Enges Daags war ech mat der Aufgab konfrontéiert engem vu menge Clienten d'Recht ze ginn PTR records vum /28 Subnet him zougewisen z'änneren. Ech hu keng Automatisatioun fir BIND Astellunge vu baussen z'änneren. Dofir hunn ech beschloss eng aner Streck ze huelen - dem Client e Stéck vun der PTR Zone vum /24 Subnet ze delegéieren.
Et géif schéngen - wat kéint méi einfach sinn? Mir registréieren einfach de Subnet wéi néideg a riichten et op déi gewënscht NS, sou wéi et mat engem Subdomain gemaach gëtt. Awer nee. Et ass net sou einfach (och wann et an der Realitéit allgemeng primitiv ass, awer d'Intuition hëlleft net), dofir schreiwen ech dësen Artikel.
Jiddereen deen et selwer erausfannen wëll, ka liesen
Wien eng fäerdeg Léisung wëll, wëllkomm bei der Kaz.
Fir déi, déi d'Copy-Paste Method gär hunn, net ze verzögeren, posten ech als éischt de prakteschen Deel, an dann den theoreteschen Deel.
1. Praxis. Delegéiert Zone /28
Loosst eis soen datt mir e Subnet hunn 7.8.9.0/24. Mir mussen de Subnet delegéieren 7.8.9.240/28 an dns Client 7.8.7.8 (ns1.client.Domain).
Op der DNS vum Provider musst Dir e Fichier fannen deen déi ëmgedréint Zone vun dësem Subnet beschreift. Looss et sinn 9.8.7.in-addr.harp.
Mir kommentéieren op Entréen aus 240 ze 255, wann et sinn. An um Enn vun der Datei schreiwen mir déi folgend:
255-240 IN NS 7.8.7.8
$GENERATE 240-255 $ CNAME $.255-240vergiesst net d'Serien Zone ze vergréisseren an ze maachen
rndc reloadDëst fäerdeg de Provider Deel. Loosst eis op de Client dns weidergoen.
Als éischt, loosst eis eng Datei erstellen /etc/bind/master/255-240.9.8.7.in-addr.arpa folgenden Inhalt:
$ORIGIN 255-240.9.8.7.in-addr.arpa.
$TTL 1W
@ 1D IN SOA ns1.client.domain. root.client.domain. (
2008152607 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
@ IN NS ns1.client.domain.
@ IN NS ns2.client.domain.
241 IN PTR test.client.domain.
242 IN PTR test2.client.domain.
245 IN PTR test5.client.domain.
An a benannt.conf eng Beschreiwung vun eisem neie Fichier derbäi:
zone "255-240.9.8.7.in-addr.arpa." IN {
type master;
file "master/255-240.9.8.7.in-addr.arpa";
};B Restart de Bindprozess.
/etc/init.d/named restartAll. Elo kënnt Dir kontrolléieren.
#> host 7.8.9.245
245.9.8.7.in-addr.arpa is an alias for 245.255-240.9.8.7.in-addr.arpa.
245.255-240.9.8.7.in-addr.arpa domain name pointer test5.client.domain.Notéiert w.e.g. datt net nëmmen de PTR-Rekord gëtt, awer och den CNAME. Esou soll et sinn. Wann Dir Iech frot firwat, da wëllkomm op dat nächst Kapitel.
2. Theorie. Wéi et funktionnéiert.
Et ass schwéier eng schwaarz Këscht ze konfiguréieren an ze debuggen. Et ass vill méi einfach wann Dir verstitt wat dobannen lass ass.
Wa mir en Ënnerdomain an engem Domain delegéieren Domän, da schreiwen mer esou eppes:
client.domain. NS ns1.client.domain.
ns1.client.domain. A 7.8.7.8Mir soen jidderengem dee freet datt mir net verantwortlech sinn fir dëse Site a soen wien responsabel ass. An all Demanden fir client.Domain Viruleedung op 7.8.7.8. Wann Dir iwwerpréift, gesi mir déi folgend Bild (mir wäerten ausgoen wat de Client do huet. Et ass egal):
# host test.client.domain
test.client.domain has address 7.8.9.241Déi. mir goufen informéiert datt et esou en A Rekord gëtt a seng IP ass 7.8.9.241. Keng onnéideg Informatioun.
