KÄdu dienu es saskÄros ar uzdevumu dot vienam no saviem klientiem tiesÄ«bas rediÄ£Ät viÅam pieŔķirtÄ apakÅ”tÄ«kla /28 PTR ierakstus. Man nav automatizÄcijas BIND iestatÄ«jumu rediÄ£ÄÅ”anai no Ärpuses. TÄpÄc es nolÄmu izvÄlÄties citu ceļu - deleÄ£Ät klientam daļu no /24 apakÅ”tÄ«kla PTR zonas.
Å Ä·iet - kas var bÅ«t vienkÄrÅ”Äks? MÄs vienkÄrÅ”i reÄ£istrÄjam apakÅ”tÄ«klu pÄc vajadzÄ«bas un novirzÄm to uz vÄlamo NS, kÄ tas tiek darÄ«ts ar apakÅ”domÄnu. Bet nÄ. Tas nav tik vienkÄrÅ”i (lai gan patiesÄ«bÄ tas ir primitÄ«vi, bet intuÄ«cija nepalÄ«dzÄs), tÄpÄc es rakstu Å”o rakstu.
LasÄ«t var ikviens, kurÅ” vÄlas to izdomÄt pats
Kas vÄlas gatavu risinÄjumu, laipni lÅ«dzam cat.
Lai neaizkavÄtu tos, kuriem patÄ«k copy-paste metode, vispirms ievietoÅ”u praktisko, bet pÄc tam teorÄtisko daļu.
1. Prakse. DeleÄ£ÄÅ”anas zona /28
PieÅemsim, ka mums ir apakÅ”tÄ«kls 7.8.9.0/24. Mums ir jÄdeleÄ£Ä apakÅ”tÄ«kls 7.8.9.240/28 DNS klientam 7.8.7.8 (ns1.client.domain).
Pakalpojumu sniedzÄja DNS ir jÄatrod fails, kas apraksta Ŕī apakÅ”tÄ«kla reverso zonu. Lai notiek 9.8.7.in-addr.harp.
KomentÄjam ierakstus no 240 lÄ«dz 255, ja tÄdi ir. Un faila beigÄs mÄs rakstÄm sekojoÅ”o:
255-240 IN NS 7.8.7.8
$GENERATE 240-255 $ CNAME $.255-240
neaizmirstiet palielinÄt seriÄlo zonu un darÄ«t
rndc reload
Tas pabeidz pakalpojumu sniedzÄja daļu. PÄriesim pie klienta dns.
PirmkÄrt, izveidosim failu /etc/bind/master/255-240.9.8.7.in-addr.arpa Å”Ädu saturu:
$ORIGIN 255-240.9.8.7.in-addr.arpa.
$TTL 1W
@ 1D IN SOA ns1.client.domain. root.client.domain. (
2008152607 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
@ IN NS ns1.client.domain.
@ IN NS ns2.client.domain.
241 IN PTR test.client.domain.
242 IN PTR test2.client.domain.
245 IN PTR test5.client.domain.
Un iekÅ”Ä nosaukts.conf pievienojiet mÅ«su jaunÄ faila aprakstu:
zone "255-240.9.8.7.in-addr.arpa." IN {
type master;
file "master/255-240.9.8.7.in-addr.arpa";
};
B restartÄjiet saistÄ«Å”anas procesu.
/etc/init.d/named restart
Visi. Tagad jÅ«s varat pÄrbaudÄ«t.
#> host 7.8.9.245
245.9.8.7.in-addr.arpa is an alias for 245.255-240.9.8.7.in-addr.arpa.
245.255-240.9.8.7.in-addr.arpa domain name pointer test5.client.domain.
LÅ«dzu, Åemiet vÄrÄ, ka tiek norÄdÄ«ts ne tikai PTR ieraksts, bet arÄ« CNAME. TÄ tam ir jÄbÅ«t. Ja jums rodas jautÄjums, kÄpÄc, tad laipni lÅ«dzam nÄkamajÄ nodaļÄ.
2. Teorija. KÄ tas strÄdÄ.
Ir grÅ«ti konfigurÄt un atkļūdot melno kasti. Tas ir daudz vieglÄk, ja saproti, kas notiek iekÅ”Ä.
Kad mÄs deleÄ£Äjam apakÅ”domÄnu domÄnÄ domÄns, tad mÄs rakstÄm apmÄram Å”Ädi:
client.domain. NS ns1.client.domain.
ns1.client.domain. A 7.8.7.8
Katram, kurÅ” jautÄ, sakÄm, ka par Å”o jomu neatbildam un sakÄm, kurÅ” ir atbildÄ«gs. Un visi pieprasÄ«jumi par klients.domÄns novirzÄ«t uz 7.8.7.8. PÄrbaudot, mÄs redzam Å”Ädu attÄlu (izlaidÄ«sim, kas klientam tur ir. Tam nav nozÄ«mes):
# host test.client.domain
test.client.domain has address 7.8.9.241
Tie. mÅ«s informÄja, ka ir tÄds A ieraksts un tÄ ip ir 7.8.9.241. Nav nevajadzÄ«gas informÄcijas.
