Uwe Koloska uwe@koloro.de (Do 25 Aug 2016 23:38:25 CEST):
Am 25.08.2016 um 23:22 schrieb Heiko Schlittermann:
In der Tat. But „real men use Bind“ :) (`unbound` ist auch noch ok :))
Und wie lösen die "Real Men" mit Bind oder unbound die folgenden Probleme:
- Nameserver des Providers liefert fehlerhafte DKIM-Signaturen, dnsmasq
fragt in diesem Fall einfach einen beliebigen anderen DNS-Server
Real Men fragen nicht den Nameserver des Providers. (Und, DNS liefert keine DKIM-Signaturen, oder verstehe ich etwas falsch?)
- DNS Anfragen für eine bestimmte Domain (z.B. bei einer VPN-Verbindung)
sollen an den zuständigen Nameserver gehen
Du kannst zonenweise Forwarder einrichten.
dig schlittermann.de @<dnsmasq server>sollte grob so aussehen:
;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25942 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
Habe ich das jetzt richtig verstanden, dass dort nur 'ad' stehen darf, wenn dnsmasq für DNSSEC konfiguriert ist? Das habe ich nämlich (noch) nicht gemacht und bekomme diese Flags:
Dort sollte nur 'ad' stehen, wenn der Resolver, den Du fragst (in Deinem Fall dnsmasq) sich von der Korrektheit der Daten überzeugt hat (sprich: die DNSSec-Signaturen geprüft hat und die Trustchain passt) - natürlich nur bei Domains, die die Verwendung von DNSSec durch einen DS Record in der (signierten) Parent-Domain signalisieren. Im Falle einer fehlerhaften Signatur sollte es keine Antwort geben (Bind: SERVFAIL, glaube ich).
…
die das Teil aktuell hat ist: wenn Anfragen für Domain XY kommen, dies an einen bestimmten DNS Server zu senden.
Genau das können Bind oder Unbound auch :).
Wann ham die das denn gelernt? Ich dachte, die (wobei ich unbound einfach mal in den Bind-Topf schmeiße) können nur zwischen Autorität (Ich bin selbst zuständig) und Forwarding (für alles andere) unterscheiden.
Ich meine, das geht schon immer.
zone "foobar.de" { type forward; forwarders { 1.1.1.1; 2.2.2.2; }; };
Oder auch stub-Zones (https://lists.isc.org/pipermail/bind-users/2011-March/083244.html)