Re: eigener DNS Server für eigene Zone

Fri, 26 Aug 2016 13:40:04 -0700 

Uwe Koloska <[email protected]> (Do 25 Aug 2016 23:38:25 CEST):
> Am 25.08.2016 um 23:22 schrieb Heiko Schlittermann:
> > In der Tat. But „real men use Bind“ :) (`unbound` ist auch noch ok :))
> 
> Und wie lösen die "Real Men" mit Bind oder unbound die folgenden Probleme:
> 
> * Nameserver des Providers liefert fehlerhafte DKIM-Signaturen, dnsmasq
> fragt in diesem Fall einfach einen beliebigen anderen DNS-Server

Real Men fragen nicht den Nameserver des Providers. (Und, DNS liefert
keine DKIM-Signaturen, oder verstehe ich etwas falsch?)

> * DNS Anfragen für eine bestimmte Domain (z.B. bei einer VPN-Verbindung)
> sollen an den zuständigen Nameserver gehen

Du kannst zonenweise Forwarder einrichten.

> >     dig schlittermann.de @<dnsmasq server>
> > sollte grob so aussehen:
> > 
> > ;; global options: +cmd
> > ;; Got answer:
> > ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25942
> > ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
> 
> Habe ich das jetzt richtig verstanden, dass dort nur 'ad' stehen darf,
> wenn dnsmasq für DNSSEC konfiguriert ist?  Das habe ich nämlich (noch)
> nicht gemacht und bekomme diese Flags:

Dort sollte nur 'ad' stehen, wenn der Resolver, den Du fragst (in Deinem
Fall dnsmasq) sich von der Korrektheit der Daten überzeugt hat (sprich:
die DNSSec-Signaturen geprüft hat und die Trustchain passt) - natürlich
nur bei Domains, die die Verwendung von DNSSec durch einen DS Record in
der (signierten) Parent-Domain signalisieren. Im Falle einer
fehlerhaften Signatur sollte es keine Antwort geben (Bind: SERVFAIL,
glaube ich).

…
> >> die das Teil aktuell hat ist: wenn Anfragen für Domain XY kommen, dies
> >> an einen bestimmten DNS Server zu senden.
> > Genau das können Bind oder Unbound auch :).

> Wann ham die das denn gelernt?  Ich dachte, die (wobei ich unbound
> einfach mal in den Bind-Topf schmeiße) können nur zwischen Autorität
> (Ich bin selbst zuständig) und Forwarding (für alles andere) unterscheiden.

Ich meine, das geht schon immer.

    zone "foobar.de" {
        type forward;
        forwarders { 1.1.1.1; 2.2.2.2; };
    };

Oder auch stub-Zones 
(https://lists.isc.org/pipermail/bind-users/2011-March/083244.html)


-- 
Heiko

Attachment: signature.asc
Description: Digital signature

Antwort per Email an