BIND9: Czy spedytorzy mają jakiś priorytet?

11

Właśnie konfiguruję mój serwer BIND9 i do tej pory działa dobrze. Postanowiłem zintegrować trochę sztuczki z możliwościami mojego DNS. Chcę rozwiązać domeny zgodne z IANA, takie jak * .com i * .net, przez serwer DNS mojego ISP, ale chcę również zintegrować domeny OpenNIC, takie jak .geek i .project, używając serwera OpenNIC-DNS-Server jako spedytor. Więc moja sekcja forwarderów w zasadzie wygląda następująco:

forwarders {
   IP.OF.ISP.DNS;
   IP.OF.OPENNIC.DNS;
}

Pomimo faktu, że OpenNIC-DNS jest w stanie rozwiązać domeny IANA, nie chcę im ufać, ponieważ przejęcie ważnych domen, takich jak paypal.com lub ebay.com, jest po prostu zbyt łatwe. Czy Bind9 pyta o rekordy spedytorów krok po kroku (od pierwszego ip do ostatniego ip) czy pyta arbitralnie? Chcę mieć pewność, że DNS mojego usługodawcy internetowego ma najwyższy priorytet przy rozwiązywaniu domen.

Czy jest jakiś sposób, w jaki mogę „debugować” zapytanie DNS bezpośrednio na moim serwerze DNS, aby sprawdzić, jakiego serwera używa do wyszukiwania żądanej domeny?

domain-name-system bind grindhold
źródło

Odpowiedzi:

5

Sprawdziłem to wcześniej, ale w tej chwili mam problem ze znalezieniem czegoś lepszego: https://lists.isc.org/pipermail/bind-users/2012-April/087455.html

BIND8 i kolejne rozważają, czy każdy z forwarderów zaczyna się od „równej wagi”. W oparciu o SRTT odpowiedzi serwer nazw zaczyna faworyzować jedno nad drugim. Pewien odsetek zapytań zawsze trafi w pytanie o większym opóźnieniu, aby ponownie przetestować wody i utrzymać wyliczoną preferencję wagi na uczciwym poziomie. (pamiętając, że po buforowaniu rekordu spedytorzy nie będą się z nim ponownie konsultować, dopóki nie wygaśnie TTL)

Krótko mówiąc, dyrektywa w sprawie usług przesyłania została zaprojektowana z myślą o redundancji i zminimalizowanym opóźnieniu - nie w modelu przełączania awaryjnego z aktywnym trybem gotowości. To nie zrobi tego, co chcesz, i nie znam żadnych dyrektyw BIND, aby zmienić konfigurację tego zachowania. W końcu wpatruję się w dokumentację BIND w mojej pracy, więc jestem pewien, co do tego stwierdzenia.

Andrew B.
źródło
4
To powiedziawszy, możesz być w stanie osiągnąć to, co próbujesz zrobić, budując strefy przekazywania dla każdego z sufiksów domen, które mają być obsługiwane przez OpenNIC. Możliwe jest również użycie stref „podpowiedzi”, ale wydaje się, że jesteś zainteresowany używaniem pamięci podręcznej zamiast samodzielnej obsługi rekurencji.
Andrew B,