-zones-enable no; allow-query { any; }; forwarders { 8.8.4.4; //google 1.1.1.1; //cloudflare 8.8.8.8; //google 94.247.43.254; //open nic 194.36.144.87; //open nic 129.134.30.12; //whatsapp };
dnssec-validation auto;
zone "lan" IN { type master; file "/etc/bind/lan.zone";};
局域网区域:
$TTL 2d
$ORIGIN 局域网。
@ 在 SOA ns.lan 中。
mail.hotmail.com。(2023111002;串行12h;刷新15m;重试3w;过期2h;最小ttl)IN NS ns.lan. ns IN A 192.168.50.232 homeserver IN A192.168.50.11 openwrt IN A 192.168.50.1 qbittorrent.direct IN A 192.168.50.11 direct
IN A 192.168.50.251 冲突 IN A
192.168.50.11 yacd.clash IN A 192.168.50.11 *.homeserver IN A 192. 168.50.11 esxi IN A 192.168。 50.10 额外 IN A
192.168.50.232 umbrel IN A 192.168.50.232 ax3 IN A 192.168.60.1
我们正在运行 BIND 9.16.6 Red Hat v7.7。我正在寻找一些有关升级顺序以及运行哪些命令以正常关闭每个节点的提示。我们有一个单独的隐藏主人和两个奴隶。
这是对 CVE-2023-2828 的回应。
我使用 BIND 9.18 进行测试。我创建了一个支持动态 DNS 的区域,并尝试使用它nsupdate来更新域的资源记录。15 分钟后,更新成功写入原始区域文件。但是,当我用来dig查询域时,响应没有改变。然后我关闭named,重新启动它并dig再次查询域,响应显示更新。我尝试使用手动更新区域文件rndc,结果是相同的——区域文件已成功更新,但更新仅在dig我重新启动bind9后才可见。
我的问题是,我是否必须定期重新启动bind9以使更新对查询可见?
谢谢你!
我正在尝试使用 Bind 为我的域设置 DNS 服务器。google.com对于非自定义域,如or ,服务器行为正确github.com,但对于我的域,它总是返回“SERVFAIL”。我已经检查了使用named-checkzone返回“OK”的区域文件。
我的区域配置(在 中定义named.conf.local):
zone "michlfranken" {
type master;
file "/var/cache/bind/db.isiko404.dev";
};
我的选项文件:
options {
directory "/var/cache/bind";
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
forwarders {
80.241.218.68;
46.182.19.48;
};
//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================
dnssec-validation yes;
listen-on-v6 { any; };
listen-on { any; };
};
我们有一个预发布站点来测试 DNS(和其他服务)在变热之前。我以前从未在这里涉及公共 IP,它可能无法按我的预期工作。我们有一个来自我们的 ISP 的 /29-net 是公共 IP。121.24.124.144/29。为了测试不同“视图”的 DNS,我们设置了路由器的 LAN 端来模拟这个网络;将路由器作为我们 ISP 的 GW。除了无法从外部实际连接(当然可以通过端口转发完成),这不是这里的意图。)
拓扑:
连接到我们 ISP 的路由器通过 NAT 与我们的网络进行 dhcp 连接。LAN IP 设置为 121.24.124.145/29 (这是我们自己的 IP 网络,因此此时不应从外部连接)它应该(并且确实)在本地世界中作为囚犯工作。暂且。
我们的 DNS 连接的路由器(谢尔比)的 WAN IP 为 121.24.124.146 和 LAN 192.168.13.1。DNS 服务器 (emma) 位于 192.168.13.2。
> dig -x 121.24.124.146 @192.168.13.2
结果是:
;; ANSWER SECTION:
146.124.24.121.in-addr.arpa. 86400 IN PTR static-121-24-124-146.cust.com.
;; AUTHORITY SECTION:
124.24.121.in-addr.arpa. 77013 IN NS o.dns.cust.com.
124.24.121.in-addr.arpa. 77013 IN NS f.dns.cust.com.
;; ADDITIONAL SECTION:
f.dns.cust.com. 76895 IN A 19.71.22.3
o.dns.cust.com. 77013 IN A 19.71.18.5
(此时是 IP 地址的当前所有者(ISP))
我假设我们的 dns 会回复
;; ANSWER SECTION:
146.124.24.121.in-addr.arpa. 86400 IN PTR fw-shelby.energia.com.
使用正确的 IP/FQDN 进行反向查找时,任何其他本地主机都会按预期工作。转发地址工作正常。
> dig fw-shelby.energia.com
;; ANSWER SECTION:
fw-shelby.energia.com. 10800 IN CNAME shelby.energia.com.
shelby.energia.com. 10800 IN A 121.24.124.146
;; AUTHORITY SECTION:
energia.com. 10800 IN NS emma.energia.com.
;; ADDITIONAL SECTION:
emma.energia.com. 10800 IN A 192.168.13.1
这个结果引发了一些问题。
- 与内部(192.168 等)相比,BIND 是否知道公共 IP?[这样反向查找将导致外部查找而不是我们的本地 fqdn]
- 我们的反向文件是根据网络为 /29 的事实配置的,这意味着它从 .144 开始,这表明反向查找文件也从 144.124.24.121.in-addr.arpa 开始。除了 0....in-addr.arpa 之外,我找不到任何信息或小型网络和反向查找文件的示例。这是一个限制,一个不寻常的解决方案还是这样的错误?
- 如果这没有损坏也不正确 - 那么这将如何设置?
受影响的文件:
/etc/bind/zonefiles/public/named.reverse.zone.conf
zone "144.124.24.121.in-addr.arpa"
{
type master;
file "/etc/bind/zonefiles/public/reverse-144.124.24.121.zone";
allow-update { none; };
};
; /etc/bind/zonefiles/public/reverse-144.124.24.121.zone
; 121.24.124.144 (-121.24.124.151)
$ORIGIN 144.124.24.121.in-addr.arpa.
$TTL 345600
@ IN SOA emma.energia.com. root.emma.energia.com. (
2022101102 ;Serial
86400 ;Refresh 24 hours
7200 ;Retry 2 hours
2592000 ;Expire 30 days
345600 ) ;Minimum 4 days
IN NS emma.energia.com.
145 IN PTR gw-isp.energia.com.
146 IN PTR shelby.energia.com.
147 IN PTR shelley.energia.com.
148 IN PTR mailis.energia.com.
149 IN PTR ava.energia.com.
150 IN PTR www.energia.com.
我检查了将区域设置为 $ORIGIN 124.24.121.in-addr.arpa。只是为了排除反向区域可能不允许这么“小”。但是不,没有区别。
至于参考:
; Bind reverse hosts
$ORIGIN 13.168.192.in-addr.arpa.
$TTL 345600
@ IN SOA emma.energia.com. root.emma.energia.com. (
1998030900 ;Serial
86400 ;Refresh 24 hours
7200 ;Retry 2 hours
2592000 ;Expire 30 days
345600 ) ;Minimum 4 days
IN NS emma.energia.com.
1 IN PTR gw-shelby.energia.com.
2 IN PTR emma.energia.com.
3 IN PTR gw-rivendale-link-br.energia.com.
4 IN PTR unused-ip-rd4.energia.com.
正向和反向都可以正常工作。我没有提交任何其他命名的配置文件,因为其余的工作和日志确认区域已加载。但如果需要请询问!
出现我们自己的反向名称会不那么令人沮丧。ISP 的反向名称只会令人困惑。