[linux] bind, nameservers en routers

Paul Slootman paul+nospam op wurtel.net
Wo Mrt 29 08:48:43 CEST 2017


On Tue 28 Mar 2017, paai wrote:

> Nog een probleempje: paijmans.net en www.paijmans.net zijn wat betreft de
> grote nameserver in the sky equivalent. Dus van buiten af kun je zowel
> www.paijmans.net als paijmans.net benaderen (als het goed is).

Daniel heeft al uitgelegd dat dat niet helemaal waar is, maar effectief
lijkt het wel zo.

> Maar hoe moet ik bind daarvan overtuigen? Op dit ogenblik werkt
> 'paijmans.net' wel, maar 'www.paijmans.net' niet. Mijn named.conf.local ziet
> er als volgt uit:

Terzijde: doorgaans is het de bedoeling dat je in named.conf.local zone
definities zet maar de zonefile zelf in een domainnaam.soa file zet.

Om hetzelfde voor elkaar te krijgen als wat nu op de transip DNS servers
geregeld is, moet je een wildard record erbij zetten, of als het alleen
om www gaat, een record voor www:

*	IN	A	192.168.178.25
; of...
www	IN	A	192.168.178.25


> ; BIND data file for local loopback interface

"If the comments and text don't match, both are wrong"...

> $TTL    604800
> @    IN    SOA    paijmans.net. paai.paijmans.net. (
>             2803201706    ; Serial

Het is gebruikelijk de serial op basis van datum te doen, maar dan wel
zo dat het ook oploopt. Als jij nu op 1 april een nieuwe maakt, dan is
de serial lager dan de oude en dat werkt niet...
Doe dus YYMMDDxxx o.i.d.

>              604800        ; Refresh
>               86400        ; Retry
>             2419200        ; Expire
>              604800 )    ; Negative Cache TTL

Negative Cache TTL wil je niet zo hoog, nu duurt het een week voordat
een nieuw toegevoegde record gezien wordt als je 'm al eerder geprobeerd
hebt 'm op te zoeken. 15 minuten is meer dan genoeg.
Refresh zou ik ook op een dag ofzo doen.

> @    IN    NS    ns.paijmans.net.

Hier heb je een beetje een kip-en-ei probleem, oftewel je hebt glue
nodig. Als een nameserver www.paijmans.net wilt opzoeken, dab begint ie
bij de root servers. Die zeggen dan "voor .net moet je bij deze
nameservers zijn". De .net nameservers zeggen dan vervolgens "voor
paijmans.net moet je bij ns.paijmans.net zijn". Maar daar kun je niet
bijkomen omdat je niet weet wat het adres van ns.paijmans.net is...

Dat wordt opgelost door "glue records" die extra in de .net nameserver
geconfigureerd moet worden, die wordt dan als extra info meegegeven met
het ns.paijmans.net antwoord: "o ja, ns.paijmans.net heeft adres
1.2.3.4".

Het is dus aan te raden om ook altijd een extra nameserver te hebben die
in een ander domeinnaam zit.
Je moet dan alleen niet doen wat ik weleens meegemaakt heb: domeinnaam a
had nameserver in b zitten, en b had nameserver in a zitten. Dat gaat
echt niet goed...

Nu is het in dit geval waar de nameserver in kwestie ook de forwarding
resolver is voor je netwerk, maar wel iets om in de gaten te houden.


> @    IN    A    192.168.178.25
> @    IN    AAAA    ::1

De IPv6 lookup van paijmans.net geeft dus effectief localhost terug, dat
is vast niet de bedoeling.



Paul


Meer informatie over de Linux maillijst