Uwe Koloska ml@koloro.de (Di 30 Aug 2016 23:56:12 CEST): …
Vorteil von dnsmasq wäre die einfache Integration von DHCP und PXE/TFTP und da würde der Bind/Unbound dann den Part des externen Proxys übernehmen.
Ja, das ist wahr. DHCP&DNS&PXE geht mit dnsmasq wirklich recht schnell und simpel.
Mit dnsmasq brauchst du auf jeden Fall einen Proxy, die Frage ist nur, ob der bei dir oder irgendwo in den Weiten des Netzes steht. Und wenn dnsmasq Vorteile hätte, nähme ich auch in Kauf, zusätzlich einen Proxy zu brauchen.
Ja, den würde ich dann ggf auf 127.0.0.1 laufen lassen und dafür eine Vollversion :) eines Nameservers (eben Bind9 oder Unbound) verwenden.
Du kannst die Verwendung von EDNS verhindern:
dig rrsig schlittermann.de @pu.schlittermann.de +noednsDann sollte auffallen, dass die Antwort verkürzt ist und anschließend TCP verwendet wird.
Das funktioniert und die per UDP eintreffenden Antworten sehen vollständig aus (sind aber auch nicht so groß wie der Domainkey von archlinux).
Na, genau mit dem o.g. Bespiel sollte es eigentlich auf TCP umschalten, weil die Antwort die 512 Byte überschreitet und EDNS ausdrücklich unterdrückt wird (das EDNS wäre dann in der Lage, eine größe Paketgröße zu vereinbaren)
Funfakt: Mittlerweile liefert auch der KabelDeutschland (aka Vodafone) NS den vollständigen Eintrag aus.
Vielleicht haben die ja repariert. Oder mehrere Resolver und morgen geht es wieder nicht :)
Da kommen sofort diese Fragen auf:
- Wie könnte ich für diese Domain den authoritativen Nameserver
befragen? Also sage: Für diese (Sub-)Domain, frag den NS?
Ein richtiger Resolver fragt letztlich immer den für die entsprechende Domain authoritativen Server. Diese Information holt er sich aber über das Abklappern der Kette, bei der Root-Zone beginnend und Zwischenergebnisse cachend, zusammen. Wenn Du den Weg abkürzen willst (oder musst, weil vielleicht die Domain nicht in der Parent-Zone registriert ist), dann kannst Du ja per forward/stub Zone direkt zu den verantwortlichen NS delegieren.
Die erste ist so gemeint: Wenn ich einen Proxy benutze, wie kann ich dann eine einzelne Domain über ihren eigenen NS auflösen? AFAIK kann ich ja nur einen expliziten Nameserver (genauer dessen IP) angeben. Ich möchte jetzt aber einfach sagen: Diese Domain bitte rekursiv auflösen, alles andere an den (externen) Proxy.
Ja, das hängt von dem verwendeten Resolver (Proxy-Client) ab. DNSMASQ kann das, die Resolver-Lib kann es nicht, ob lwres das kann, weiss ich jetzt nicht. Wenn der Client des Proxys ein Bind/Unbound ist, dann geht das (hatten wir ja :))
Bei der zweiten Frage habe ich wahrscheinlich an diese sehr kompliziert aussehende Antwort gedacht:
http://stackoverflow.com/questions/15338232/how-to-forward-a-subzone
Ah, ok.