🥇האצלה של אזור רשת המשנה הפוכה פחות מ-/24 ב-BIND. איך זה עובד

יום אחד עמדתי בפני המשימה לתת לאחד מלקוחותיי את הזכות לערוך רשומות PTR של רשת המשנה /28 שהוקצתה לו. אין לי אוטומציה לעריכת הגדרות BIND מבחוץ. לכן, החלטתי לקחת מסלול אחר - להאציל ללקוח חלק מאזור ה-PTR של רשת המשנה /24.

נראה - מה יכול להיות יותר פשוט? אנו פשוט רושמים את הרשת המשנה כנדרש ומפנים אותה ל-NS הרצוי, כפי שנעשה עם תת-דומיין. אבל לא. זה לא כל כך פשוט (למרות שבמציאות זה בכלל פרימיטיבי, אבל אינטואיציה לא תעזור), זו הסיבה שאני כותב את המאמר הזה.

מי שרוצה להבין בעצמו יכול לקרוא RFC
מי שרוצה פתרון מוכן, ברוך הבא לחתול.

כדי לא לעכב את מי שאוהב את שיטת העתק-הדבק, אפרסם קודם את החלק המעשי ולאחר מכן את החלק העיוני.

1. תרגול. אזור האצלה /28

נניח שיש לנו תת-רשת 7.8.9.0/24. אנחנו צריכים להאציל את רשת המשנה 7.8.9.240/28 ללקוח dns 7.8.7.8 (ns1.client.domain).

ב-DNS של הספק אתה צריך למצוא קובץ שמתאר את האזור ההפוך של רשת המשנה הזו. תן לזה להיות 9.8.7.in-addr.harp.
אנו מגיבים לערכים מ-240 עד 255, אם יש כאלה. ובסוף הקובץ נכתוב את הדברים הבאים:

255-240  IN  NS      7.8.7.8
$GENERATE 240-255 $ CNAME $.255-240

אל תשכח להגדיל את האזור הסדרתי ולעשות

rndc reload

זה משלים את חלק הספק. בואו נעבור ל-dns של הלקוח.

ראשית, בואו ניצור קובץ /etc/bind/master/255-240.9.8.7.in-addr.arpa התוכן הבא:

$ORIGIN 255-240.9.8.7.in-addr.arpa.
$TTL 1W
@                       1D IN SOA       ns1.client.domain. root.client.domain. (
                        2008152607      ; serial
                        3H              ; refresh
                        15M             ; retry
                        1W              ; expiry
                        1D )            ; minimum
@                       IN NS        ns1.client.domain.
@                       IN NS        ns2.client.domain.
241                     IN PTR          test.client.domain.
242                     IN PTR          test2.client.domain.
245                     IN PTR          test5.client.domain.

ובפנים בשם.קונף הוסף תיאור של הקובץ החדש שלנו:

zone "255-240.9.8.7.in-addr.arpa." IN {
        type master;
        file "master/255-240.9.8.7.in-addr.arpa";
};

B הפעל מחדש את תהליך הקישור.

/etc/init.d/named restart

את כל. עכשיו אתה יכול לבדוק.

#>  host 7.8.9.245 
245.9.8.7.in-addr.arpa is an alias for 245.255-240.9.8.7.in-addr.arpa.
245.255-240.9.8.7.in-addr.arpa domain name pointer test5.client.domain.

שימו לב שלא רק רשומת ה-PTR ניתנת, אלא גם ה-CNAME. ככה זה צריך להיות. אם אתה תוהה למה, אז ברוך הבא לפרק הבא.

2. תיאוריה. איך זה עובד.

קשה להגדיר ולנקות באגים בקופסה שחורה. זה הרבה יותר קל אם אתה מבין מה קורה בפנים.

כאשר אנו מאצילים תת-דומיין בדומיין תחום, אז נכתוב משהו כזה:

client.domain.	NS	ns1.client.domain.
ns1.client.domain.	A	7.8.7.8

אנחנו אומרים לכל מי ששואל שאנחנו לא אחראים לאתר הזה ואומרים מי אחראי. וכל הבקשות ל client.domain הפנה מחדש ל-7.8.7.8. בעת הבדיקה, אנו רואים את התמונה הבאה (נשמיט את מה שיש ללקוח שם. זה לא משנה):

# host test.client.domain
test.client.domain has address 7.8.9.241

הָהֵן. התבשרנו שיש רשומת A כזו וה-IP שלה הוא 7.8.9.241. אין מידע מיותר.

