DNS ký tự đại diện với BIND

Tôi đang cố gắng thiết lập BIND để nó nắm bắt bất kỳ và tất cả các yêu cầu được thực hiện, và trỏ chúng đến một bộ máy chủ NS cụ thể và một bản ghi A cụ thể.

Tôi có khoảng 500 tên miền và tôi đang thêm những tên miền mới với tốc độ 10-15 mỗi ngày, vì vậy tôi không muốn thêm một vùng rõ ràng cho mỗi tên miền.

Thiết lập hiện tại của tôi là: trong tên của tôi. Tôi có một chế độ xem (được đặt tên bên ngoài) với vùng sau:

zone "." {
        type master;
        file "ext.zone";
};

Điều này phù hợp với tất cả các yêu cầu.

ext.zone là:

$ 3600
@ TRONG MẠNG. root.nsdomain.com. (
                              1; Nối tiếp
                         3600; Làm tươi
                          300; Thử lại
                         3600; Hết hiệu lực
                         300); Bộ nhớ cache âm tính TTL


        IN NS ns1.example.com
        IN NS ns2.example.com

ns1 TRONG A 192.0.2.4
ns2 VÀO 192.0.2.5

*. TRONG MỘT 192.0.2.6

vì vậy, mục tiêu là: cho tất cả các yêu cầu NS, trả lại ns1.example.comvà ns2.example.com cho tất cả các yêu cầu A, ngoại trừ nơi nó là ns1.example.comhoặc ns2.example.com, trả lại 192.0.2.6. Để ns1.example.comtrả lại 192.0.2.4, cho ns2.example.comtrả lại 192.0.2.5.

Điều này gần như hoạt động, vấn đề duy nhất là khi tôi đào, tôi nhận được:

đào @localhost somedomain.example

; > DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_5.3> @localhost somedomain.example
; (Đã tìm thấy 1 máy chủ)
;; tùy chọn toàn cầu: printcmd
;; Có câu trả lời:
;; opcode: QUERY, trạng thái: NOERROR, id: 37733
;; cờ: qr aard; CÂU HỎI: 1, TRẢ LỜI: 1, QUYỀN: 2, BỔ SUNG: 2

;; PHẦN CÂU HỎI:
; somedomain.example. Ở A

;; TRẢ LỜI
somedomain.example. 3600 IN A 192.0.2.6 // như mong đợi

;; PHẦN TỰ ĐỘNG:
. 3600 IN NS ns1.example.com. // dự kiến, tôi không biết nếu "." lúc bắt đầu là xấu, mặc dù.
. 3600 IN NS ns2.example.com. // xem ở trên.

;; PHẦN BỔ SUNG:
ns1.example.com. 3600 IN A 192.0.2.6 // không mong đợi, đây phải là 192.0.2.4
ns2.example.com. 3600 IN A 192.0.2.6 // không mong đợi, đây phải là 192.0.2.5

Làm thế nào để tôi sửa lỗi này? Tôi đang làm một cái gì đó khủng khiếp? Có cách nào tốt hơn để làm điều này?

Nguồn gốc của bạn cho khu vực là .theo cấu hình của bạn. Bạn đang tạo các bản ghi cho ns1.và ns2.thay vì ns1.example.com.và ns2.example.com. Vì ns1.example.comvà ns2.example.comkhông được xác định, chúng được khớp với ký tự đại diện.

EDIT: đây là bản chỉnh sửa cấu hình và vùng của bạn:

zone "example.com." {
        type master;
        file "ext.zone";
};

máy lẻ

$TTL    3600
@       IN      SOA     ns1 root (
                              1         ; Serial
                         3600         ; Refresh
                          300         ; Retry
                         3600         ; Expire
                         300 )        ; Negative Cache TTL


        IN      NS      ns1
        IN      NS      ns2
        IN      A       192.0.2.6


ns1     IN      A       192.0.2.4
ns2     IN      A       192.0.2.5

*      IN      A       192.0.2.6

Mọi thứ trong vùng đều liên quan đến tên vùng trong cấu hình đã đặt tên, vì vậy việc thêm vùng thứ hai chỉ vào cùng một tệp:

zone "example.net." {
    type master;
    file "ext.zone";
};

Để đặt ký tự đại diện tên miền phụ, bindbạn nên sử dụng định dạng sau:

name.tld.   IN  A   IP    # main domain ip
*.name.tld. IN  A   IP    # wildcard subdomains ip

Thí dụ:

mydomain.com.   IN  A   1.1.1.1
*.mydomain.com. IN  A   1.1.1.1 

Dựa trên cấu hình của bạn ns1.example.comlà 192.0.2.4và ns2.example.comlà 192.0.2.5. Bạn phải định cấu hình độ phân giải tên máy chủ NS trong example.comvùng để có IP phù hợp.

Tôi hy vọng tôi làm cho mình rõ ràng. Hãy quay lại với tôi nếu bạn cần thêm thông tin.

Ký tự DNS có thể gây rắc rối!

vì vậy tôi không muốn thêm một vùng rõ ràng cho mọi miền.

Có rất nhiều cách để đi - từ kịch bản SHELL cho đến các máy chủ DNS dựa trên SQL.

CẬP NHẬT. (2019-11) : Như tôi đã nói 8 năm trước , SHELL-scripting là một cách để đi và nó đã được chứng minh bằng giải pháp đề xuất câu trả lời được chấp nhận "thêm mục nhập khu vực" - rõ ràng không dựa trên việc sử dụng ký tự đại diện. ;-)

Vào năm 2019, việc tìm kiếm các tài nguyên giải thích các nhược điểm của ký tự đại diện DNS thậm chí còn dễ dàng hơn và mặc dù hầu hết chúng được viết "vào buổi bình minh của Internet" nhưng chúng vẫn giữ một số giá trị. Ví dụ, RFC1912 đề cập đến một số điều liên quan đến việc sử dụng ký tự đại diện DNS. Vấn đề chính được giải thích rõ ràng là "

MX Wildcard có thể xấu, bởi vì chúng làm cho một số hoạt động thành công khi thay vào đó chúng nên thất bại . Càng "

Nó cũng có một số ví dụ thực tế kiểu cũ mặc dù.