服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 绕过本地存根区域的DNSSEC
Intereting Posts
Nginx如何反向代理caching工作? 如何拒绝任何人访问除了某些主机和IP与Apache 2.4? 如何确定Debian升级是否更新了内核 尝试在Solaris 11.3 VM上安装golang 简单的方法来添加一个MIB? 如何设置JBoss 5.1.0.GA来运行多个实例? 只有一个Shibboleth SP反向代理不同的网站 托pipe共享完全信任的asp.net网站,同时限制他们访问registry和文件系统 无法在64位Windows 7上创buildOracle ODBC源 Exchange 2010发送连接器 HP P2000 G3 MSA(SAS) – configuration2个主机以使用相同的卷(群集) 将VMware映像转换为Virtualbox映像(来宾操作系统Windows Server 2008) crontab中的符号链接,找不到脚本 问题与Iptable规则 从4.1.22升级到Mysql 5.x是否安全?是否需要采取预防措施?

绕过本地存根区域的DNSSEC

我正在使用绑定9.9.2作为DNSSECvalidationInternet DMZ中的recursionparsing器。 我想指向我的内部DNS服务器作为存根区域(理想情况下)或除了从属区域以外的任何东西(以避免非常大的区域传输)。 我们使用可路由的IP空间来进行内部寻址。 对不起,如果我在我的例子中使用你自己的IP空间,但是167.xxx是我发现的适合我的问题的第一个区域。

例如 

dnssec-enable yes; dnssec-validation yes; dnssec-accept-expired no; zone "16.172.in-addr.arpa" { type stub; masters { 167.255.1.53; } } zone "myzone.com" in { type stub; masters { 167.255.1.53; } }

当查询命中DNS服务器,他们试图validation,并失败,因为167.in-addr.arpa有一个RRSIGlogging,但子区不(不应该!)。 在这个例子中使用Google dns,但实际上它是我的recursionparsing器。 

  @8.8.8.8 -x 167.255.1.53 +dnssec ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 17488 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 512 ;; QUESTION SECTION: ;53.1.255.167.in-addr.arpa. IN PTR ;; AUTHORITY SECTION: 167.in-addr.arpa. 1800 IN SOA z.arin.net. dns-ops.arin.net. 2013100713 1800 900 691200 10800 167.in-addr.arpa. 1800 IN RRSIG SOA 5 3 86400 20131017160124 20131007160124 812 167.in-addr.arpa. Lcl8sCps7LapnAj4n403KXx7A3GO7+2z/9Q2R2mwkh9FL26iDx7GlU4+ NufGd92IEJCdBu9IgcZP4I9QcKi8DI28og27WrfKd5moSl/STj02GliS qPTfNiewmTTIDw5++IlhITbp+CoJuZCRCdDbyWKmd5NSLcbskAwbCVlO vVA= 167.in-addr.arpa. 10800 IN NSEC 1.167.in-addr.arpa. NS SOA TXT RRSIG NSEC DNSKEY 167.in-addr.arpa. 10800 IN RRSIG NSEC 5 3 10800 20131017160124 20131007160124 812 167.in-addr.arpa. XALsd59i+XGvCIzjhTUFXcr11/M8prcaaPQ5yFSbvP9TzqjJ3wpizvH6 202MdrIWbsT1Dndri49lHKAXgBQ5OOsUmOh+eoRYR5okxRO4VLc5Tkze Gh0fQLcwGXPuv9A4SFNIrNyi3XU4Qvq0cViKXIuEGTa3C+zMPuvc0her oKk= 254.167.in-addr.arpa. 10800 IN NSEC 26.167.in-addr.arpa. NS RRSIG NSEC 254.167.in-addr.arpa. 10800 IN RRSIG NSEC 5 4 10800 20131017160124 20131007160124 812 167.in-addr.arpa. xnsLBTnPhdyABdvqtEHPxa6Y6NASfYAWfW1yYlNliTyV8TFeNOqewjwj nY43CWD77ftFDDQTLFEOPpV5vwmnUGYTRztK+kB5UrlflhPgiqYiBaBD RQaFQ8DIKaof8/snusZjK7aNmfe09t9gRcaX/pXn3liKz7m/ggxZi0f9 xo0= ;; Query time: 31 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Mon Oct 7 16:52:59 2013 ;; MSG SIZE rcvd: 722

有没有办法绕过特定区域的DNSSECvalidation? 我在内部托pipe的任何区域,我不希望进行DNSSECvalidation。 我只能看到这种干扰w /某些反向区域顶级DS / RRSIGlogging。

谢谢。

我还没有想出一个好方法来做这个绑定,但可以用cachingparsing器“unboud”来完成。 unbound选项是domain-insecure: 。 使用绑定最好的,我可以拿出它签署你的区域和做dnssec-lookaside 16.172.in-addr.arpa dlv.examle.org或这种性质的东西。