Danke Heiko,
Deine Meinung ist mir immer sehr wichtig. Die Einstellungsmöglichkeiten beim DNSmasq sind der aktuellen Config nach zu urteilen recht umfangreich. Ich probiere auch noch viel mit dem Zeugs rum. Aber unter Archlinux ist die eingesetzte Version doch recht aktuell. Da ich mich mit DNSSEC jedoch noch in den Kinderschuhen befinde (aber ich bin schon dran mich in das Thema einzuarbeiten) geb ich gern nochmal Feedback diesbezüglich.
Aber mein aktueller Stand, und das funktioniert sensationell: ich habe alle etwaigen Funktionen von DNSmasq deaktiviert, die einzige Aufgabe die das Teil aktuell hat ist: wenn Anfragen für Domain XY kommen, dies an einen bestimmten DNS Server zu senden.
Meinen aktuellen Tests nach zu urteilen macht damit DNSmasq genau das, was ich von ihm will: nur im Falle von Auflösungen von Domains XY wendet er sich an meinen DNS Server, alles andere wird "regulär" an meinen normalen DNS Server weiter geleitet.
Greetz Martin
Am 25.08.2016 um 18:35 schrieb Heiko Schlittermann:
Martin Schuchardt kruemeltee@gmx.de (Mo 22 Aug 2016 21:51:50 CEST):
Hoi @all,
ja, das mit der .home war nicht so recht durchdacht, das gebe ich zu. Auch eine .local sollte vermieden werden, wenn man (wie ich gelesen habe) mit avahi arbeitet (ich nun nicht, aber der Teufel steckt im Detail).
Was aber das "delegieren" von Nameservereinträgen nur für eine bestimmte Zone anbetrifft, so heisst das Zauberwort: dnsmasq. Das Teil kann noch viel mehr, u.a. aber eben auch das abfragen eines bestimmten Nameservers für eine bestimmte Zone.
DNSMASQ hatte mal eine Zeitlang einen bösen Fehler: es setzte bei jeder Anfrage, die es aus dem Cache beantwortete, das AD Flag (authenticated data), mit anderen Worten, es suggerierte mir, die Daten wären (via DNSSec) validiert. Selbst bei Zonen, die gar kein DNSSec verwenden.
Ich weiss nicht, ob das inzwischen gefixt ist, es wurde damals als weniger wichtig angesehen. Seitdem sehe ich von der Nutzung von DNSMASQ ab, wo immer ich kann.
Heiko