[GTER] DNS - Bind, forçar resposta como Autoritativa
Douglas Fischer
fischerdouglas at gmail.com
Mon Oct 29 17:33:30 -02 2012
Obrigado Henrique...
O Bind é muito ético, então não vai ser possível resolver isso na aplicação.
Portando a bolinha de ping-pong volta para equipe de redes.
Estou estudando as possibilidades de DNS Rewrite(Doctoring) em Zone
Transfer com o ASA.
Mas não estou muito animado.
Obrigado a todos pela atenção.
Em 29 de outubro de 2012 16:33, Henrique de Moraes Holschuh <
henrique.holschuh at ima.sp.gov.br> escreveu:
> On 29-10-2012 15:44, Douglas Fischer wrote:
>
>> Já haviamos testado dessa forma, a resposta acontece sim no fluxo que i
>> maginamos:
>> requisitante externo -> meu dns-server -> forward para dns server do
>> cliente
>> dns-server do cliente -> meu dns-server -> requisitante externo
>>
>> A resposta que meu dns-server recebe do dns-server do nosso cliente vem
>> como autoritativa,
>> mas na hora de re-encaminhar a resposta ao requisitante externo, ela não
>> vai como autoritativa...
>> Só se esquecemos de alguma coisinha...
>>
>> Pelo que ví, o que está faltando é a parte que digo para o Bind:
>> "Quando for desse domínio, minta e diga que você é o dono do domínio!".
>>
>
> O bind é conhecido por não ter opções estilo "quebre a Internet". Isso
> inclui não ter uma opção para mentir que é autoritativo quando não é. A
> única exceção é o NXDOMAIN (seção 13.5.7, livro "DNS & BIND", opção
> auth-nxdomain), e mesmo essa acho que já está com os dias contados.
>
> Receba a zona via zone-transfer, usando master-slave, ou receba os dados
> da zona diretamente via rsync, scp, etc. e deixe o bind como master. Se DNS
> normal passa via DNAT na firewall, também deveria ser possível configurar
> para passar TSIG+AXFR/IXFR e ter o bind como slave, e os servidores do
> cliente como hidden-master.
>
> Se for impossível mesmo, o jeito é conviver com as respostas não
> autoritativas (lame delegation) até corrigir os IPs, e fazer isso o mais
> rapidamente possível.
>
> --
> Henrique de Moraes Holschuh<hmh at ima.sp.gov.br>
> IM@ - Informática de Municípios Associados
> Engenharia de Telecomunicações
> TEL +55-19-3755-6555/CEL +55-19-9293-9464
>
> Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
> e do custo que você pode evitar.
>
>
> --
> gter list https://eng.registro.br/**mailman/listinfo/gter<https://eng.registro.br/mailman/listinfo/gter>
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the gter
mailing list