bind weiterleitung für bestimmte domains

[Revolution]

Hallo zusammen,

Ich bin mir gerade nicht so sicher ob das so geht wie ich mir das vorstelle.

Ich hab einen DNS Server auf Linux Basis bei mir zuhause aufgesetzt dieser leitet alle Anfragen an das Internet weiter. Nun soll er aber bestimmte domains ned an das Internet schicken sondern explizit zu anderen DNS Server weiterleiten. Nur wie mach ich das in Bind.

Das hier bringt nicht den gewünschten erfolg...

zone "it.local" IN {
type forward;
forwarders {10.10.10.2; };
};

zone "10.10.10.in-addr.arpa" {
type forward;
forward only;
forwarders { 10.10.10.2; };
};

 

[Blutschlumpf]

Ich habe gerade mal bei uns auf den DNS-Caches geguckt, die verweisen die PTRs mit der gleichen Syntax auf unsere authoritativen DNS.

Hast du das direkt in die /etc/bind/named.conf reingepackt oder in ne andere Datei und ggf. das include vergessen?

 

[Revolution]

Direkt in der named.conf ja leider ...

Gibt es da noch was anders was zu erledigen ist bevor das greift außer nem Neustart?

 

[Blutschlumpf]

Afaik nicht, sprich Dienst neu starten reicht normalerweise.

Hast du evtl. irgendwas hilfreiches im Log wenn der bind startet?
Alternativ im Query-Log wenn eine der Zonen abgefragt wird?

 

[Revolution]

Hast du evtl. irgendwas hilfreiches im Log wenn der bind startet?

Na ja geht so außer das mit den empty Zone aber ich glaub nicht das es das ist...

