Tham gia Đăng nhập
Điểm:0
avatar Server

Ủy quyền DNS với BIND và Cloudflare

lá cờ it
TheClockTwister

có lẽ chỉ là một câu hỏi bình thường, nhưng tôi đã lãng phí hàng giờ cho việc này trong nhiều tháng. Nếu bạn cần các bản ghi/đầu ra/giải thích/v.v. khác. chỉ hỏi thôi :)

Cảm ơn trước!

Tôi cân gi

  • khu vực địa phương.example.com sẽ được quản lý bởi một máy chủ cục bộ 10.20.0.9
  • Các máy chủ cục bộ (10.20.0.0/24) chỉ có thể truy cập được từ bên trong mạng nhưng
  • tên máy chủ của họ xxx.local.example.com có thể giải quyết trên toàn thế giới từ internet

Những gì tôi có cho đến nay

Tôi đang sử dụng CloudFlare làm nhà cung cấp DNS, sau hướng dẫn này, tôi đã thiết lập như sau:

  • Hồ sơ tại CloudFlare: 
    ns.example.com A 10.20.0.9 (máy chủ DNS cục bộ)
loc.example.com NS ns.example.com (ủy quyền cho DNS cục bộ)
  • Bản ghi tệp tại máy chủ DNS cục bộ của tôi (10.20.0.9 sử dụng liên kết9) 
    loc.example.com. TRONG SOA ns.example.com. máy chủ lưu trữ.example.com. (
    1628517915
    3600
    600
    24H
    3600 )
s1.loc.example.com. TRONG 10.20.0.9

Vấn đề của tôi

CloudFlare không trả lời yêu cầu tra cứu NS của tôi cho loc.example.com với ns.example.com như mong đợi. Thay vào đó, yêu cầu không thành công với "lỗi máy chủ" (xem nhật ký CLI cuối cùng)...

đầu ra CLI

  • đào ns.example.com

    ; <<>> DiG 9.11.5-P4-5.1+deb10u5-Debian <<>> ns.example.com
;; tùy chọn chung: + cmd
;; Có câu trả lời:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10036
;; cờ: qr rd ra; CÂU HỎI: 1, TRẢ LỜI: 1, AUTHORITY: 0, BỔ SUNG: 1

;; LỰA CHỌN PSEULiều lượng:
; EDNS: phiên bản: 0, cờ:; udp: 1232
;; PHẦN CÂU HỎI:
;ns.example.com. TRONG MỘT

;; PHẦN TRẢ LỜI:
ns.example.com. 300 TRONG MỘT 10.20.0.9

;; Thời gian truy vấn: 111 mili giây
;; MÁY CHỦ: 1.1.1.1#53(1.1.1.1)
;; THỜI GIAN: Thứ Hai, ngày 09 tháng 8 16:42:06 CEST 2021
;; KÍCH THƯỚC MSG rcvd: 66

    Vì vậy, máy chủ tên phân giải thành IP cục bộ của chúng tôi, thật tuyệt!

  • đào @10.20.0.9 NS loc.example.com

    ; <<>> DiG 9.11.5-P4-5.1+deb10u5-Debian <<>> @10.20.0.9 NS loc.example.com
; (Đã tìm thấy 1 máy chủ)
;; tùy chọn chung: + cmd
;; Có câu trả lời:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47653
;; cờ: qr aa rd ra; CÂU HỎI: 1, TRẢ LỜI: 1, AUTHORITY: 0, BỔ SUNG: 1

;; LỰA CHỌN PSEULiều lượng:
; EDNS: phiên bản: 0, cờ:; udp: 4096
; COOKIE: 7fa7e218d1c20f1e113b236e61113fb96c1b101d374cbde7 (tốt)
;; PHẦN CÂU HỎI:
;loc.example.com. TRONG NS

;; PHẦN TRẢ LỜI:
loc.example.com. 3600 TRONG NS ns.example.com.

