私有/家庭网络 TLD 的最佳选择?与 mDNS 重叠?

私有/家庭网络 TLD 的最佳选择?与 mDNS 重叠?

我正在尝试使我的家庭网络设置合理,我注意到我混合使用了 .local 和 .localdomain 的 TLD(后者是我的 Ubiquiti 安全网关的默认设置)。我知道 .local 是 mDNS 的 TLD,但我在网上找不到任何结果来澄清我是否应该忽略它并将我的 DNS 的 TLD 设置为其他内容,或者是否也可以将其设置为 .local,或者这是否会破坏一切。

这个问题的逻辑延伸是,我的主顶级域名 (TLD) 的最佳设置是什么?我看到最近的 RFC 称,当前的最佳做法是 home.arpa。务实的答案似乎是,我可以选择任何我喜欢的,但它可能有一天会与官方的东西发生冲突,然后我就会遇到问题。

笔记:

  • 我的家庭网络是混合客户端:Mac 笔记本电脑和其他 Apple 产品,如 iPhone/iPad 和 Apple TV、Windows 客户端、IoT 设备等。
  • 我没有使用可选的 dnsmasq 作为 USG 上的 DHCP 服务器。(有人知道这是否是首选吗?我找不到关于为什么选择它而不是默认设置的文件。)

(我是一名软件工程师,但不是网络工程师。假设我知道的足以造成危险。:-))

答案1

我认为只有两种可接受的选项:1).home.arpa或另一个明确保留的域名;2) 您在 DNS 中注册的自己的域名或其子域名。其他任何做法都是不好的做法。

假的顶级域名有朝一日可能会被添加到真正的 IANA 顶级域名列表中。假的二级域名也有朝一日可能会变成真正的域名。

  • 最近, 就出现了这种情况.dev,它显然在本地网站开发中很受欢迎。

  • “未使用的” IP 地址有一天也会被实际使用,就像 1.1.1.1(通常是常见的占位符地址,但现在是真正的互联网地址)一样。

  • 确保这种情况不会发生的唯一方法是使用您个人注册的域名(购买一个),或者保留用于“私人”用途的域名(例如 home.arpa)。

某些域在代码中有特殊处理:

  • 一些解析器始终使用 mDNS 来查询名称,.local而从不使用常规单播 DNS 来查询。有一种机制可以检测单播 .local 的使用情况,但并非所有解析器都实现了它。

  • 解析器是禁止对 TLD 下的名称使用任何形式的 DNS .onion,使其成为纯粹的 Tor 的领地。

  • 许多解析器通过始终使用相同的 127.0.0.1 和 [::1] 地址进行响应来缩短查询时间localhost.(如果不这样做,则存在安全问题)。但这通常不适用于下的子域.localhost

某些域名在网络浏览器中有特殊处理:

  • 变成 TLD 的域名.dev也被添加到网络浏览器的“HSTS 预加载”列表中,结果浏览器开始要求对于该 TLD 下的任何域名,使用具有公认证书的 HTTPS。

DNSSEC 验证解析器将只允许您覆盖父区域具有现有“不安全”委派且没有 DS 记录的后缀:

  • 有 NSDS 记录位于dev.,因此验证解析器将要求其子域的任何响应都具有正确的 RRSIG,并且不会接受您的“虚假”响应。

  • 处既没有 NS 记录也没有 DS 记录home.,验证解析器会将此识别为“经过身份验证的拒绝存在”并且不会接受下方子域的任何响应。

  • 只有 NS 记录,home.arpa.但没有 DS 记录,因此您的主 DNS 服务器可以自由地为其子域生成“虚假”响应。

相关内容