我在 DMZ 中有一些主机需要使用 LAN 上的 LDAP 资源。我们不会将 DNS 转发到 LAN,因此/etc/hosts
我决定尝试使用 Bind RPZ 区域来处理 DNS,而不是单独添加条目,以便将所有解决方法集中在一个地方。
它似乎对一个主机有效oldserver.internal.org
,但对另一个主机无效ldap.mydom.com
。我应该提到它ldap.mydom.com
返回一个可从 Internet 路由的地址8.8.8.8
(但是,不适用于 LDAP)。
为什么我在查询时出现 SERVFAIL ldap.mydom.com
?
# nslookup ldap.mydom.com 192.168.1.4
Server: 192.168.1.4
Address: 192.168.1.4#53
** server can't find ldap.mydom.com: SERVFAIL
####### bind server #########
# /etc/bind/named.conf.options
...
response-policy {
zone "rpz";
};
...
# /etc/bind/named.conf.local
...
zone "rpz" in {
type master;
file "internal.rpz_zone.rpz";
};
...
zone "rpz" in {
type master;
file "external.rpz_zone.rpz";
};
...
# /var/cache/bind/internal.rpz_zone.rpz
$TTL 300
@ IN SOA myns1.mydom.com. (
postmaster.mydom.com
2016100805 ; serial
1h ; refresh
15m ; retry
1w ; expiry
1h ) ; minimum
IN NS myns1.mydom.com.
IN NS myns2.mydom.com.
; we want internal DNS for this host
ldap.mydom.com A 192.168.17.53
oldserver.internal.org A 192.168.18.85
# /var/log/named.log
08-Oct-2018 09:52:18.550 queries: client 192.168.1.21#54254 (ldap.mydom.com): view internal: query: ldap.mydom.com IN A + (192.168.1.4)