forum.lissyara.su

Здравствуйте, уважаемые!

Помогите разобраться с логикой.

Есть шлюз на FreeBSD 6.4. На нём NAT, pf и DNS. DNS отвечает за смотрящие в инет зоны, соответственно отвечая на вопросы внешним клиентам. За шлюзом спрятана локалка.

Задача: пересобрать шлюз с наименьшими потерями (в том числе и психическими). Решил начать с ДНСа и перенести его ЗА pf, настроив соответствующее перенаправление портов с 53го на шлюзе и на 53ий на ДНС, который будет спрятан за шлюзом. Машинка, куда переношу ДНС - FreeBSD 9.0, вся установка из портов в том числе и последняя лежащая там версия BIND/

Удаленное управление по 953 порту отключено и ДНС управляется только с 127.0.0.1 через RNDC.

Вопрос мой касается этого:
А это относится к ситуации, когда ДНС не является авторитетным для какой-либо и перенаправляет запрос, например, корневым ДНСам. Т.е. произвольный порт при запросах от моего ДНСа - как это хозяйство уживется за файрволом?

До этого настраивал только почту в различнейших вариациях, а с настройкой (или перенастройкой) NAT, pf, DNS столкнулся впервые, поэтому прошу сильно не пинать, если вопрос глупый.

И второй вопрос: вдохновленный BIND 9 Administrator Reference Manual и книгой DNS и BIND (Крикет Ли и Пол Альбитц) хочу, для пущей безопасности, настроить TSIG.
Вторичные ДНСы распогаются в nic.ru - кто-нибудь знает, возможно ли это сделать с ними или TSIG реально использовать, только если вторичные ДНСы принадлежат тебе?

По первому вопросу - речь идет о том, что ДНС сервер работающий в режиме кеша (рекурсивный) отсылает запросы к другим серверам используя для установления соединения разные номера КЛИЕНТСКИХ портов (то есть портов у себя). И соответственно для каждого запроса ждет ответ только на этом порту. Ничего специально настраивать не надо - если у вас на шлюзе НАТ и нет каких-либо ограничений на количество TCP/UDP сессий для одного IP, то все будет работать.

По второму вопросу не компетентен. По идее, если у вас есть доступ к веб админке nic.ru то вы можете полазить там и посмотреть есть ли возможность где-то забить TSIG ключи.

терминус_ писал(а):По первому вопросу - речь идет о том, что ДНС сервер работающий в режиме кеша (рекурсивный) отсылает запросы к другим серверам используя для установления соединения разные номера КЛИЕНТСКИХ портов (то есть портов у себя). И соответственно для каждого запроса ждет ответ только на этом порту. Ничего специально настраивать не надо - если у вас на шлюзе НАТ и нет каких-либо ограничений на количество TCP/UDP сессий для одного IP, то все будет работать.

Ну он не fowrarders only. За свои зоны отвечает сам, остальные запросы пересылает ответственным ДНСам. Но мысль Вашу я понял, спасибо! Тоже так думал, просто хотел услышать мнение кого-нибудь еще.

По второму вопросу не компетентен. По идее, если у вас есть доступ к веб админке nic.ru то вы можете полазить там и посмотреть есть ли возможность где-то забить TSIG ключи.[/quote]

Доступ есть, полазал. Не нашел такого... Думаю спрашивать у тех. поддержки. Просто к вопросу о ДНС решил и этот прилепить

хмм... зачем пересылать запросы? его потом любить долго будут, для заросов есть 8.8.8.8 транжирить электроэнергию - не гуманно.

ADRE писал(а):хмм... зачем пересылать запросы? его потом любить долго будут, для заросов есть 8.8.8.8 транжирить электроэнергию - не гуманно.

Не понял.

Пересылаю запросы, если они не касаются моего домена. По своему домену я отвечаю только заранее определенным сеткам (например, локалка) и своим вторичным ДНСам. С трансфером то же самое. Переслать запрос ближайшему ДНС быстрее, чем ползти к корневому ДНС и потом еще кешировать информацию - нагрузки на мой ДНС в итоге будет низкой.

угу

Единственное, чего я опасаюсь в этой ситуации, так это недоступности моего ДНС клиентам, которые хотят получить от него ответ.

Предположим, некая зона example.net обслуживается 3 серверами:

- ns1.example.net (первичный)
- ns2.nic.ru (вторичный)
- ns3.nic.ru (вторичный)

Т.е. за первичным ДНСом следим сами, вторичные держим в nic.ru.

Ок, мой ДНС разрешает обработку запросов только со вторичных ДНСам nic.ru и клиентам из своих сетей - например 192.168.0.0/24.

Хорошо. Теперь представим ситуацию, что сотрудник компании оказался в Китае. Ему надо отправить почту и он пытается это сделать. Посылает запрос на поиск нашего почтового сервера, чтобы дальше почту отрелеить.

Он может обратиться к ДНСам nic.ru, а может и к моему, так ведь?

Но, мой ДНС обрабатывает запросы только своих сетей - не будет ли тут граблей?

Очень хочется по-максимуму контролировать работу ДНС. Да и вообще всего софта, но сейчас речь идёт конкретно о bind.

Сам спросил, сам отвечу

Запрещу только рекурсивные запросы, а по своей зоне буду отвечать всем.

не проще ли отвечать только своей сети?

ADRE писал(а):не проще ли отвечать только своей сети?

Да, но как будет работать в описанной мной ситуации?