DNSSEC a autoritativni NS
Ludek Finstrle
luf na pzkagis.cz
Pátek Srpen 5 11:19:58 CEST 2011
Ahoj,
mam otazku na DNSSEC, se kterym zacinam. Mam 1 NS (bind 9.7),
ktery slouzi jako autoritativni pro lokalni domeny a zaroven
jako cachovaci rekurzivni NS pro vse ostatni. Tento NS je
pouzivan i uzivateli.
Kdyz je dns overeno pomoci dnssec, tak ve flags se posle ad.
Ale kdyz se zeptam tohoto jednoho NS na lokalni domeny, tak
ad flag nevraci. Kdyz se ptam na jine domeny, tak to funguje
dle ocekavani:
# dig www.dnssec.cz
; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 <<>> +dnssec www.dnssec.cz
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10969
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
...
www.dnssec.cz. 909 IN A 217.31.205.51
www.dnssec.cz. 909 IN RRSIG A 5 3 7200 ...
...
# dig +dnssec stroj.local
; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 <<>> +dnssec stroj.local
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11357
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
...
;; ANSWER SECTION:
stroj.local. 86400 IN A 192.168.10.3
stroj.local. 86400 IN RRSIG A 5 3 86400 ...
...
Kdyz udelam jen hloupy cachovaci bind pred
autoritativnim na portu 54 s forwardovanim na ten
autoritativni (127.0.0.1:53), tak vse funguje:
# dig @127.0.0.1 -p 54 +dnssec stroj.local
; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 <<>> @127.0.0.1 -p 54 +dnssec stroj.local
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44225
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
...
;; ANSWER SECTION:
stroj.local. 85558 IN A 192.168.10.3
stroj.local. 85558 IN RRSIG A 5 3 86400 ...
...
Prehledl jsem nekde neco nebo je toto "by design"? Resite to nejak vy?
Napada me bud mit 2 named procesy a nebo mozna i pomoci view.
Kazdopadne mi to prijde drbani se pravou rukou za levym uchem
a verim, ze delam nekde neco spatne.
Diky za odpovedi
Luf
Další informace o konferenci Linux