问题[bind](server)

我已经问过一个类似的问题，但问题太具体了（命名用于内部使用并转发特定子域）。对于这个问题，我找到了一种不太好的解决方法。

现在我问一个更普遍的问题。问题是为什么解析其他区域依赖于区域“。”配置？

我们有一个无法访问互联网的 DNS，因为我们希望它仅解析本地域名。我们只希望它解析一个外部域。我们将其称为 dmz.example.com。/etc/named.conf 中该区域的配置为：

zone "dmz.example.com" in
{
  type forward;
  forwarders { 10.100.1.1; 10.100.1.2; }; // DMZ DNSes
};

由于我们不希望 DNS 解析外部/互联网域，因此我们使用空的 root.servers 文件完成了此操作，如下所示：

zone "."
{
  type hint;
  file "root.servers"; // root.server is empty file
};

当 DNS 被要求提供互联网域名时，它会立即返回无答案，因为 root.servers 为空。对于它是主服务器或从服务器的域，它会正常解析它们。使用此配置，DNS 不会解析 dmz.example.com。

然后我们更改了区域“。”的配置。我们将其设置为“。”的转发区域，但转发器是一个不存在或无法访问的 IP。就像这样：

zone "." in
{
  type forward;
  forwarders { 10.100.100.100; }; // non-existent IP
};

当我们对区域“.”使用此配置时，DNS 会解析 dmz.example.com，但不会立即响应对互联网域的查询。它会等待转发器响应的超时时间。

我不喜欢这样，原因有二：

1. DNS 现在会对不存在的 IP 进行不必要的查询。
2. 互联网域名不再立即得到解决并给出无答案。

我如何才能使 DNS 解析 dmz.example.com 并像以前一样响应互联网域（立即响应，没有不必要的网络流量）？

我们在受保护的环境中拥有 DNS 服务器，无法访问互联网，这些服务器仅解析我们编写的内部域。这些内部 DNS 服务器中的 root.servers 文件为空：

zone "."
{
  type hint;
  file "root.servers"; // root.server is empty file
};

这样，内部 DNS 仅解析内部名称。

然后我们在 DMZ 中有 DNS 服务器，它将内部域转发到 dmz，如下所示：

zone "internal" in
  type forward;
  forwarders { 10.10.10.1; 10.10.10.2; }; // internal DNSes
};

DMZ 中的这些 DNS 还会从解析互联网域的 DNS 转发互联网地址，如下所示：

zone "." in {
  type forward;
  forwarders { 172.20.10.1; 172.20.20.2; }; // DNSes resolving internet domains
};

这样，DMZ 中的 DNS 就可以解析内部和互联网域。多年来，它一直都是这样运作的。

现在，我们需要为 DMZ 中的某些服务器获取知名 CA 签名的证书。为此，我们创建了一个互联网子域。我们将其命名为 dmz.example.com。

我们在 DMZ 名称服务器中创建了一个区域 dmz.example.com，DMZ 解析这些域名。我们也想在内部网络中解析这些域名。为此，我们打开了从内部到 DMZ 的 DNS 访问，并在内部 DNS 中添加了一个区域，如下所示：

zone "dmz.example.com" in
{
  type forward;
  forwarders { 10.100.1.1; 10.100.1.2; }; // DMZ DNSes
};

现在，内部 DNS 无法解析 dmz.example.com，也无法访问 DMZ DNS 以获取有关此域的信息。我不明白为什么内部 DNS 不使用该区域配置？这是否与空的 root.servers 文件和区域“。”有关？

在 DMZ DNS 转发内部域的另一个方向上它可以工作。

我们是一家新 ISP，我们最近的一个客户在我们的公共 IP 后面有一个电子邮件服务器，并向我们请求 rDNS，我们拥有一个 /21 前缀，我们为客户提供一个 /29 前缀用于他们的服务。我做了一些研究，发现我们作为 ISP 有责任做 rDNS，但我根本找不到太多关于如何设置的信息。

我已经创建了一个 bind9 服务器作为测试，并创建了一个带有反向区域的测试区域，它在本地运行良好，但如何在不干扰我们客户端的域的情况下进行设置

我将非常感谢您的帮助。

问候，

我正在使用 BIND 9.18.28-0ubuntu0.24.04.1-Ubuntu 来提供 DNSSEC 签名区域，但是当我更新区域时，签名区域的 SOA 序列与未签名的 SOA 无关。

上次更新后，我的未签名区域的区域文件具有 SOA 序列号 2024081200，但该区域的签名版本的序列号为 2024040710。

如果我对区域文件进行更改并将 SOA 序列更改为 2024081301 并重新加载，则将签名的序列更改绑定到 2024040711。

似乎无论我做什么更改，已签名区域的序列号都只会增加 1。我希望它使用未签名区域文件的序列号作为已签名序列号的新基础（在密钥轮换时将其增加 1）。

区域配置如下

zone "example.com" IN {
    type primary;
    file "/var/cache/bind/zones/example.com";
    dnssec-policy default;
    inline-signing yes;
};

我的 dnssec 策略如下所示

dnssec-policy standard {
    dnskey-ttl 600;
    keys {
            ksk lifetime P365D algorithm ecdsap256sha256;
            zsk lifetime P60D algorithm ecdsap256sha256;
    };
    max-zone-ttl P1D;
    parent-ds-ttl PT1H;
    parent-propagation-delay PT1H;
    publish-safety PT1H;
    retire-safety PT1H;
    signatures-refresh P5D;
    signatures-validity P14D;
    signatures-validity-dnskey P14D;
    zone-propagation-delay PT5M;
};

