BIND9: Les transitaires ont-ils une priorité?

11

Je suis en train de configurer mon serveur BIND9 et cela fonctionne bien jusqu'à présent. J'ai décidé d'intégrer un petit gadget dans les capacités de mon DNS. Je veux qu'il résout les domaines conformes à l'IANA comme * .com et * .net par le serveur DNS de mon FAI mais je veux également intégrer les domaines OpenNIC comme .geek et .project en utilisant un serveur DNS OpenNIC comme transitaire. Donc, ma section des transitaires ressemble à ceci:

forwarders {
   IP.OF.ISP.DNS;
   IP.OF.OPENNIC.DNS;
}

Malgré le fait que OpenNIC-DNS est capable de résoudre les domaines IANA, je ne veux pas leur faire confiance, car le détournement de domaines importants comme paypal.com ou ebay.com est tout simplement trop facile. Bind9 demande-t-il des enregistrements des redirecteurs étape par étape (de la première IP à la dernière IP) ou demande-t-il arbitrairement? Je veux m'assurer que le DNS de mon FAI a la priorité absolue lors de la résolution de domaines.

Existe-t-il un moyen de "déboguer" la requête DNS directement sur mon serveur DNS pour voir quel serveur il utilise pour rechercher le domaine demandé?

domain-name-system bind grindhold
la source

Réponses:

5

J'ai déjà vérifié cela, mais j'ai du mal à trouver quelque chose de mieux que cela pour le moment: https://lists.isc.org/pipermail/bind-users/2012-April/087455.html

BIND8 et suivants considèrent chacun des transitaires commencer par "poids égal". Sur la base du SRTT des réponses, le serveur de noms commence à favoriser l'un sur l'autre. Un certain pourcentage de requêtes atteindra toujours celle avec une latence plus élevée, pour retester les eaux et maintenir la préférence de poids calculée équitable. (en gardant à l'esprit qu'une fois un enregistrement mis en cache, les transitaires ne seront pas consultés à nouveau avant l'expiration du TTL)

En bref, la directive des redirecteurs est conçue avec la redondance et la latence minimisée à l'esprit - pas dans un modèle de basculement en veille active. Cela ne fera pas ce que vous voulez, et je ne connais aucune directive BIND pour reconfigurer ce comportement. Je finis par regarder la documentation BIND un peu dans ma ligne de travail, donc je suis assez confiant à propos de cette déclaration.

Andrew B
la source
4
Cela dit, vous pourriez être en mesure d'accomplir ce que vous essayez de faire en créant des zones de redirecteur pour chacun des suffixes de domaine que OpenNIC doit gérer. Il est également possible d'utiliser des zones "hint", mais vous semblez intéressé à utiliser des caches en amont au lieu de gérer vous-même la récursivité.
Andrew B