;; Thời gian truy vấn: 1 mili giây
;; MÁY CHỦ: 10.20.0.9#53(10.20.0.9)
;; THỜI GIAN: Thứ Hai, ngày 09 tháng 8 16:46:17 CEST 2021
;; KÍCH THƯỚC MSG rcvd: 96

    Máy chủ DNS cục bộ của chúng tôi biết rằng nó chịu trách nhiệm về tên miền phụ

  • đào @10.20.0.9 s1.loc.example.com

    ; <<>> DiG 9.11.5-P4-5.1+deb10u5-Debian <<>> @10.20.0.9 s1.loc.example.com
; (Đã tìm thấy 1 máy chủ)
;; tùy chọn chung: + cmd
;; Có câu trả lời:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38039
;; cờ: qr aa rd ra; CÂU HỎI: 1, ĐÁP ÁN: 1, TÁC GIẢ: 1, BỔ SUNG: 1

;; LỰA CHỌN PSEULiều lượng:
; EDNS: phiên bản: 0, cờ:; udp: 4096
; COOKIE: 7790b2d359140e5f04be8596611140927c7321fefc1fbbe9 (tốt)
;; PHẦN CÂU HỎI:
;s1.loc.example.com. TRONG MỘT

;; PHẦN TRẢ LỜI:
s1.loc.example.com. 3600 TRONG MỘT 10.20.0.1

;; PHẦN THẨM QUYỀN:
loc.example.com. 3600 TRONG NS ns.example.com.

;; Thời gian truy vấn: 1 mili giây
;; MÁY CHỦ: 10.20.0.9#53(10.20.0.9)
;; THỜI GIAN: Thứ Hai, ngày 09 tháng 8 16:49:54 CEST 2021
;; KÍCH THƯỚC MSG rcvd: 119

    Vì vậy, DNS cục bộ có thể giải quyết các máy chủ cục bộ của chúng tôi

  • đào @1.1.1.1 NS loc.example.com

    ; <<>> DiG 9.11.5-P4-5.1+deb10u5-Debian <<>> @1.1.1.1 NS loc.example.com
; (Đã tìm thấy 1 máy chủ)
;; tùy chọn chung: + cmd
;; Có câu trả lời:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 33748
;; cờ: qr rd ra; CÂU HỎI: 1, TRẢ LỜI: 0, AUTHORITY: 0, BỔ SUNG: 1

;; LỰA CHỌN PSEULiều lượng:
; EDNS: phiên bản: 0, cờ:; udp: 1232
; LỰA CHỌN=15: 00 16 ("..")
;; PHẦN CÂU HỎI:
;loc.example.com. TRONG NS

;; Thời gian truy vấn: 12 mili giây
;; MÁY CHỦ: 1.1.1.1#53(1.1.1.1)
;; THỜI GIAN: Thứ Hai, ngày 09 tháng 8 16:51:45 CEST 2021
;; KÍCH THƯỚC MSG rcvd: 57

    Đây là vấn đề: CloudFlare KHÔNG trả lời yêu cầu bản ghi NS của chúng tôi. Tại sao :o ?

130
0 + 4
lá cờ cn
Håkan Lindqvist
Nó có phải là một vấn đề kết nối? Có cách nào để "1.1.1.1" tiếp cận máy chủ định danh của bạn không? (Bức tường lửa?)
0
Hồi đáp
lá cờ fr
Tomek
Bạn không thể có các tên có thể phân giải công khai khi máy chủ tên chịu trách nhiệm cho các tên này nằm trong dải địa chỉ RFC1918.
0
Hồi đáp
lá cờ it
TheClockTwister
@Tomek nhưng làm thế nào để các ông lớn xử lý các nhiệm vụ này? Ý tôi là, tôi chỉ có thể đẩy các máy khách VPN của mình đến máy chủ DNS cục bộ, nhưng điều này cũng sẽ ghi đè cài đặt DNS của chúng cho tất cả các miền khác...
0
Hồi đáp
lá cờ fr
Tomek
Đó chính xác là những gì VPN của công ty tôi làm khi tôi sử dụng nó. Ngoài ra, nó thay thế tuyến đường mặc định làm mất hiệu lực bất kỳ máy chủ định danh nào khác.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.