我错过了什么？

新手问题。在 BIND 中，我必须创建两个名称服务器 ns1 和 ns2，以解析与 Apache 中的 3 个网站相关的 3 个域。Apache 及其 3 个域位于名为 srv1.domain.tld 的专用服务器上 这两个名称服务器位于两个 VPS 上（ns1.domain.tld 和 ns2.domain.tld） 显然，所有域均由提供商通过其 DNS 面板进行管理。在“3 个域”面板中，我指示了两个新的个人名称服务器，而在“domain.tld”面板中，我为两个 VPS 和专用服务器插入了三个 A 记录。

我想知道在 BIND 中，除了三个域的 3 个区域之外，我是否还必须为 domain.tld 创建一个区域，因为在这种情况下，它将替换由提供商及其设置管理的区域。还是我错了？

我犹豫是否要问这个问题，因为我怀疑自己很愚蠢，但是......

在运行 bind 9.18.18 的 Ubuntu 服务器 22.04 上，当我运行 时ddns-confgen -k host.example.com，它会输出一些引用指定服务器配置所需的密钥和配置的指令。它还包括以下内容：

# After the keyfile has been placed, the following command will
# execute nsupdate using this key:
nsupdate -k <keyfile>

手册页指出：

密钥名称可以使用 -k 参数指定，默认为 ddns-key。生成的密钥附带配置文本和说明，可与 nsupdate 一起使用并在设置动态 DNS 时命名

它引用的“生成的密钥”在哪里（手册页中没有任何关于路径或任何选项的内容）？nsupdate它不会出现在我运行命令的目录中，但我需要在更新区域时将该密钥提供给命令。

我正在使用nsupdate -l本地脚本来更新 Bind9 中的 DNS 记录。

它正在工作，除了我需要 PHP 对 处的密钥具有读取权限/run/named/session.key。

我可以通过更改 PHP 进程用户的密钥组并向其添加读取权限来授予 PHP 访问权限，但每次重新启动 Bind 时g+r权限都会恢复为bind:bindwith 。chmod 600

有没有办法配置 Bind9 中的默认权限，以便不同的组拥有它，并且在 Bind 启动时/run/named/session.key启用组读取（ ）？chmod 640

我设置了 Bind9 作为我的网络 DNS。我将它用作转发器和内部 IP 解析。

问题是我无法从互联网 IP 反转 DNS。

例如，我有一个代理服务器，显示我有开放连接的所有域，但开始使用bind9后，它只显示IP地址，而不显示域。

我并不是想解析本地 ip；我想解析互联网ip。

我做了一个测试，如下所示：

 C:\Users\ivola>nslookup youtube.com ns.lan
Server:  UnKnown
Address:  192.168.50.232

Non-authoritative answer:
Name:    youtube.com
Addresses:  2a03:2880:f10e:83:face:b00c:0:25de
          199.96.58.105




C:\Users\ivola>nslookup 199.96.58.105 ns.lan
Server:  UnKnown
Address:  192.168.50.232

*** Unknown: can't find 199.96.58.105: Non-existent domain

我的配置非常基本：

选项 {

    directory "/var/cache/bind";

    empty-zones-enable no;
    allow-query { any; };
     forwarders {
            8.8.4.4;        //google
            1.1.1.1;        //cloudflare
            8.8.8.8;        //google
            94.247.43.254;  //open nic
            194.36.144.87;  //open nic
            129.134.30.12;  //whatsapp
     };

    dnssec-validation auto;

    zone "lan" IN {
            type master;
            file "/etc/bind/lan.zone";

};

局域网区域：

$TTL 2d

$ORIGIN 局域网。

@ 在 SOA ns.lan 中。
mail.hotmail.com。（2023111002；串行12h；刷新15m；重试3w；过期2h；最小ttl）

                    IN      NS      ns.lan. ns                      IN      A       192.168.50.232 homeserver              IN      A      

192.168.50.11 openwrt IN A 192.168.50.1 qbittorrent.direct IN A 192.168.50.11 direct
IN A 192.168.50.251 冲突 IN A
192.168.50.11 yacd.clash IN A 192.168.50.11 *.homeserver IN A 192. 168.50.11 esxi IN A 192.168。 50.10 额外 IN A
192.168.50.232 umbrel IN A 192.168.50.232 ax3 IN A 192.168.60.1

我们正在运行 BIND 9.16.6 Red Hat v7.7。我正在寻找一些有关升级顺序以及运行哪些命令以正常关闭每个节点的提示。我们有一个单独的隐藏主人和两个奴隶。

这是对 CVE-2023-2828 的回应。

我使用 BIND 9.18 进行测试。我创建了一个支持动态 DNS 的区域，并尝试使用它nsupdate来更新域的资源记录。15 分钟后，更新成功写入原始区域文件。但是，当我用来dig查询域时，响应没有改变。然后我关闭named，重新启动它并dig再次查询域，响应显示更新。我尝试使用手动更新区域文件rndc，结果是相同的——区域文件已成功更新，但更新仅在dig我重新启动bind9后才可见。

我的问题是，我是否必须定期重新启动bind9以使更新对查询可见？

谢谢你！