BIND9: Apakah forwarder punya prioritas?

11

Saya baru saja menyiapkan BIND9-Server saya dan itu berfungsi dengan baik sejauh ini. Saya memutuskan untuk mengintegrasikan tipuan kecil ke dalam kemampuan DNS saya. Saya ingin menyelesaikan domain yang sesuai dengan IANA seperti * .com dan * .net oleh DNS-server ISP saya, tetapi saya juga ingin mengintegrasikan domain OpenNIC seperti .geek dan .project dengan menggunakan OpenNIC-DNS-Server sebagai ekspeditur. Jadi bagian forwarder saya pada dasarnya terlihat seperti ini:

forwarders {
   IP.OF.ISP.DNS;
   IP.OF.OPENNIC.DNS;
}

Terlepas dari kenyataan bahwa OpenNIC-DNS dapat menyelesaikan domain-IANA, saya tidak ingin mempercayai mereka, karena membajak domain-domain penting seperti paypal.com atau ebay.com terlalu mudah. Apakah Bind9 meminta catatan penerus langkah demi langkah (dari ip pertama ke ip terakhir) atau apakah meminta secara sewenang-wenang? Saya ingin memastikan, bahwa DNS ISP saya memiliki prioritas utama ketika menyelesaikan domain.

Apakah ada cara saya bisa "men-debug" DNS-query langsung pada DNS-Server saya untuk melihat server apa yang digunakannya untuk mencari domain yang diminta?

domain-name-system bind gerinda
sumber

Jawaban:

5

Saya sudah melihat ini sebelumnya, tetapi saya mengalami kesulitan menemukan sesuatu yang lebih baik dari ini saat ini: https://lists.isc.org/pipermail/bind-users/2012-April/087455.html

BIND8 dan selanjutnya mempertimbangkan masing-masing forwarder mulai dengan "bobot yang sama". Berdasarkan SRTT dari tanggapan, server nama mulai mendukung satu di atas yang lain. Persentase tertentu dari kueri akan selalu mengenai permintaan dengan latensi yang lebih tinggi, untuk menguji ulang perairan dan menjaga preferensi bobot yang dihitung adil. (mengingat bahwa setelah catatan di-cache, penerusan tidak akan dikonsultasikan untuk itu lagi sampai TTL telah kedaluwarsa)

Singkatnya, direktif forwarder dirancang dengan redundansi dan meminimalkan latensi dalam pikiran - bukan dalam model failover aktif-siaga. Ini tidak akan melakukan apa yang Anda inginkan, dan saya tidak mengetahui adanya petunjuk BIND untuk mengkonfigurasi ulang perilaku ini. Saya akhirnya menatap dokumentasi BIND sedikit adil di pekerjaan saya sehingga saya merasa cukup percaya diri tentang pernyataan ini.

Andrew B
sumber
4
Yang mengatakan, Anda mungkin dapat mencapai apa yang Anda coba lakukan dengan membangun zona forwarder untuk setiap akhiran domain yang Anda ingin OpenNIC tangani. Dimungkinkan juga untuk menggunakan zona "petunjuk", tetapi Anda tampaknya tertarik untuk menggunakan cache upstream alih-alih menangani rekursi sendiri.
Andrew B