powerdns 作为内部解析器,位于防火墙后面

powerdns 作为内部解析器,位于防火墙后面

我的 powerdns 设置有点奇怪:

  • 对于我们公司的域名 xxx.de,我们在公共互联网上有四个 NS 条目(在 Nexinto)。我们使用 Powerdns/Poweradmin 运行一个隐藏的主域名(称为 dns-ext),到目前为止运行良好。
  • 在我们基于 Windows AD 的网络中,我们使用 Windows 内部 DNS 服务器(称为 ad-master;为避免混淆,我们的公司域名不是 AD 域名!)
  • 我们在局域网内有另一台服务器(称为 dns-int),它有 Powerdns/Poweradmin,它为内部的xxx.de 的视图;AD 服务器配置为将公司机器的查询转发到此服务器
  • dns-int 在 UDP53 上运行 pdns-recursor,在 UDP/54 上运行 pdns(权威部分);recursor 配置为将对 xxx.de 的查询转发到 localhost:54
  • 由于网络安全限制,dns-int 无法直接连接到互联网,“上游”DNS 请求必须通过 dns 代理服务器

问题是,现在当我想要子域名时,我必须在 dns-int 和 dns-ext 中创建它们,即使我不想为这个子域名区域进行分割视图。

所以我想“好的,在 dns-int a.xxx.de NS a.prim-ns.de 中设置,为 .=ip_of_proxy 放置一个转发条目,它应该可以工作”,但它没有,因为当被要求 baxxx.de 时,dns-int 无法在 a.prim-ns.de 上询问 - Powerdns 尝试连接到 a.prim-ns.de,而不管 . 转发。CNAME 记录到公共互联网地址失败的原因相同 - dns-int 尝试解析失败的 CNAME 并仅将 CNAME 记录返回给 ad-master,而 ad-master 出于某种原因不想解析该 CNAME 条目。

没有办法获取 dns-int 的出站访问权限 - 那么我如何让 powerdns 使用 DNS 代理来处理所有它无法回答的查询?

相关内容