Wéi kann datselwecht mat engem Subnet gemaach ginn?
Well eisen DNS Server ass a RIPE registréiert, dann wann Dir eng PTR IP Adress vun eisem Netz ufrot, ass déi éischt Ufro nach ëmmer un eis. D'Logik ass d'selwecht wéi mat Domainen. Awer wéi gitt Dir en Subnet an eng Zonedatei?
Loosst eis probéieren et esou anzeginn:
255-240 IN NS 7.8.7.8An ... d'Wonner ass net geschitt. Mir kréien keng Ufro Viruleedung. D'Saach ass datt Bind net emol weess datt dës Entréen an der ëmgedréint Zonedatei IP Adressen sinn, an nach méi versteet net d'Bereicheentrée. Fir hien ass dëst just eng Aart vu symbolesche Subdomain. Déi. fir Bindung gëtt et keen Ënnerscheed tëscht "255-240"An"eise Superclient". A fir d'Ufro ze goen wou se muss goen, soll d'Adress an der Ufro esou ausgesinn: 241.255-240.9.8.7.in-addr.arpa. Oder wéi dëst wa mir e Charakter Subdomain benotzen: 241.oursuperclient.9.8.7.in-addr.arpa. Dëst ass anescht wéi déi üblech: 241.9.8.7.in-addr.harp.
Et wäert schwéier sinn esou eng Demande manuell ze maachen. An och wann et funktionnéiert, ass et nach ëmmer onkloer wéi et am richtege Liewen applizéiert gëtt. No all, op Ufro 7.8.9.241 Dem Provider seng DNS äntwert eis nach ëmmer, net dem Client.
An dat ass wou se an d'Spill kommen CNAME.
Op der Säit vum Provider musst Dir en Alias fir all IP Adressen vum Subnet an engem Format maachen, deen d'Ufro un de Client DNS weiderginn.
255-240 IN NS ns1.client.domain.
241 IN CNAME 241.255-240
242 IN CNAME 242.255-240
и т.д.
Dëst ass fir déi ustrengend =).
A fir déi faul ass den Design hei ënnen méi gëeegent:
255-240 IN NS ns1.client.domain.
$GENERATE 240-255 $ CNAME $.255-240Elo Ufro Informatiounen um 7.8.9.241 aus 241.9.8.7.in-addr.harp op den DNS-Server vum Provider wäert ëmgewandelt ginn 241.255-240.9.8.7.in-addr.arpa a geet op dns Client.
D'Clientsäit muss esou Ufroe behandelen. Deementspriechend kreéiere mir eng Zone 255-240.9.8.7.in-addr.arpa. An et kënne mir am Prinzip ëmgedréint Entréen fir all IP vun der ganzer /24 subnet Plaz, mä si wäerten eis nëmmen iwwer déi froen, datt de Provider un eis weidergeleet, also mir wäerten net fäheg sinn ronderëm ze spillen =).
Fir ze illustréieren, ginn ech nach eng Kéier e Beispill vum Inhalt vun enger ëmgedréint Zone Datei vun der Client Säit:
$ORIGIN 255-240.9.8.7.in-addr.arpa.
$TTL 1W
@ 1D IN SOA ns1.client.domain. root.client.domain. (
2008152607 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
@ IN NS ns1.client.domain.
@ IN NS ns2.client.domain.
241 IN PTR test.client.domain.
242 IN PTR test2.client.domain.
245 IN PTR test5.client.domain.
Et ass well mir CNAME op der Säit vum Provider benotzen, an als Äntwert op eng Ufro fir Daten duerch IP Adress kréien mir zwee records, net een.
#> host 7.8.9.245
245.9.8.7.in-addr.arpa is an alias for 245.255-240.9.8.7.in-addr.arpa.
245.255-240.9.8.7.in-addr.arpa domain name pointer test5.client.domain.
An vergiesst net den ACL richteg ze konfiguréieren. Well et kee Sënn mécht eng PTR Zone fir Iech selwer ze huelen an net op iergendeen vu baussen ze reagéieren =).
Source: will.com