[GTER] DNS - Bind, forçar resposta como Autoritativa

Henrique de Moraes Holschuh henrique.holschuh at ima.sp.gov.br
Mon Oct 29 16:33:32 -02 2012


On 29-10-2012 15:44, Douglas Fischer wrote:
> Já haviamos testado dessa forma, a resposta acontece sim no fluxo que i
> maginamos:
>     requisitante externo ->  meu dns-server ->  forward para dns server do
> cliente
>     dns-server do cliente ->  meu dns-server ->  requisitante externo
>
> A resposta que meu dns-server recebe do dns-server do nosso cliente vem
> como autoritativa,
> mas na hora de re-encaminhar a resposta ao requisitante externo, ela não
> vai como autoritativa...
>     Só se esquecemos de alguma coisinha...
>
> Pelo que ví, o que está faltando é a parte que digo para o Bind:
> "Quando for desse domínio, minta e diga que você é o dono do domínio!".

O bind é conhecido por não ter opções estilo "quebre a Internet". Isso 
inclui não ter uma opção para mentir que é autoritativo quando não é.   
A única exceção é o NXDOMAIN (seção 13.5.7, livro "DNS & BIND", opção 
auth-nxdomain), e mesmo essa acho que já está com os dias contados.

Receba a zona via zone-transfer, usando master-slave, ou receba os dados 
da zona diretamente via rsync, scp, etc. e deixe o bind como master. Se 
DNS normal passa via DNAT na firewall, também deveria ser possível 
configurar para passar TSIG+AXFR/IXFR e ter o bind como slave, e os 
servidores do cliente como hidden-master.

Se for impossível mesmo, o jeito é conviver com as respostas não 
autoritativas (lame delegation) até corrigir os IPs, e fazer isso o mais 
rapidamente possível.

-- 
Henrique de Moraes Holschuh<hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464

Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.




More information about the gter mailing list