🥇BIND에서 /24 미만의 역방향 서브넷 영역을 위임합니다. 작동 원리

어느 날 나는 내 고객 중 한 명에게 그에게 할당된 /28 서브넷의 PTR 레코드를 편집할 수 있는 권한을 부여해야 하는 작업에 직면했습니다. 외부에서 BIND 설정을 편집하는 자동화 기능이 없습니다. 따라서 나는 /24 서브넷의 PTR 영역 일부를 클라이언트에 위임하기 위해 다른 경로를 선택하기로 결정했습니다.

그것은 보일 것입니다 - 무엇이 더 간단할까요? 하위 도메인에서와 마찬가지로 필요에 따라 서브넷을 등록하고 이를 원하는 NS로 지정하기만 하면 됩니다. 하지만. 그렇게 간단하지는 않지만(실제로는 일반적으로 원시적이지만 직관은 도움이 되지 않습니다), 이것이 바로 제가 이 글을 쓰는 이유입니다.

스스로 이해하고 싶은 사람은 누구나 읽을 수 있습니다. RFC
기성 솔루션을 원하는 분은 고양이에 오신 것을 환영합니다.

복사붙여넣기 방식을 좋아하시는 분들이 지체하지 않도록 실무적인 부분을 먼저 올리고 이론적인 부분을 이어서 올리겠습니다.

1. 연습하세요. 위임 구역 /28

서브넷이 있다고 가정해 보겠습니다. 7.8.9.0/24. 서브넷을 위임해야 합니다. 7.8.9.240/28 DNS 클라이언트에 7.8.7.8 (ns1.클라이언트.도메인).

공급자의 DNS에서 이 서브넷의 역방향 영역을 설명하는 파일을 찾아야 합니다. 순리에 맡기다 9.8.7.in-addr.harp.
240에서 255까지의 항목이 있으면 이에 대해 설명합니다. 그리고 파일 끝에 다음을 작성합니다.

255-240  IN  NS      7.8.7.8
$GENERATE 240-255 $ CNAME $.255-240

직렬 영역을 늘리는 것을 잊지 말고

rndc reload

이로써 공급자 부분이 완료되었습니다. 클라이언트 DNS로 넘어 갑시다.

먼저 파일을 만들어보자 /etc/bind/master/255-240.9.8.7.in-addr.arpa 다음 내용 :

$ORIGIN 255-240.9.8.7.in-addr.arpa.
$TTL 1W
@                       1D IN SOA       ns1.client.domain. root.client.domain. (
                        2008152607      ; serial
                        3H              ; refresh
                        15M             ; retry
                        1W              ; expiry
                        1D )            ; minimum
@                       IN NS        ns1.client.domain.
@                       IN NS        ns2.client.domain.
241                     IN PTR          test.client.domain.
242                     IN PTR          test2.client.domain.
245                     IN PTR          test5.client.domain.

그리고 명명된.conf 새 파일에 대한 설명을 추가합니다.

zone "255-240.9.8.7.in-addr.arpa." IN {
        type master;
        file "master/255-240.9.8.7.in-addr.arpa";
};

B 바인딩 프로세스를 다시 시작합니다.

/etc/init.d/named restart

모두. 이제 확인할 수 있습니다.

#>  host 7.8.9.245 
245.9.8.7.in-addr.arpa is an alias for 245.255-240.9.8.7.in-addr.arpa.
245.255-240.9.8.7.in-addr.arpa domain name pointer test5.client.domain.

PTR 레코드뿐만 아니라 CNAME도 제공된다는 점에 유의하세요. 그렇게되어야합니다. 이유가 궁금하다면 다음 장으로 넘어가세요.

2. 이론. 작동 방식.

블랙박스를 구성하고 디버깅하는 것은 어렵습니다. 내부에서 무슨 일이 일어나고 있는지 이해하면 훨씬 쉽습니다.

도메인의 하위 도메인을 위임하는 경우 도메인, 다음과 같이 작성합니다.

client.domain.	NS	ns1.client.domain.
ns1.client.domain.	A	7.8.7.8

우리는 이 사이트에 대한 책임이 없다고 요청하는 모든 사람에게 말하고 책임이 누구에게 있는지 말합니다. 그리고 모든 요청은 클라이언트.도메인 7.8.7.8로 리디렉션됩니다. 확인하면 다음 그림이 표시됩니다(클라이언트가 가지고 있는 내용은 생략하겠습니다. 상관없습니다).

