Bind9 с нестандартным битом маски

0

2

Есть понимание как настраиваются зоны DNS-сервера bind9, где по дефолту 24-ый бит маски обратной зоны не указывается.

cat /etc/bind/named.conf.local

zone "1.168.192.in-addr.arpa" {
     type master;
     file "/var/lib/bind/db.192.168.1";
     allow-transfer { 192.168.1.1; };
};

Хочу понять как настроить обратную DNS-зону например 26-ого бита маски, если я решу попилить сеть на 4 (192.168.1.0/26, 192.168.1.64/26, 192.168.1.128/26, 192.168.1.192/26)

Правильно я понимаю, что в наименовании зоны необходимо указывать количество хостов сети и бит маски?

zone "64-26.1.168.192.in-addr.arpa" {
     type master;
     file "/var/lib/bind/db.192.168.1";
     allow-transfer { 192.168.1.1; };
};

←	Не могу разобраться, даже не знаю куда копать Debian/Kali linux

VoidLinux репозитории ...

→

Искать «classless IN-ADDR.ARPA delegation»

У нас есть /27

zone "0/27.188.999.999.in-addr.arpa" {
        type master;
        file "masters/0_27.188.999.999.in-addr.arpa";
        ..

а у владельцев сети сгенерены PTR с 1.0/27.188.999.999.in-addr.arpa. по 31.0/27.188.999.999.in-addr.arpa.

vel ★★★★★
(19.11.24 11:03:03 MSK)

Есть понимание как настраиваются зоны DNS-сервера bind9, где по дефолту 24-ый бит маски обратной зоны не указывается.

Что не указывается? Всё указывается. Это просто домен 5 уровня, а конкретные адреса - домены 6 уровня. Никакого специального синтаксиса там в норме нет и не должно быть, специальная обработка in-addr.arpa - дело исключительно клиента который запрашивает эти имена.

26-ого бита маски

Так не пишут. Ты хотел сказать «26-битного номера сети»?

Хочу понять как настроить обратную DNS-зону например 26-ого бита маски, если я решу попилить сеть на 4

Пили на сколько хочешь, только причём тут bind? Вот у тебя четыре сети по 64 адреса в каждой, просто суёшь их всн в зону 1.168.192.in-addr.arpa как и раньше. Тебе именно отдельные файлы зон к ним нужны? Зачем?

firkax ★★★★★
(19.11.24 11:17:01 MSK)

Ответ на: комментарий от vel 19.11.24 11:03:03 MSK

Выглядит как костыли, nslookup-клиент ничего про эти 0/27 очевидно не знает и запрашивает всё как обычно, но кто-то его в итоге проксирует на костыльные адреса.

firkax ★★★★★
(19.11.24 11:17:59 MSK)

Ответ на: комментарий от firkax 19.11.24 11:17:59 MSK

Этот официальный костыль называется rfc2317.

Ему всего 26 лет :)

vel ★★★★★
(19.11.24 11:35:00 MSK)

Ответ на: комментарий от vel 19.11.24 11:35:00 MSK

Документ ниочём, это просто «гайд как прописать алиасы». Называть эти псевдозоны ты можешь как угодно, главное чтобы CNAME (которые ты должен в любом случае прописать вручную) с настоящих адресов вёл именно на них. Ни стандарты dns, ни даже реализация конкретно bind-а тут ни при чём.

Можно в том числе так:

1               CNAME   1.MYSUBNET_A.2.0.192.in-addr.arpa.
2               CNAME   2.MYSUBNET_A.2.0.192.in-addr.arpa.
3               CNAME   3.MYSUBNET_A.2.0.192.in-addr.arpa.
4               CNAME   1.NET_XYZ.2.0.192.in-addr.arpa.
5               CNAME   4.MYSUBNET_A.2.0.192.in-addr.arpa.
6               CNAME   12.2/37.2.0.192.in-addr.arpa.

обрати внимание, номера «адресов» (поддомены 7 уровня) в фейковых зонах ничему не соответствуют, потому что не обязаны. И в самих «подсетях» никаких масок вообще не указано.

Единственное чего я не подумал в комменте выше так это забыл про CNAME - значит проксировать ничего не надо.