Mar 27 23:03:24 raspberrypi named[30340]: starting BIND 9.8.4-rpz2+rl005.12-P1 -u bind
Mar 27 23:03:24 raspberrypi named[30340]: built with '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable
-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-geoip=/usr' '--enable-ipv6' 'CFLAGS=-fno-strict-aliasing -DDIG_SIGCHASE -O2'
Mar 27 23:03:24 raspberrypi named[30340]: ----------------------------------------------------
Mar 27 23:03:24 raspberrypi named[30340]: BIND 9 is maintained by Internet Systems Consortium,
Mar 27 23:03:24 raspberrypi named[30340]: Inc. (ISC), a non-profit 501(c)(3) public-benefit
Mar 27 23:03:24 raspberrypi named[30340]: corporation.  Support and training for BIND 9 are
Mar 27 23:03:24 raspberrypi named[30340]: available at https://www.isc.org/support
Mar 27 23:03:24 raspberrypi named[30340]: ----------------------------------------------------
Mar 27 23:03:24 raspberrypi named[30340]: adjusted limit on open files from 4096 to 1048576
Mar 27 23:03:24 raspberrypi named[30340]: found 1 CPU, using 1 worker thread
Mar 27 23:03:24 raspberrypi named[30340]: using up to 4096 sockets
Mar 27 23:03:24 raspberrypi named[30340]: loading configuration from '/etc/bind/named.conf'
Mar 27 23:03:24 raspberrypi named[30340]: reading built-in trusted keys from file '/etc/bind/bind.keys'
Mar 27 23:03:24 raspberrypi named[30340]: using default UDP/IPv4 port range: [1024, 65535]
Mar 27 23:03:24 raspberrypi named[30340]: using default UDP/IPv6 port range: [1024, 65535]
Mar 27 23:03:24 raspberrypi named[30340]: no IPv6 interfaces found
Mar 27 23:03:24 raspberrypi named[30340]: listening on IPv4 interface lo, 127.0.0.1#53
Mar 27 23:03:24 raspberrypi named[30340]: listening on IPv4 interface eth0, 192.168.178.3#53
Mar 27 23:03:24 raspberrypi named[30340]: listening on IPv4 interface tap0, 10.10.10.6#53
Mar 27 23:03:24 raspberrypi named[30340]: generating session key for dynamic DNS
Mar 27 23:03:24 raspberrypi named[30340]: sizing zone task pool based on 7 zones
Mar 27 23:03:25 raspberrypi named[30340]: using built-in root key for view _default
Mar 27 23:03:25 raspberrypi named[30340]: set up managed keys zone for view _default, file 'managed-keys.bind'
Mar 27 23:03:25 raspberrypi named[30340]: Warning: 'empty-zones-enable/disable-empty-zone' not set: disabling RFC 1918 empty zones
Mar 27 23:03:25 raspberrypi named[30340]: automatic empty zone: 254.169.IN-ADDR.ARPA
Mar 27 23:03:25 raspberrypi named[30340]: automatic empty zone: 2.0.192.IN-ADDR.ARPA
Mar 27 23:03:25 raspberrypi named[30340]: automatic empty zone: 100.51.198.IN-ADDR.ARPA
Mar 27 23:03:25 raspberrypi named[30340]: automatic empty zone: 113.0.203.IN-ADDR.ARPA
Mar 27 23:03:25 raspberrypi named[30340]: automatic empty zone: 255.255.255.255.IN-ADDR.ARPA
Mar 27 23:03:25 raspberrypi named[30340]: automatic empty zone: 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
Mar 27 23:03:25 raspberrypi named[30340]: automatic empty zone: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
Mar 27 23:03:25 raspberrypi named[30340]: automatic empty zone: D.F.IP6.ARPA
Mar 27 23:03:25 raspberrypi named[30340]: automatic empty zone: 8.E.F.IP6.ARPA
Mar 27 23:03:25 raspberrypi named[30340]: automatic empty zone: 9.E.F.IP6.ARPA
Mar 27 23:03:25 raspberrypi named[30340]: automatic empty zone: A.E.F.IP6.ARPA
Mar 27 23:03:25 raspberrypi named[30340]: automatic empty zone: B.E.F.IP6.ARPA
Mar 27 23:03:25 raspberrypi named[30340]: automatic empty zone: 8.B.D.0.1.0.0.2.IP6.ARPA
Mar 27 23:03:25 raspberrypi named[30340]: command channel listening on 127.0.0.1#953
Mar 27 23:03:25 raspberrypi named[30340]: zone 0.in-addr.arpa/IN: loaded serial 1
Mar 27 23:03:25 raspberrypi named[30340]: zone 127.in-addr.arpa/IN: loaded serial 1
Mar 27 23:03:25 raspberrypi named[30340]: zone 255.in-addr.arpa/IN: loaded serial 1
Mar 27 23:03:25 raspberrypi named[30340]: zone localhost/IN: loaded serial 2
Mar 27 23:03:25 raspberrypi named[30340]: managed-keys-zone ./IN: loaded serial 5
Mar 27 23:03:25 raspberrypi named[30340]: running

