我很好奇我是否可以使用我的 BIND9 服务器为我想要设置的几个 IPsec 隧道提供动态 DNS。其中 2 个端点具有动态 IP 地址,“主”端点是静态地址。
我会使用 no-ip.org 或其他网站,但我想要更多的控制权并且不想为专业版付费。
我已经运行了 DNSSEC。那么我是否只需通过 NAT 将服务器暴露给互联网?或者我应该对 BIND9 做些什么来固定它?也许是一个单独的域?
就更新而言,我将在我的 pfSense 盒中使用动态 DNS 服务器,它们支持 RFC 2136(动态 DNS 更新)。
任何见解都将不胜感激。
答案1
我可以使用我的 Linux BIND9 吗?答案是可以的。
也许你可以找到一些可以满足你需求的 no-ip.com 的替代品 - 这里是完整列表
是的,您可以通过 NAT 公开绑定,为什么不呢(而且它与 DNSSEC 无关)?我认为它是设计用于互联网的 :) ?为了使其更安全,您可以添加类似以下内容:
options {
allow-transfer {none;};
allow-recursion {none;};
allow-query-cache {none;};
allow-update {key updates-key;};
}
key "updates-key" {
algorithm hmac-md5;
secret "zzzzzzzzzzzzzzzzzzzzz==";
};
根据您的 DNS 服务器的用途,您可以使用分割视图来隐藏私人信息,可能允许某些 IP 范围的递归等等。