# host test.client.domain
test.client.domain has address 7.8.9.241

저것들. 우리는 그러한 A 레코드가 있고 해당 IP가 7.8.9.241이라는 정보를 받았습니다. 불필요한 정보는 없습니다.

서브넷으로 동일한 작업을 어떻게 수행할 수 있습니까?

왜냐하면 DNS 서버가 RIPE에 등록되어 있으면 네트워크에서 PTR IP 주소를 요청할 때 첫 번째 요청은 여전히 우리에게 있습니다. 논리는 도메인과 동일합니다. 하지만 영역 파일에 서브넷을 어떻게 입력합니까?

다음과 같이 입력해 보겠습니다.

255-240  IN  NS      7.8.7.8

그리고... 기적은 일어나지 않았습니다. 리디렉션 요청이 수신되지 않습니다. 문제는 바인드가 역방향 영역 파일의 이러한 항목이 IP 주소라는 사실조차 모르고 범위 항목을 이해하지 못한다는 것입니다. 그에게 이것은 일종의 상징적 하위 도메인일 뿐입니다. 저것들. 바인드의 경우 "255-240"그리고"우리슈퍼클라이언트". 요청이 필요한 곳으로 이동하려면 요청의 주소가 다음과 같아야 합니다. 241.255-240.9.8.7.in-addr.arpa. 또는 문자 하위 도메인을 사용하는 경우 다음과 같습니다. 241.oursuperclient.9.8.7.in-addr.arpa. 이는 평소와 다릅니다. 241.9.8.7.in-addr.harp.

이러한 요청을 수동으로 수행하는 것은 어렵습니다. 그리고 효과가 있다고 해도 실생활에 어떻게 적용할지는 아직 불분명합니다. 결국 요청에 따라 7.8.9.241 공급자의 DNS는 여전히 클라이언트가 아닌 우리에게 응답합니다.

그리고 이것이 그들이 활동하는 곳입니다 CNAME.

공급자 측에서는 요청을 클라이언트 DNS에 전달할 형식으로 서브넷의 모든 IP 주소에 대한 별칭을 만들어야 합니다.

255-240  IN  NS      ns1.client.domain.
241     IN  CNAME   241.255-240
242     IN  CNAME   242.255-240
и т.д.

이것은 열심히 일하는 사람들을 위한 것입니다 =).

게으른 사람에게는 아래 디자인이 더 적합합니다.

255-240  IN  NS      ns1.client.domain.
$GENERATE 240-255 $ CNAME $.255-240

이제 다음에서 정보를 요청하세요. 7.8.9.241 으로 241.9.8.7.in-addr.harp 공급자의 DNS 서버에서 다음으로 변환됩니다. 241.255-240.9.8.7.in-addr.arpa DNS 클라이언트로 이동합니다.

클라이언트 측은 이러한 요청을 처리해야 합니다. 따라서 우리는 영역을 만듭니다 255-240.9.8.7.in-addr.arpa. 여기서는 원칙적으로 전체 /24 서브넷의 모든 IP에 대해 역방향 항목을 배치할 수 있지만 공급자가 우리에게 전달하는 항목에 대해서만 묻기 때문에 우리는 놀 수 없습니다 =).
설명을 위해 클라이언트 측의 역방향 영역 파일 내용에 대한 예를 다시 한 번 보여 드리겠습니다.

$ORIGIN 255-240.9.8.7.in-addr.arpa.
$TTL 1W
@                       1D IN SOA       ns1.client.domain. root.client.domain. (
                        2008152607      ; serial
                        3H              ; refresh
                        15M             ; retry
                        1W              ; expiry
                        1D )            ; minimum
@                       IN NS        ns1.client.domain.
@                       IN NS        ns2.client.domain.
241                     IN PTR          test.client.domain.
242                     IN PTR          test2.client.domain.
245                     IN PTR          test5.client.domain.

공급자 측에서 CNAME을 사용하고 IP 주소로 데이터 요청에 대한 응답으로 하나가 아닌 두 개의 레코드를 받기 때문입니다.

#>  host 7.8.9.245 
245.9.8.7.in-addr.arpa is an alias for 245.255-240.9.8.7.in-addr.arpa.
245.255-240.9.8.7.in-addr.arpa domain name pointer test5.client.domain.

그리고 ACL을 올바르게 구성하는 것을 잊지 마십시오. 자신을 위해 PTR 영역을 차지하고 외부의 누구에게도 응답하지 않는 것은 의미가 없기 때문입니다 =).

출처 : habr.com

BIND에서 /24 미만의 서브넷에 대한 역방향 영역 위임. 작동 원리

코멘트를 추가 답장을 취소