KÄ to paÅ”u var izdarÄ«t ar apakÅ”tÄ«klu?
Jo mÅ«su DNS serveris ir reÄ£istrÄts RIPE, tad, pieprasot PTR IP adresi no mÅ«su tÄ«kla, pirmais pieprasÄ«jums joprojÄm bÅ«s mums. LoÄ£ika ir tÄda pati kÄ ar domÄniem. Bet kÄ zonas failÄ ievadÄ«t apakÅ”tÄ«klu?
MÄÄ£inÄsim to ievadÄ«t Å”Ädi:
255-240 IN NS 7.8.7.8
Un... brÄ«nums nenotika. MÄs nesaÅemam nevienu pÄradresÄcijas pieprasÄ«jumu. Lieta tÄda, ka bind pat nezina, ka Å”ie ieraksti reversÄs zonas failÄ ir IP adreses, un vÄl jo vairÄk nesaprot diapazona ierakstu. ViÅam tas ir tikai sava veida simbolisks apakÅ”domÄns. Tie. saistÄ«Å”anai nebÅ«s atŔķirÄ«bas starp "255-240"Un"mÅ«su superklients". Un, lai pieprasÄ«jums nonÄktu tur, kur tam jÄnonÄk, adresei pieprasÄ«jumÄ ir jÄizskatÄs Å”Ädi: 241.255-240.9.8.7.in-addr.arpa. Vai arÄ« Å”Ädi, ja mÄs izmantojam rakstzÄ«mju apakÅ”domÄnu: 241.oursuperclient.9.8.7.in-addr.arpa. Tas atŔķiras no parastÄ: 241.9.8.7.in-addr.harp.
Å Ädu pieprasÄ«jumu bÅ«s grÅ«ti izdarÄ«t manuÄli. Un pat ja tas darbojas, joprojÄm nav skaidrs, kÄ to pielietot reÄlajÄ dzÄ«vÄ. Galu galÄ pÄc pieprasÄ«juma 7.8.9.241 Pakalpojumu sniedzÄja DNS joprojÄm atbild mums, nevis klienta.
Un Å”eit viÅi nonÄk spÄlÄ CNAME.
No pakalpojumu sniedzÄja puses visÄm apakÅ”tÄ«kla IP adresÄm ir jÄizveido aizstÄjvÄrds tÄdÄ formÄtÄ, kas pÄrsÅ«tÄ«s pieprasÄ«jumu klienta DNS.
255-240 IN NS ns1.client.domain.
241 IN CNAME 241.255-240
242 IN CNAME 242.255-240
Šø Ń.Š“.
Tas ir paredzÄts strÄdÄ«gajiem =).
Un slinkiem zemÄk esoÅ”ais dizains ir piemÄrotÄks:
255-240 IN NS ns1.client.domain.
$GENERATE 240-255 $ CNAME $.255-240
Tagad pieprasiet informÄciju pa e-pastu 7.8.9.241 no 241.9.8.7.in-addr.harp pakalpojumu sniedzÄja DNS serverÄ« tiks pÄrveidots uz 241.255-240.9.8.7.in-addr.arpa un dodas uz dns klientu.
Klienta pusei bÅ«s jÄapstrÄdÄ Å”Ädi pieprasÄ«jumi. AttiecÄ«gi mÄs izveidojam zonu 255-240.9.8.7.in-addr.arpa. TajÄ mÄs principÄ varam ievietot apgrieztos ierakstus jebkurai IP platei no visa /24 apakÅ”tÄ«kla, taÄu viÅi mums jautÄs tikai par tiem, ko pakalpojumu sniedzÄjs mums pÄrsÅ«ta, tÄpÄc mÄs nevarÄsim apspÄlÄt =).
Lai ilustrÄtu, es vÄlreiz sniegÅ”u reversÄs zonas faila satura piemÄru no klienta puses:
$ORIGIN 255-240.9.8.7.in-addr.arpa.
$TTL 1W
@ 1D IN SOA ns1.client.domain. root.client.domain. (
2008152607 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
@ IN NS ns1.client.domain.
@ IN NS ns2.client.domain.
241 IN PTR test.client.domain.
242 IN PTR test2.client.domain.
245 IN PTR test5.client.domain.
Tas ir tÄpÄc, ka pakalpojumu sniedzÄja pusÄ izmantojam CNAME, un, atbildot uz datu pieprasÄ«jumu pÄc IP adreses, mÄs saÅemam divus ierakstus, nevis vienu.
#> host 7.8.9.245
245.9.8.7.in-addr.arpa is an alias for 245.255-240.9.8.7.in-addr.arpa.
245.255-240.9.8.7.in-addr.arpa domain name pointer test5.client.domain.
Un neaizmirstiet pareizi konfigurÄt ACL. Jo nav jÄgas Åemt sev PTR zonu un nevienam no malas neatbildÄt =).
Avots: www.habr.com