问题[rpz](server)

我正在尝试在现有的 Bind9 服务器上设置响应策略，因为我想覆盖我公司的一些公共域以将它们重定向到我们的专用网络 ip。

我遵循了本教程： https ://www.linuxbabe.com/ubuntu/set-up-response-policy-zone-rpz-in-bind-resolver-on-debian-ubuntu

但是，对于我试图覆盖的两个域，我收到了这个错误：

named[17104]: /etc/bind/zones/db.rpz:17: ignoring out-of-zone data (xxx.mydomain1.com)
named[17104]: /etc/bind/zones/db.rpz:19: ignoring out-of-zone data (yyy.mydomain2.com)
named[17104]: (re)loading policy zone 'rpz' changed from 0 to 2 qname, 0 to 0 nsdname, 0 to 0 IP, 0 to 0 NSIP, 0 to 0 CLIENTIP entries
named[17104]: zone rpz/IN: loaded serial 14

这是我的配置：named.conf.local：

zone "rpz" {
    type master;
    file "/etc/bind/zones/db.rpz";
    allow-transfer { IP_DNS2; };
};

命名的.conf.options ：

options {
        ...OPTIONS...
        response-policy {
                zone "rpz";
        };
}

/etc/bind/zones/db.rpz ：

;
; BIND data file for local loopback interface
;
$TTL    604800
@       IN      SOA     localhost.rpz. root.rpz. (
                              14         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;

@       IN      NS      localhost.rpz.

localhost.rpz.  A       127.0.0.1

xxx.mydomain.com.    A       PRIVATE_IP

yyy.mydomain2.com.      A       PRIVATE_IP

我在将 BIND 配置为我在根区域的私有服务器时遇到了一些问题。

我试过点“。” （在某处读过）和一个空字符串“”（我的错误猜测）作为根区域标识符（两者都有语法错误）

zone "." { ; sorry 
    ... 
};

还

zone "" { ;sorry 
    ... 
};

您对如何为根区域提供服务有任何提示吗？

（我的注意：为根区域提供服务可能与作为根服务器不同！）

更新

问题实际上出在根 (".") 的响应策略区域内：

options {
    #response-policy {zone "com"; }; #it is OK (before commenting)
    response-policy {zone "."; }; #it makes error when loading the config
};  


zone "."{
    type master; 
    file "db/zone.root.db"; 
};

zone "com"{ #just for syntax test/check
    type master; 
    file "db/zone.root.db"; 
};

命名检查配置 -zj 命名.conf

  zone ./IN: NS 'LOCALHOST' has no address records (A or AAAA)
  zone ./IN: not loaded due to errors.
  _default/./IN: bad zone
  zone com/IN: loaded serial 1

注意：在两种配置中：服务加载的配置和终止的配置，输出是相同的

挖 www.google.com @127.0.0.1

01     ; <<>> DiG 9.10.4-P2 <<>> www.google.com @127.0.0.1
02     ;; global options: +cmd
03     ;; Got answer:
04     ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58406
05     ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 1
06     
07     ;; OPT PSEUDOSECTION:
08     ; EDNS: version: 0, flags:; udp: 4096
09     ;; QUESTION SECTION:
10     ;www.google.com.                        IN      A
11     
12     ;; ANSWER SECTION:
13     www.google.com.         5       IN      CNAME   nosslsearch.google.com.rpz.zone.
14     nosslsearch.google.com.rpz.zone. 3600 IN A      216.239.32.20
15     
16     ;; AUTHORITY SECTION:
17     rpz.zone.               3600    IN      NS      LOCALHOST.
18     
19     ;; Query time: 44 msec
20     ;; SERVER: 127.0.0.1#53(127.0.0.1)
21     ;; WHEN: Mon Aug 01 17:07:14 Daylight Time 2016
22     ;; MSG SIZE  rcvd: 127

注意：参见第 13 行和后面的“.rpz.zone”。

nslookup

01     > server 127.0.0.1
02     Default server: 127.0.0.1
03     Address: 127.0.0.1#53
04     > www.google.com
05     Server:         127.0.0.1
06     Address:        127.0.0.1#53
07     
08     Non-authoritative answer:
09     www.google.com  canonical name = nosslsearch.google.com.rpz.zone.
10     Name:   nosslsearch.google.com.rpz.zone
11     Address: 216.239.32.20

ping www.google.com -n 1

1     Pinging nosslsearch.google.com.rpz.zone [216.239.32.20] with 32 bytes of data:
2     Reply from 216.239.32.20: bytes=32 time=149ms TTL=45
3     
4     Ping statistics for 216.239.32.20:
5         Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
6     Approximate round trip times in milli-seconds:
7         Minimum = 149ms, Maximum = 149ms, Average = 149ms

上述输出片段的总结：rpz.zone 被添加到任何地方，这就是为什么我想移动到根区域。

这是我的

zone.root.db 文件

01     $TTL 1H
02     @                       SOA LOCALHOST. named-mgr.example.com (1 1h 15m 30d 2h)
03                             NS  LOCALHOST.
04     
05     nosslsearch.google.com       A     216.239.32.20
06     google.com                   CNAME nosslsearch.google.com
07     www.google.com               CNAME nosslsearch.google.com
08     

我只是想摆脱附加到响应中的 rp.zone！，如何？

使用 BIND RPZ 为我提供了我正在寻找的更改查询的确切内容。但是，数百个客户端正在使用我的递归 DNS 服务器，我正在寻找一种方法来允许每个客户端进行某种程度的自定义。客户可能希望启用数百个区域，以实现数千种不同的可能组合。

看来我仅限于 32 个 RPZ 区域（看似无限长），但仅此一项是行不通的——每个用户都需要选择加入特定区域的能力。即使每个客户端都有大量区域，它仍然会达到 32 个限制。

我已经简要地查看了 Unbound，它似乎具有类似的具有本地数据透明度的 RPZ 设置，但是当寻找一种将事物分成视图的方法时，乐趣似乎已经结束，因此我只能将它们提供给特定的客户。

当然有一种方法可以在不重新发明轮子的情况下实现这一目标？我看到商业提供商提供类似的设置，例如 OpenDNS，成千上万的客户可以在其中切换各种列表。秘方是什么？

BIND 似乎是从上到下查看配置文件，并根据匹配客户端将查询分配给第一个匹配视图。根据http://www.zytrax.com/books/dns/ch7/view.html这正是它应该如何工作的。

在我的配置中，可能还有其他适用于 match-clients 配置中的用户的视图，我想以某种方式遍历它们。如果没有积极的打击（从上到下很好），理想情况下应该继续检查以下视图。

这在某种程度上可能与 BIND 一起使用吗？这是一个例子。在下面的配置中，来自 192.168.1.100 或 192.168.200 的用户都只会进入第一个视图。相反，我希望用户 192.168.1.200 也可以访问第二个视图。

acl "kids" {
        192.168.1.100;
        192.168.1.200;
};

view "kids"{
        response-policy { zone "kids"; };
        match-clients { kids; };
        recursion yes;
        zone "kids" {
                type master;
                file "kids.db";
                allow-query { none; };
        };
};

acl "teens" {
        192.168.1.200;
};

view "teens"{
        response-policy { zone "teens"; };
        match-clients { teens; };
        recursion yes;
        zone "teens" {
                type master;
                file "teens.db";
                allow-query { none; };
        };
};