Bypass DNSSEC per le zone locali Stub

Sto utilizzando il bind 9.9.2 come un DNSSEC che validation il resolver ricorsivo in un DMZ Internet. Voglio puntare ai miei server DNS interni come zone di stub (idealmente) oa qualunque cosa tranne le zone slave (per evitare trasferimenti di zone molto grandi). Utilizziamo uno spazio ip routable per il nostro indirizzamento interno. Mi dispiace se sto usando uno spazio IP che possiedi nel mio esempio, ma 167.xxx è la prima zona che ho trovato che si adatta al mio problema.

PER ESEMPIO

  • Configurare il DNS per inoltrare e-mail a google
  • i nomi denominati-checkzone report 'ns.example.com.ns' non hanno record di indirizzi (A o AAAA)
  • Le richieste di invio inviate al server DNS di Windows per un dominio è autorevole ma non dispongono di un record corrispondente alla richiesta, su BIND?
  • Perché il file host non funziona?
  • Apache 1 definizione host virtuale ascolta su 2 ips - come?
  • Come posso redirect www a non-www in Route53?
  • dnssec-enable yes; dnssec-validation yes; dnssec-accept-expired no; zone "16.172.in-addr.arpa" { type stub; masters { 167.255.1.53; } } zone "myzone.com" in { type stub; masters { 167.255.1.53; } } 

    Quando le query hanno colpito il server DNS, tentano di essere validationte e falliscono perché 167.in-addr.arpa ha un record RRSIG, ma le sotto-zone non (e non dovrebbero!). Google dns è utilizzato in questo esempio, ma in realtà sarebbe il mio risolutore ricorsivo.

      @8.8.8.8 -x 167.255.1.53 +dnssec ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 17488 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 512 ;; QUESTION SECTION: ;53.1.255.167.in-addr.arpa. IN PTR ;; AUTHORITY SECTION: 167.in-addr.arpa. 1800 IN SOA z.arin.net. dns-ops.arin.net. 2013100713 1800 900 691200 10800 167.in-addr.arpa. 1800 IN RRSIG SOA 5 3 86400 20131017160124 20131007160124 812 167.in-addr.arpa. Lcl8sCps7LapnAj4n403KXx7A3GO7+2z/9Q2R2mwkh9FL26iDx7GlU4+ NufGd92IEJCdBu9IgcZP4I9QcKi8DI28og27WrfKd5moSl/STj02GliS qPTfNiewmTTIDw5++IlhITbp+CoJuZCRCdDbyWKmd5NSLcbskAwbCVlO vVA= 167.in-addr.arpa. 10800 IN NSEC 1.167.in-addr.arpa. NS SOA TXT RRSIG NSEC DNSKEY 167.in-addr.arpa. 10800 IN RRSIG NSEC 5 3 10800 20131017160124 20131007160124 812 167.in-addr.arpa. XALsd59i+XGvCIzjhTUFXcr11/M8prcaaPQ5yFSbvP9TzqjJ3wpizvH6 202MdrIWbsT1Dndri49lHKAXgBQ5OOsUmOh+eoRYR5okxRO4VLc5Tkze Gh0fQLcwGXPuv9A4SFNIrNyi3XU4Qvq0cViKXIuEGTa3C+zMPuvc0her oKk= 254.167.in-addr.arpa. 10800 IN NSEC 26.167.in-addr.arpa. NS RRSIG NSEC 254.167.in-addr.arpa. 10800 IN RRSIG NSEC 5 4 10800 20131017160124 20131007160124 812 167.in-addr.arpa. xnsLBTnPhdyABdvqtEHPxa6Y6NASfYAWfW1yYlNliTyV8TFeNOqewjwj nY43CWD77ftFDDQTLFEOPpV5vwmnUGYTRztK+kB5UrlflhPgiqYiBaBD RQaFQ8DIKaof8/snusZjK7aNmfe09t9gRcaX/pXn3liKz7m/ggxZi0f9 xo0= ;; Query time: 31 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Mon Oct 7 16:52:59 2013 ;; MSG SIZE rcvd: 722 

    Esiste un modo per superare la validation DNSSEC per zone specifiche? Qualsiasi zona che ospita internamente, non voglio eseguire la validazione DNSSEC. Ho visto solo questa interferenza con certe zone inverse where il livello superiore ha record DS / RRSIG.

    Grazie.

    One Solution collect form web for “Bypass DNSSEC per le zone locali Stub”

    Non ho capito un buon modo per farlo con il legame, ma può essere fatto con il risolutore di cache "unboud". L'opzione per il non rilegata è domain-insecure: Utilizzando il legame migliore avrei potuto venire con esso firmando la tua zona e facendo dnssec-lookaside 16.172.in-addr.arpa dlv.examle.org o qualcosa di quella natura.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.