А автору темы (вопроса) самое главное - понять, что in-addr.arpa это обычная зона и никакой специальной магии для масок в ней нет. Всё что он может делать - это манипулировать обычными доменами разных уровней, при этом айпи-адрес a1.a2.a3.a4 всегда будет спрашиваться как a4.a3.a2.a1.in-addr.arpa и никак иначе.

firkax ★★★★★
(19.11.24 11:43:10 MSK)
Последнее исправление: firkax 19.11.24 11:47:14 MSK (всего исправлений: 3)

Ответ на: комментарий от firkax 19.11.24 11:43:10 MSK

Уважаемый vel вам выше все правильно написал. И это не про алиасы, это именно про пиление /24 на более мелкие. Ещё в конце прошлого века эта тема была модна у провов, вам выделяют мелкую сеть и если вам нужна реверсная зона то поднимайте её у себя сами «мануалы прилагаются».

anc ★★★★★
(19.11.24 11:54:47 MSK)

Ответ на: комментарий от anc 19.11.24 11:54:47 MSK

Ты читал моё сообщение перед тем как комментировать?

firkax ★★★★★
(19.11.24 12:05:45 MSK)

Ответ на: комментарий от firkax 19.11.24 11:17:01 MSK

Тебе именно отдельные файлы зон к ним нужны? Зачем?

Эм-м-м…
В принципе ты прав! Я по всей видимости затупил, решив что для каждой сети нужен свой днс. А нахрена? ~~Его достаточно одного~~ Второй для высокой доступности развернуть и ДХЦП’шкой отдавать адреса обоих ДНС в субнеты.

А в named.conf.options описать сети из которых разрешено принимать запросы!

Shprot ★★
(19.11.24 12:15:12 MSK) автор топика
Последнее исправление: Shprot 19.11.24 12:19:09 MSK (всего исправлений: 1)

Ответ на: комментарий от firkax 19.11.24 11:43:10 MSK

Документ ниочём, это просто «гайд как прописать алиасы». Называть эти псевдозоны ты можешь как угодно, главное чтобы CNAME (которые ты должен в любом случае прописать вручную) с настоящих адресов вёл именно на них. Ни стандарты dns, ни даже реализация конкретно bind-а тут ни при чём.

~~RFC~~ Кодекс - это просто свод указаний, а не жесткий закон.

Есть описание подхода (использование cname) и рекомендация в виде rfc.

Знаешь принципиально другой способ делегирования?

vel ★★★★★
(19.11.24 12:25:38 MSK)

Ответ на: комментарий от Shprot 19.11.24 12:15:12 MSK

Ты про днс который обслуживает компы в локалке? Он вообще не обязан никакие зоны держать.

firkax ★★★★★
(19.11.24 12:33:57 MSK)

Ответ на: комментарий от vel 19.11.24 12:25:38 MSK

Нет, не знаю, я ж вроде вполне понятно написал всё. Речь о том, что «синтаксис» названий псевдозон для подсетей (и поддоменов в них) целиком на твоём усмотрении, он никуда, кроме твоего собственного конфига, не привязан. В том rfc только пример как можно сделать, это никак нельзя считать даже указаниями.

Ты в первом ответе зачем-то показал конфиг псевдозоны, который ни о чём по сути не говорит а только вводит в заблуждение будто такой формат где-то официально поддерживается, намного полезней было бы показать CNAME-ы.

firkax ★★★★★
(19.11.24 12:36:40 MSK)
Последнее исправление: firkax 19.11.24 12:38:35 MSK (всего исправлений: 2)

Ответ на: комментарий от firkax 19.11.24 12:33:57 MSK

Ты про днс который обслуживает компы в локалке?

Я по некоторым причинам хочу заменить свой домашний микрот на самособранный интернет-шлюз со всеми рюшками типа isc-dhcp, bind, nftables, frr и т.д

Он вообще не обязан никакие зоны держать.

Ну а почему бы не сделать?

Shprot ★★
(19.11.24 12:50:36 MSK) автор топика

←	Не могу разобраться, даже не знаю куда копать Debian/Kali linux

Admin

VoidLinux репозитории ...

→

Похожие темы