Moin,
Martin Schuchardt kruemeltee@gmx.de (Do 25 Aug 2016 23:12:18 CEST):
Deine Meinung ist mir immer sehr wichtig. Die Einstellungsmöglichkeiten
… Danke. Das ehrt mich :)
beim DNSmasq sind der aktuellen Config nach zu urteilen recht umfangreich. Ich probiere auch noch viel mit dem Zeugs rum. Aber unter
In der Tat. But „real men use Bind“ :) (`unbound` ist auch noch ok :))
Archlinux ist die eingesetzte Version doch recht aktuell. Da ich mich mit DNSSEC jedoch noch in den Kinderschuhen befinde (aber ich bin schon dran mich in das Thema einzuarbeiten) geb ich gern nochmal Feedback diesbezüglich.
dig schlittermann.de @<dnsmasq server>
sollte grob so aussehen:
;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25942 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ** ... und dann natürlich die wirkliche Antwort. Und das schon bei der ersten Frage, dann macht er DNSsec.
Und bei
dig heise.de @<dnsmasq server>
sollte nie das |ad| dabei stehen. Denn die haben keine signierte Zone.
; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17431 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ------------------
Aber mein aktueller Stand, und das funktioniert sensationell: ich habe alle etwaigen Funktionen von DNSmasq deaktiviert, die einzige Aufgabe die das Teil aktuell hat ist: wenn Anfragen für Domain XY kommen, dies an einen bestimmten DNS Server zu senden.
Genau das können Bind oder Unbound auch :). Aber die können kein DHCP. Und ja, DNSMASQ kann viel.
Meinen aktuellen Tests nach zu urteilen macht damit DNSmasq genau das, was ich von ihm will: nur im Falle von Auflösungen von Domains XY wendet er sich an meinen DNS Server, alles andere wird "regulär" an meinen normalen DNS Server weiter geleitet.
Was meinst Du mit „regulärer DNSServer“? Den Deines Providers? Oder einen weiteren Server in Deiner Infrastruktur?
Grüße aus der Neustadt,