איך אפשר לעשות את אותו הדבר עם רשת משנה?

כי שרת ה-DNS שלנו רשום ב-RIPE, ואז כאשר מבקשים כתובת IP של PTR מהרשת שלנו, הבקשה הראשונה עדיין תהיה אלינו. ההיגיון זהה לזה של דומיינים. אבל איך מכניסים תת-רשת לקובץ אזור?

בואו ננסה להזין אותו כך:

255-240  IN  NS      7.8.7.8

ו... הנס לא קרה. אנחנו לא מקבלים הפניה מחדש של בקשה. העניין הוא ש-bind אפילו לא יודע שהערכים האלה בקובץ ה-reverse zone הם כתובות IP, ויותר מכך לא מבין את ערך הטווח. מבחינתו, זה רק סוג של תת-דומיין סמלי. הָהֵן. עבור איגד לא יהיה הבדל בין "255-240"ו"לקוח-העל שלנו". וכדי שהבקשה תגיע לאן שהיא צריכה להגיע, הכתובת בבקשה צריכה להיראות כך: 241.255-240.9.8.7.in-addr.arpa. או כך אם אנו משתמשים בתת-דומיין של תווים: 241.oursuperclient.9.8.7.in-addr.arpa. זה שונה מהרגיל: 241.9.8.7.in-addr.harp.

יהיה קשה להגיש בקשה כזו באופן ידני. וגם אם זה עובד, עדיין לא ברור איך ליישם את זה בחיים האמיתיים. אחרי הכל, לפי בקשה 7.8.9.241 ה-DNS של הספק עדיין עונה לנו, לא של הלקוח.

וכאן הם נכנסים לתמונה CNAME.

בצד של הספק, אתה צריך לעשות כינוי לכל כתובות ה-IP של רשת המשנה בפורמט שיעביר את הבקשה ל-DNS של הלקוח.

255-240  IN  NS      ns1.client.domain.
241     IN  CNAME   241.255-240
242     IN  CNAME   242.255-240
и т.д.

זה לחרוצים =).

ולעצלן, העיצוב למטה מתאים יותר:

255-240  IN  NS      ns1.client.domain.
$GENERATE 240-255 $ CNAME $.255-240

כעת בקש מידע ב 7.8.9.241 של 241.9.8.7.in-addr.harp בשרת ה-DNS של הספק יומר ל 241.255-240.9.8.7.in-addr.arpa והולך ללקוח dns.

צד הלקוח יצטרך לטפל בבקשות כאלה. בהתאם לכך, אנו יוצרים אזור 255-240.9.8.7.in-addr.arpa. בו, באופן עקרוני, אנו יכולים להציב ערכים הפוכים עבור כל ip של כל המשנה /24, אבל הם ישאלו אותנו רק על אלו שהספק מעביר אלינו, אז לא נוכל לשחק =).
לשם המחשה, אתן שוב דוגמה לתוכן של קובץ אזור הפוך מצד הלקוח:

$ORIGIN 255-240.9.8.7.in-addr.arpa.
$TTL 1W
@                       1D IN SOA       ns1.client.domain. root.client.domain. (
                        2008152607      ; serial
                        3H              ; refresh
                        15M             ; retry
                        1W              ; expiry
                        1D )            ; minimum
@                       IN NS        ns1.client.domain.
@                       IN NS        ns2.client.domain.
241                     IN PTR          test.client.domain.
242                     IN PTR          test2.client.domain.
245                     IN PTR          test5.client.domain.

זה בגלל שאנחנו משתמשים ב-CNAME בצד של הספק, ובתגובה לבקשת נתונים לפי כתובת IP אנחנו מקבלים שתי רשומות, לא אחת.

#>  host 7.8.9.245 
245.9.8.7.in-addr.arpa is an alias for 245.255-240.9.8.7.in-addr.arpa.
245.255-240.9.8.7.in-addr.arpa domain name pointer test5.client.domain.

ואל תשכח להגדיר את ה-ACL בצורה נכונה. כי זה לא הגיוני לקחת לעצמך אזור PTR ולא להגיב לאף אחד מבחוץ =).

מקור: www.habr.com

הפוך האצלת אזור לרשתות משנה פחות מ-/24 ב-BIND. איך זה עובד

הוספת תגובה ביטול תגובה