Das liefert schon mehr ... aber so ganz schlau werde ich ned draus

Mar 27 23:09:13 raspberrypi named[30340]: client 192.168.178.34#50439: query: 3.178.168.192.in-addr.arpa IN PTR + (192.168.178.3)
Mar 27 23:09:13 raspberrypi named[30340]: client 192.168.178.34#50440: query: amd-dc.it.home.it.home IN A + (192.168.178.3)
Mar 27 23:09:13 raspberrypi named[30340]:   validating @0x80edb198: it.home SOA: got insecure response; parent indicates it should be secure
Mar 27 23:09:13 raspberrypi named[30340]:   validating @0x80eea398: it.home SOA: got insecure response; parent indicates it should be secure
Mar 27 23:09:13 raspberrypi named[30340]: error (no valid RRSIG) resolving 'home.it.home/DS/IN': 10.10.10.2#53
Mar 27 23:09:13 raspberrypi named[30340]:   validating @0x80eea398: it.home SOA: got insecure response; parent indicates it should be secure
Mar 27 23:09:13 raspberrypi named[30340]: error (no valid RRSIG) resolving 'it.home.it.home/DS/IN': 10.10.10.2#53
Mar 27 23:09:13 raspberrypi named[30340]:   validating @0x80eea398: it.home SOA: got insecure response; parent indicates it should be secure
Mar 27 23:09:13 raspberrypi named[30340]: error (no valid RRSIG) resolving 'amd-dc.it.home.it.home/DS/IN': 10.10.10.2#53
Mar 27 23:09:13 raspberrypi named[30340]: error (insecurity proof failed) resolving 'amd-dc.it.home.it.home/A/IN': 10.10.10.2#53
Mar 27 23:09:13 raspberrypi named[30340]: client 192.168.178.34#50441: query: amd-dc.it.home.it.home IN AAAA + (192.168.178.3)
Mar 27 23:09:13 raspberrypi named[30340]: client 192.168.178.34#50442: query: amd-dc.it.home IN A + (192.168.178.3)
Mar 27 23:09:13 raspberrypi named[30340]:   validating @0x80eea398: it.home SOA: got insecure response; parent indicates it should be secure
Mar 27 23:09:13 raspberrypi named[30340]: error (no valid RRSIG) resolving 'amd-dc.it.home/DS/IN': 10.10.10.2#53
Mar 27 23:09:14 raspberrypi named[30340]: error (insecurity proof failed) resolving 'amd-dc.it.home/A/IN': 10.10.10.2#53
Mar 27 23:09:14 raspberrypi named[30340]: client 192.168.178.34#50443: query: amd-dc.it.home IN AAAA + (192.168.178.3)

Nur warm .it.home.it.home doppelt genannt wird erklärt sich bei mir jetzt nicht

Ergänzung (28. März 2016)

Hm jetzt nochmal etwas rum gespielt sieht besser aus zumindest leitet er es jetzt schon mal an die 10.10.10.2 um. Problem er sagt immer noch nix gefunden... wenn ich die .2 als dns server eintrage läufts es aber...

Mar 27 23:31:38 raspberrypi named[4196]: error (no valid RRSIG) resolving '168.192.in-addr.arpa/DS/IN': 8.8.4.4#53
Mar 27 23:31:38 raspberrypi named[4196]: error (no valid RRSIG) resolving '168.192.in-addr.arpa/DS/IN': 8.8.8.8#53
Mar 27 23:31:39 raspberrypi named[4196]:   validating @0x80191710: it.home SOA: got insecure response; parent indicates it should be secure
Mar 27 23:31:39 raspberrypi named[4196]: error (no valid RRSIG) resolving 'amd-dc.it.home/DS/IN': 10.10.10.2#53
Mar 27 23:31:39 raspberrypi named[4196]: error (insecurity proof failed) resolving 'amd-dc.it.home/A/IN': 10.10.10.2#53

 

[Blutschlumpf]

Oben war auch noch von it-local die Rede und nicht von it.home.
Von DNSsec habe ich leider keinen Plan, aber das schaut ja aus als würde er die 10.10.10.2 fragen.
Hast du DNSsec mal deaktiviert um zu testen obs dann klappt?
http://ubuntuforums.org/showthread.php?t=1984950

 

[Revolution]

Oben war auch noch von it-local die Rede und nicht von it.home.

Gestern wollte ich es noch anonymisieren heute war ich zu faul ist aber im Prinzip wurscht... sind ja alles nur Sachen auf die man von außen eh keinen Zugriff hat


Aber jop danke das war es.... Ich hab den Fehler gesehen aber ich war irgendwie der annahme das das ganze DNSsec Geschwafel eher als Warnung anzusehen ist und nicht als Error obwohl es goß und fett davor stand deswegen haben ich mich darum nicht gekümmert

Danke manchmal braucht man nur jemanden mit nem Holzhammer der einen drauf hinweist