Tinydns 作为辅助名称服务器:: 可以工作,但被黑客入侵:: 什么是“正确”的方式

Tinydns 作为辅助名称服务器:: 可以工作,但被黑客入侵:: 什么是“正确”的方式

花了 6 个小时将 djbdns (tinydns + dnscache) 设置为辅助名称服务器,真是太棒了。我设法找到了一个可行的解决方案,但不明白为什么它不能立即使用。

主名称服务器和辅助名称服务器都位于 Cisco ASA 后面,外部 IP 被 NAT 到适当的内部子网,在本例中为名称服务器的 DMZ。

主 NS 由 Plesk 类型的 CP 运行,因此 djbdns 配置全部是 GUI,并且运行良好。现在,直到我发现了二级名称服务器托管的敲诈勒索,我才考虑将此任务转移给第三方。不用了,trop cher 为这个 frere。无论如何,自己安排时间:让文件服务器放在 colo 机架上,什么也不做,让我们让它工作吧。

按照本教程操作:

http://www.howtoforge.com/clean-djbdns-dns-server-on-centos-dnscache-and-tinydns-a-to-z

我把所有东西都安装好了;但是,什么都没起作用,或者至少只有针对 localhost 的挖掘起作用了。我需要 dig@dmz-ip foo.com 来解析。

由于不知道该怎么办,我破解了 dnscache 和 tindns env/IP 文件,并对其进行了逆向工程,这样 tinydns 就可以监听 dmz 而 dnscache 则可以监听 localhost。重新启动这两个服务,然后,就能够从远程笔记本电脑挖掘到辅助名称服务器 IP 并解析我们托管的域,太棒了。

所以,我想,好吧,我应该好好做这件事,然后把所有东西都扔掉,重新安装,并设置 tinydns 监听 dmz 和 localhost 上的 dnscache(就像我手动破解 env/IP 文件时所做的那样)。尝试 dig @localhost foo.com,没有结果;dig@dmz-ip foo.com 也一样。WTF?是的,wtf。在 Noob 模式下,我尝试在 localhost 上、在 dmz 上等处使用 tindyns,但都不起作用。

最后,我在 dmz 上安装了 dnscache,在 localhost 上安装了 tinydns,然后对它们进行了 env/IP 反转(dnscache 在 localhost 上,tinydns 在 dmz 上)。这是我发现的唯一能让它们工作的方法,我完全不明白为什么我不能直接安装而不破解 env/IP 文件。

djbdns 用户,请随意加入讨论,很高兴我终于有了一个可用的设置,但那是一个地狱般的夜晚,如果可能的话,我想要一个干净的设置......

答案1

在开始做一些奇怪的和黑客攻击的事情之前,你应该知道你想要达到什么目的。这意味着要理解辅助名称服务器的含义和概念。不是缓存或转发 DNS 服务器。另外,将两个 DNS 服务器放在一个网络中(NAT 后面)也是荒谬的。

第一件事是阅读RFC 1034RFC 1995RFC 1996也许这个草稿。然后你可以重新考虑你的设置,并可能得出结论,最适合做这项工作的软件是绑定

答案2

如果昨晚我在 Google 搜索中找到了这篇帖子(由 DJB 本人撰写),那就太好了:

http://cr.yp.to/djbdns/run-server.html

花费@10 分钟进行设置,从生产名称服务器获取 data.cdb,然后开始比赛,双桶名称服务器。6 小时对 10 分钟,浪费了时间,但我想我在此过程中学到了一些东西。

@mailq 提出了很好的观点,但对于快速而粗糙的预算托管,第三方辅助名称服务器、BIND 等,在这种情况下不会发生。我有一个有效的设置,根据上面的链接,没有被黑客入侵,它与 CP 驱动的主要名称服务器完美契合,并在 ASA 后面工作,很酷的东西(当它工作时 ;-))

相关内容