[GTER] DNS - Bind, forçar resposta como Autoritativa
Otavio Augusto
otavioti at gmail.com
Mon Oct 29 18:57:57 -02 2012
Em 29 de outubro de 2012 17:33, Douglas Fischer
<fischerdouglas at gmail.com> escreveu:
> Obrigado Henrique...
>
> O Bind é muito ético, então não vai ser possível resolver isso na aplicação.
> Portando a bolinha de ping-pong volta para equipe de redes.
>
> Estou estudando as possibilidades de DNS Rewrite(Doctoring) em Zone
> Transfer com o ASA.
> Mas não estou muito animado.
O veja o powerDNS ele tem alguns recursos como fazer um script lua
para responder. Tavez te ajude.
>
> Obrigado a todos pela atenção.
>
> Em 29 de outubro de 2012 16:33, Henrique de Moraes Holschuh <
> henrique.holschuh at ima.sp.gov.br> escreveu:
>
>> On 29-10-2012 15:44, Douglas Fischer wrote:
>>
>>> Já haviamos testado dessa forma, a resposta acontece sim no fluxo que i
>>> maginamos:
>>> requisitante externo -> meu dns-server -> forward para dns server do
>>> cliente
>>> dns-server do cliente -> meu dns-server -> requisitante externo
>>>
>>> A resposta que meu dns-server recebe do dns-server do nosso cliente vem
>>> como autoritativa,
>>> mas na hora de re-encaminhar a resposta ao requisitante externo, ela não
>>> vai como autoritativa...
>>> Só se esquecemos de alguma coisinha...
>>>
>>> Pelo que ví, o que está faltando é a parte que digo para o Bind:
>>> "Quando for desse domínio, minta e diga que você é o dono do domínio!".
>>>
>>
>> O bind é conhecido por não ter opções estilo "quebre a Internet". Isso
>> inclui não ter uma opção para mentir que é autoritativo quando não é. A
>> única exceção é o NXDOMAIN (seção 13.5.7, livro "DNS & BIND", opção
>> auth-nxdomain), e mesmo essa acho que já está com os dias contados.
>>
>> Receba a zona via zone-transfer, usando master-slave, ou receba os dados
>> da zona diretamente via rsync, scp, etc. e deixe o bind como master. Se DNS
>> normal passa via DNAT na firewall, também deveria ser possível configurar
>> para passar TSIG+AXFR/IXFR e ter o bind como slave, e os servidores do
>> cliente como hidden-master.
>>
>> Se for impossível mesmo, o jeito é conviver com as respostas não
>> autoritativas (lame delegation) até corrigir os IPs, e fazer isso o mais
>> rapidamente possível.
>>
>> --
>> Henrique de Moraes Holschuh<hmh at ima.sp.gov.br>
>> IM@ - Informática de Municípios Associados
>> Engenharia de Telecomunicações
>> TEL +55-19-3755-6555/CEL +55-19-9293-9464
>>
>> Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
>> e do custo que você pode evitar.
>>
>>
>> --
>> gter list https://eng.registro.br/**mailman/listinfo/gter<https://eng.registro.br/mailman/listinfo/gter>
>>
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
--
Otavio Augusto
---------------------
Consultor de TI
Citius Tecnologia
31 37761866
31 88651242
http://www.citiustecnologia.com.br
More information about the gter
mailing list