Avancerat (?) DNS-problem

Hej,

Jag är inte helt undra på vad du är ute efter, men är det något i denna bana?
- Företagsnätverkets DNS-servrar har en intern zon
- Du vill, ifrån LAN:ets DNS-resolver, kunna slå upp i den interna zonen som finns i företagsnätet?
- Och du kan ifrån DNS-resolvern du satt upp, slå upp i den interna zonen i företaget, men det går inte för klienterna som har sin DNS pekad mot LAN:ets DNS-resolver?

Förstår inte riktigt hur du menar med master och slave. Delar du zoner mellan företags DNS:erna och LAN:ets dns, eller har dessa egna konfigurationer? Vilka zoner är med i bilden?

Vad har LAN-DNS:en för nameserver konfigurerad i /etc/resolv.conf?

EDIT:
En duktig vän kanske har lurat ut det. Vi antar att företags-DNS:en är auktoritär server för den interna zonen som du vill kunna slå mot. Din DNS-resolver som du har satt upp för LAN:et kan, som jag tolkar det som, slå mot företagsdns:en på den interna zonen. Det du i sådana fall vill göra för att det ska fungera för klienterna är att forwarda den interna zonen i din DNS-resolver till företagsdns:en. Så när en klient försöker göra en dns-förfrågning mot den konfigurerade dns-servern (vilket är LAN-resolvern), så kommer den forwarda requesten till företagsservrarna istället, och få svar därifrån.

http://www.zytrax.com/books/dns/ch7/zone.html#type

Jag är fortfarande inte helt hundra på vad vill göra. BIND kan konfigureras på olika sätt beroende på hur du vill att din DNS-server ska fungera. Den kan exempelvis själv göra querys mot root-servrarna och neråt i "kedjan", eller forwarda querys till en annan DNS-server som gör det åt dig. Master och slave blandar du in om du ska hantera en zon. Som jag förstår din beskrivning så hanteras den "privata" zonen av din företags-DNS, så det du bör göra är du att forwarda requests mot den zonen till de servrarna istället. Således bör din nyuppsatta DNS-server inte ha någonting med master och slavar att göra, för du behöver inte zonfilen där.

Testa med denna simpla bind-konfiguration. Jag är trött och kan ha gjort någonting galet (rätta mig gärna) och har dessvärre inte möjlighet att pröva konfigurationen, men den bör fungera. Vad den gör är att den tillåter alla på nätet 10.205.10.0/24 (korrigera om det är felaktigt) att använda dig som resolver. Gör vi inte detta och tillåter alla så kan elaka människor ute på internet nyttja dig att göra dumheter med (DDoS-attacker) - du blir en så kallad "öppen resolver". Så, klienterna har helt enkelt dig konfigurerad som sin DNS-server, och nyttjar dig för att slå upp domäner ute på internet. Försöker du slå upp en adress i zonen domain.local så kommer förfrågningen istället skickas vidare till din företags-DNS.

options {
        directory "/var/cache/bind";
        version "bind";

        allow-transfer { none; };
        allow-recursion { 10.205.10.0/24; };
};

zone "." {
        type hint;
        file "/etc/bind/db.root";
};

zone "domain.local" {
        type forward;
        forwarders { 10.20.1.22; 10.16.32.8; };
};

Vill du skicka vidare DNS-förfrågningar ("ut mot internet") till andra namnservrar istället för att slå upp dem själv så bör du kunna göra på detta vis:

options {
        directory "/var/cache/bind";
        version "bind";
        forwarders { 8.8.8.8; 8.8.4.4; };
        forward only;
        allow-transfer { none; };
        allow-recursion { 10.205.10.0/24; };
};

zone "domain.local" {
        type forward;
        forwarders { 10.20.1.22; 10.16.32.8; };
};

Båda konfigurationer cachar uppslagen för snabbare svarstider

EDIT: Glömde type forward; i zone-blocket.