DNSSEC gracieux pour le TLD privé

Pour utiliser un service tiers, je peux utiliser leur nom DNS pour résoudre leurs noms de domaine. Malheureusement, ils utilisent des mauvaises pratiques comme l'utilisation de leur propre TLD inventé, que nous tld . Afin de pouvoir résoudre leurs noms de domaine, j'ai configuré un renvoi de la zone tld sur mon server DNS local avec:

 zone "tld." { type forward; forward only; forwarders { xxxx; }; }; 

xxxx est leur server de noms. Malheureusement, sub.example.tld n'est pas résolu en raison de DNSSEC échoué à get une DS plus haut dans l'tree, car il essaie d'get un logging NS pour tld de xxxx qui est refusé. Comme (espérons-le) montré dans le tcpdump suivant, avec la sortie de creusement correspondante:

 dig @localhost sub.example.tld 22:23:58.104635 IP (tos 0x0, ttl 64, id 11345, offset 0, flags [none], proto UDP (17), length 77) egmaas.35308 > xxxxdomain: [bad udp cksum 0x18b8 -> 0x708c!] 35515+% [1au] A? sub.example.tld. ar: . OPT UDPsize=4096 OK (49) 22:23:58.132413 IP (tos 0x0, ttl 62, id 62124, offset 0, flags [none], proto UDP (17), length 152) xxxxdomain > egmaas.35308: [udp sum ok] 35515*- q: A? sub.example.tld. 1/2/1 sub.example.tld. [10h40m] A xxx1 ns: example.tld. [10h40m] NS dkp-dns001.dmz.local., example.tld. [10h40m] NS dkp-dns002.dmz.local. ar: . OPT UDPsize=4096 OK (124) 22:23:58.132924 IP (tos 0x0, ttl 64, id 11351, offset 0, flags [none], proto UDP (17), length 71) egmaas.52511 > xxxxdomain: [bad udp cksum 0x18b2 -> 0xe141!] 31932+% [1au] DS? example.tld. ar: . OPT UDPsize=4096 OK (43) 22:23:58.160128 IP (tos 0x0, ttl 62, id 62125, offset 0, flags [none], proto UDP (17), length 143) xxxxdomain > egmaas.52511: [udp sum ok] 31932*- q: DS? example.tld. 0/1/1 ns: example.tld. [10h40m] SOA dkp-dns001.dmz.local. admin.tld.org. 2015062301 10800 3600 604800 38400 ar: . OPT UDPsize=4096 OK (115) 22:23:58.174284 IP (tos 0x0, ttl 64, id 11356, offset 0, flags [none], proto UDP (17), length 63) egmaas.57612 > xxxxdomain: [bad udp cksum 0x18aa -> 0x3f69!] 19858+% [1au] NS? tld. ar: . OPT UDPsize=4096 OK (35) 22:23:58.201136 IP (tos 0x0, ttl 62, id 62126, offset 0, flags [none], proto UDP (17), length 63) xxxxdomain > egmaas.57612: [udp sum ok] 19858 Refused- q: NS? tld. 0/0/1 ar: . OPT UDPsize=4096 OK (35) ; <<>> DiG 9.10.3-P4-Ubuntu <<>> @localhost sub.example.tld ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 41059 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;sub.example.tld. IN A ;; Query time: 97 msec ;; SERVER: ::1#53(::1) ;; WHEN: Mon Oct 24 22:23:58 CEST 2016 ;; MSG SIZE rcvd: 49 

xxx1 est l'adresse IP correcte réelle pour sub.example.tld. (Les bases de contrôle incorrectes peuvent être ignorées car elles sont fausses négatives)

Est-ce que j'ai d'autres options que de désactiver DNSSEC complètement sur mon server DNS local? En outre, il est déjà vérifié que la partie externe n'est pas en mesure de modifier son configuration DNS, et encore less d'intégrer DNSSEC correctement.

One Solution collect form web for “DNSSEC gracieux pour le TLD privé”

Je ne crois pas que BIND ait une bonne façon de faire ce que vous requestz.

Vous pouvez append des ancres de trusted-keys aide trusted-keys (qui appendaient ou replaceaient les keys par rapport à ce qui serait utilisé selon les loggings de DS , essentiellement), mais il n'y a aucun moyen de supprimer la confiance de façon permanente. Selon ma compréhension, la zone en question n'est pas signée, de sorte que l'ajout d'une key pour elle en tant qu'instrument de confiance n'aura rien à rien.

Les dernières versions ont un moyen d'append temporairement des ancres de confiance négatives avec rndc nta (et les nta-lifetime / nta-recheck correspondants), mais cela est spécifiquement destiné aux solutions de contournement temporaires et les ancres de confiance négatives expirent automatiquement.

  • Une pénalité de search DNS avec des TLD exotiques?
  • Est-ce que je perdrais mon domaine de second niveau .fr une fois que je ne suis plus résident d'Europe?
  • TLD personnalisés, URL abrégées et utilisation
  • Obtenir un domaine en configurant BIND et en interrogeant les «grands»?
  • Nous ne possédons pas notre nom de domaine TLD personnalisé et c'est notre nom de domaine local
  • Fournisseur de domaine pour tous les TLD de pays
  • Quels sont les TLD pris en charge pour AWS Certificate Manager?
  • TLD et sous-domaine
  • Hébergement de votre propre nom de domaine sans participation de tiers
  • Nombre de périodes dans un domaine de premier niveau?
  • Créer une NIC
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.