[GTER] DNS - Bind, forçar resposta como Autoritativa
Henrique de Moraes Holschuh
henrique.holschuh at ima.sp.gov.br
Mon Oct 29 16:33:32 -02 2012
On 29-10-2012 15:44, Douglas Fischer wrote:
> Já haviamos testado dessa forma, a resposta acontece sim no fluxo que i
> maginamos:
> requisitante externo -> meu dns-server -> forward para dns server do
> cliente
> dns-server do cliente -> meu dns-server -> requisitante externo
>
> A resposta que meu dns-server recebe do dns-server do nosso cliente vem
> como autoritativa,
> mas na hora de re-encaminhar a resposta ao requisitante externo, ela não
> vai como autoritativa...
> Só se esquecemos de alguma coisinha...
>
> Pelo que ví, o que está faltando é a parte que digo para o Bind:
> "Quando for desse domínio, minta e diga que você é o dono do domínio!".
O bind é conhecido por não ter opções estilo "quebre a Internet". Isso
inclui não ter uma opção para mentir que é autoritativo quando não é.
A única exceção é o NXDOMAIN (seção 13.5.7, livro "DNS & BIND", opção
auth-nxdomain), e mesmo essa acho que já está com os dias contados.
Receba a zona via zone-transfer, usando master-slave, ou receba os dados
da zona diretamente via rsync, scp, etc. e deixe o bind como master. Se
DNS normal passa via DNAT na firewall, também deveria ser possível
configurar para passar TSIG+AXFR/IXFR e ter o bind como slave, e os
servidores do cliente como hidden-master.
Se for impossível mesmo, o jeito é conviver com as respostas não
autoritativas (lame delegation) até corrigir os IPs, e fazer isso o mais
rapidamente possível.
--
Henrique de Moraes Holschuh<hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464
Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.
More information about the gter
mailing list