Tinydns 作為輔助名稱伺服器 :: 工作,但被黑 :: 什麼是“正確”的方式
花了 6 個小時將 djbdns (tinydns + dnscache) 設置為輔助名稱伺服器。我設法拼湊出一個可行的解決方案,但對為什麼它不能開箱即用感到困惑。
主要和次要名稱伺服器都位於 Cisco ASA 之後,外部 IP 被 NAT 到適當的內部子網,在這種情況下,DMZ 用於名稱伺服器。
主 NS 由 Plesk 類型的 CP 執行,因此 djbdns 配置全部為 GUI,並且執行良好。現在,直到我發現作為二級域名伺服器託管的敲詐勒索,我一直在考慮將這項任務交給第三者。不,謝謝,tro cher for this frere。不管怎樣,自己動手吧:讓文件伺服器坐在彩色機架上,什麼都不做,讓我們開始工作吧。
按照本教程:
http://www.howtoforge.com/clean-djbdns-dns-server-on-centos-dnscache-and-tinydns-a-to-z
我把所有東西都安裝好了;但是,沒有任何效果,或者至少只對 localhost 進行了探勘。我需要 dig@dmz-ip foo.com 來解決。
不知道更好,我破解了 dnscache 和 tindns env/IP 文件,將它們反轉,所以 tinydns 在 localhost 上偵聽 dmz 和 dnscache。重新啟動了兩個服務,瞧,能夠從遠端筆記型電腦探勘到輔助名稱伺服器 IP 並解析我們託管的域,太棒了。
所以,我想,我應該正確地做這件事,然後把所有東西都吹走,重新安裝,並設置 tinydns 來監聽 localhost 上的 dmz 和 dnscache(就像我在手動破解 env/IP 文件時所做的那樣)。試圖探勘@localhost foo.com,nada;與 dig@dmz-ip foo.com 相同。怎麼回事?是的,wtf。在 Noob 模式下,我在 localhost 上嘗試了 tindyns,都在 dmz 等上,但沒有任何效果。
最後,我在 dmz 上安裝了 dnscache,在 localhost 上安裝了 tinydns,然後 env/IP 將它們反轉(localhost 上的 dnscache 和 dmz 上的 tinydns)。這是我發現讓它們工作的唯一方法,我完全不知道為什麼我不能直接安裝而不必破解 env/IP 文件。
djbdns 使用者,請隨意插話,很高興我終於有了一個工作設置,但那是一個地獄般的夜晚,如果可能的話,希望有一個乾淨的設置……
昨晚在我的Google搜尋中找到這個執行緒(DJB 本人)會很高興:
花了@10 分鐘來設置,從生產名稱伺服器中獲取 data.cdb,然後開始比賽,雙桶名稱伺服器。6 小時對 10 分鐘,時間浪費了,但我想我在此過程中學到了一些東西。
@mailq 提出了很好的觀點,但是對於快速和骯髒的預算託管、第 3 方二級名稱伺服器、BIND 等,在這種情況下不會發生。我有一個工作設置,按照上面的連結沒有被黑客入侵,它與 CP 驅動的主名稱伺服器很好地吻合,並且在 ASA 後面工作,很酷的東西(當它工作時 ;-))
在開始做一些奇怪和被黑的事情之前,你應該知道你想要實現什麼。這意味著要了解輔助名稱伺服器的含義和概念。這不是記憶體或轉發 DNS 伺服器。將兩個 DNS 伺服器都放在一個網路中(在 NAT 之後)也是荒謬的概念。
首先是閱讀RFC 1034、RFC 1995、RFC 1996和可能的這個草案。然後您可以重新考慮您的設置,並可能得出結論,完成這項工作的最佳軟體將是BIND。