我可以使用我的Linux BIND9服务器作为IPsec隧道的动态dns提供程序吗？

Question

我很好奇是否可以使用我的BIND9服务器为我想要设置的几个IPsec隧道提供动态dns。其中两个端点具有动态IP地址，“主”端点是一个静态地址。

我会使用no-ip.org或其他什么的，但我想要更多的控制，不想为专业版付费。

我已经在运行DNSSEC了。所以我会通过NAT把服务器暴露到互联网上吗？或者我应该对BIND9做点什么来把它栓下来？也许是一个单独的域名？

至于更新，我将在我的pfSense框中使用动态DNS服务器，它们支持RFC 2136 (动态DNS更新)。

任何洞察力都将不胜感激。

Answer 1

我可以用我的Linux BIND9..。答案是肯定的。

也许你可以找到一些代替no-ip.com的替代品，这是完整列表。

是的，您可以通过NAT公开绑定，为什么不(它与DNSSEC无关)？我认为它被设计用来在互联网上使用:)为了使它更安全，您可以添加如下内容：

options {
    allow-transfer {none;};
    allow-recursion {none;};
    allow-query-cache {none;};
    allow-update {key updates-key;};
}
key "updates-key" {
    algorithm hmac-md5;
    secret "zzzzzzzzzzzzzzzzzzzzz==";
};

根据DNS服务器的用途，您可以使用拆分视图隐藏私有信息，可能允许某些ip范围的递归等。