вопрос чисто по nix - про bind9.

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

вопрос чисто по nix - про bind9.

Сообщение skoltogyan » 20 окт 2022, 18:19

есть некоторый linux ( думаю не сильно важно какой).
на нем bind9.
он мастер для зон:
test.org
test1.org
( это все чисто внутри, чисто в 192.168.44.0/24 )
для определености - ip адрес этого сервера с DNS-ом 192.168.44.1

есть в той-же сети некоторое устройство(192.168.44.24), которое делает запросы ( про A-record)
к 192.168.44.1.
в этих запросах не указывается домен.
чисто так(например):
Код: Выделить всё
TESTHOST: type A, class IN
Nmae: TESTHOST
Type: A (Host Address)
Class: IN (0x0001) 


Вопрос - как-то можно настроить этот bind(192.168.44.1), что-бы прошерстил существующие у него зоны и выдал из первой попашейся, в которой есть A-record с TESTHOST, в качестве ответа ?
skoltogyan
 
Сообщения: 2014
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: вопрос чисто по nix - про bind9.

Сообщение Павел Гарбар » 21 окт 2022, 10:16

Ну не то, чтобы прям отвечу на конкретный вопрос по bind'у, а по теории ему этого делать не положено.
Потому как DNS-сервер отвечает на запросы к полному доменному имени, а вот сформировать его должен клиент. Для этого на клиенте и пишутся в свойствах IP всякие domain и search domain, которые они должны добавлять сами к короткому имени при формировании запроса.
То, что ты спрашиваешь, умеет делать DNS сервер в Windows 2008 для ответов на NETBIOS запросы, чтобы не ставить еще и WINS-сервер. Называется это GlobalNames Zone.
To help customers migrate to DNS for all name resolution, the DNS Server role in Windows Server 2008 supports a special GlobalNames Zone (GNZ) feature. GNZ is designed to enable the resolution of these single-label, static, global names for servers using DNS.
Павел Гарбар
 
Сообщения: 707
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Санкт-Петербург

Re: вопрос чисто по nix - про bind9.

Сообщение URRY » 21 окт 2022, 10:24

Все правильно , в настройках TCP/IP клиента во вкладке ДНС , ставите галку Дописывать существующие ДНС суффиксы и указываете там test.org и test1.org
Это если мы говорим про виндового клиента.
URRY
 
Сообщения: 202
Зарегистрирован: 13 май 2012, 22:40

Re: вопрос чисто по nix - про bind9.

Сообщение URRY » 21 окт 2022, 11:37

Добавлю , данный параметр хранится в реесте HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/Tcpip/Parameters/SearchList
URRY
 
Сообщения: 202
Зарегистрирован: 13 май 2012, 22:40

Re: вопрос чисто по nix - про bind9.

Сообщение skoltogyan » 21 окт 2022, 14:02

про "делать не положено" и настройке на клиенте - с этим не поспоришь, а только согласиться.

вопрос именно в том, а как сделать, если на клиенте ничего не менять
skoltogyan
 
Сообщения: 2014
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: вопрос чисто по nix - про bind9.

Сообщение Dimerson » 22 окт 2022, 06:59

Пишут что в запросе поле QNAME всегда содержит FDN.
Иначе как обрабатывать такие валидные DNS записи ?
*.domain. 60 IN A 192.168.1.1
Аватара пользователя
Dimerson
 
Сообщения: 2908
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: вопрос чисто по nix - про bind9.

Сообщение skoltogyan » 22 окт 2022, 14:06

Нашел.
В моем случае нужнобыло что-бы нашел какой IP для а запроса, например: "testareq" , в котором не указн домен поиска. без внесения изменения на стороне клиента, который так запрос шлет. ( да так клиенту делать не следует.. и все-же. он так делает и там изменить нельзя)
Сделаk так:
на linux, на котором bind9-ый установлен(192.168.143.1) сделал так:

vi /etc/named.conf
и добавил:
// ------------------------------------------
acl mytestacl {
// это acl - список IP, запросы от которых так хитро обрабатывать
// в dnc сервере
192.168.143.111/32; 192.168.143.116/32; 10.0.17.13/32;
};

// использую вьювер
view "mytestview" {
// условие применениия вьювера
// вьювер именно этот применятся для поиска ответов
// если запросы к DNS серверу идут от IP адресов
// входящих в acl "mytestacl"
match-clients { mytestacl; };
// делаю свю частную PRZ (PriverRootZone)
// файл root8765.zone распологаю там-же, где и остальные файлы зон этого сервера dns
zone "." in {
type master;
file "root8765.zone";
};
};

//------------------------------------
вот пример содержимого
/var/named/root8765.zone
//------------------------------------
@ 1D IN SOA localhost. root.localhost. (
20221022130500 ; serial (yyyymmdd##)
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum ttl

1D IN NS localhost.

localhost. 1D IN A 127.0.0.1
tratata432 1D IN A 192.168.143.110
//------------------------------------

что получилось: когда от клиента-хоста 192.168.143.111 прийдет на 192.168.143.1 А-запрос, в котором будет только
tratata432
то named увидит, что это от 192.168/143.111 и для обработки запустит вьювер, что выше привел.
в этом вьювере, уrазано, что рут зона - это в моем локальном файле. из него будет прочитано нужное разрешение и возвращено клиенту.

+

вьювер с моейPrivet Root zone расположить выше вьювера, в котором все остальное в отдельном вьювере. Внутри вьювера - как обычно.
Когда используешь вьюверы, то все зоны должны находитится во вьверах !
Таким образом, выше по файлу делаю:
acl mytestacl {
192.168.143.111/32; 192.168.143.116/32; 10.0.17.13/32;
};
view "mytestview" {
match-clients { mytestacl; };
zone "." in {
type master;
file "root8765.zone";
};
};

и после него в файле ( тут уже не создаю своего acl, а использую "any" )
view "dall" {
match-clients { any; };

zone "." IN {
type hint;
file "named.ca";
};
zone "myoffice.org" IN {
allow-transfer { 172.8.21.4; 192.168.121.8;};
also-notify { 172.8.21.4; 192.168.121.8; };
file "forward.myoffice.org";
}
....... прямые, обратные, все как обычно...

}; <--- Закрывающая скобка вьювера "dall"


Фуф. То, что мне было нужно(этот узкий кусочек) - решил так для себя.
skoltogyan
 
Сообщения: 2014
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: вопрос чисто по nix - про bind9.

Сообщение Dimerson » 24 окт 2022, 12:33

То есть вы для этих хостов подменяете честную root зону ? И она перестает для них работать ?
Аватара пользователя
Dimerson
 
Сообщения: 2908
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: вопрос чисто по nix - про bind9.

Сообщение skoltogyan » 24 окт 2022, 12:56

да.
для них большего ненадо.
это AcctssPoints и таким макаром они ищут wifi controller, котопый не в их подсети.
там какие-то траблы что-бы в них влезть были.
тоько так и порешалось, когда днс им ответил где именно контроллер, про который они у него спрашивали( чисто имя указуя)
skoltogyan
 
Сообщения: 2014
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк


Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron