使用绑定服务根区域并利用RPZ

Question

我在根区域将BIND配置为我的私有服务器时遇到了一些问题。

我已经试过这个点了。(在某个地方读过)和一个空字符串"“(我猜得不好)作为根区域标识符(两者都有语法错误)

zone "." { ; sorry 
    ... 
};

也是

zone "" { ;sorry 
    ... 
};

您对如何服务器根区域有任何提示吗？

(我的注意:为根区域服务可能与作为根服务器不同！)

更新

问题实际上存在于根(“.”)的响应策略区域中：

options {
    #response-policy {zone "com"; }; #it is OK (before commenting)
    response-policy {zone "."; }; #it makes error when loading the config
};  


zone "."{
    type master; 
    file "db/zone.root.db"; 
};

zone "com"{ #just for syntax test/check
    type master; 
    file "db/zone.root.db"; 
};

名称-checkconf -zj named.conf

  zone ./IN: NS 'LOCALHOST' has no address records (A or AAAA)
  zone ./IN: not loaded due to errors.
  _default/./IN: bad zone
  zone com/IN: loaded serial 1

注意:在这两种配置中:一种是服务加载的，另一种是终止的，输出是相同的。

dig www.google.com @127.0.0.1

01     ; <<>> DiG 9.10.4-P2 <<>> www.google.com @127.0.0.1
02     ;; global options: +cmd
03     ;; Got answer:
04     ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58406
05     ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 1
06     
07     ;; OPT PSEUDOSECTION:
08     ; EDNS: version: 0, flags:; udp: 4096
09     ;; QUESTION SECTION:
10     ;www.google.com.                        IN      A
11     
12     ;; ANSWER SECTION:
13     www.google.com.         5       IN      CNAME   nosslsearch.google.com.rpz.zone.
14     nosslsearch.google.com.rpz.zone. 3600 IN A      216.239.32.20
15     
16     ;; AUTHORITY SECTION:
17     rpz.zone.               3600    IN      NS      LOCALHOST.
18     
19     ;; Query time: 44 msec
20     ;; SERVER: 127.0.0.1#53(127.0.0.1)
21     ;; WHEN: Mon Aug 01 17:07:14 Daylight Time 2016
22     ;; MSG SIZE  rcvd: 127

注意:请参阅第13行和尾随的“.rpz.zone”。

nslookup

01     > server 127.0.0.1
02     Default server: 127.0.0.1
03     Address: 127.0.0.1#53
04     > www.google.com
05     Server:         127.0.0.1
06     Address:        127.0.0.1#53
07     
08     Non-authoritative answer:
09     www.google.com  canonical name = nosslsearch.google.com.rpz.zone.
10     Name:   nosslsearch.google.com.rpz.zone
11     Address: 216.239.32.20

ping www.google.com -n 1

1     Pinging nosslsearch.google.com.rpz.zone [216.239.32.20] with 32 bytes of data:
2     Reply from 216.239.32.20: bytes=32 time=149ms TTL=45
3     
4     Ping statistics for 216.239.32.20:
5         Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
6     Approximate round trip times in milli-seconds:
7         Minimum = 149ms, Maximum = 149ms, Average = 149ms

上面的输出片段摘要: rpz.zone被添加到任何地方，这就是为什么我想移到根区域。

这是我的

zone.root.db文件

01     $TTL 1H
02     @                       SOA LOCALHOST. named-mgr.example.com (1 1h 15m 30d 2h)
03                             NS  LOCALHOST.
04     
05     nosslsearch.google.com       A     216.239.32.20
06     google.com                   CNAME nosslsearch.google.com
07     www.google.com               CNAME nosslsearch.google.com
08     

我只想摆脱被附加到回复中的rp.zone！，怎么做？

Answer 1

定义了RPZ区域具有特殊的语义.，这样区域的名称实际上与其操作无关。

事实上，应该选择这个名称来避免与实际区域发生冲突。从区域加载RPZ数据只是利用现有区域加载/同步机制的一种方法。

因此，您不希望将RPZ区域命名为.或com或类似的名称。但是，由于它作为一个区域加载，常规主文件规范确实适用于如何解释内容。

例如，对于一个名为example的区域，如下所示

www.google.com CNAME nosslsearch.google.com

手段

www.google.com.example. CNAME nosslsearch.google.com.example.

(除非显式重写$ORIGIN)

RPZ以一种方式定义所有者名称(最左边列)，以便在通过查询名称进行匹配时自动追加RPZ区域名称，

QNAME策略记录由通过解析生成响应的CNAME记录的请求和目标的查询名称触发。QNAME策略记录的所有者名称是相对于策略区域的查询名。

CNAME记录数据(右侧)用于在提供本地数据的情况下。(例如，当CNAME数据不是RPZ中定义的特例之一，如rpz-drop.、.、*.等)

本地数据一组普通的DNS记录可以用来回答查询。对于记录类型(而不是集合)的查询由NODATA回答。本地数据的一种特殊形式是CNAME，其目标是通配符(如*.example.com )。它的使用就好像是一个普通的CNAME，在用查询名替换了astrisk (*)之后。这种特殊形式的目的是在墙花园的权威DNS服务器中进行查询日志记录。

长话短说，你会想要这样的东西：

www.google.com CNAME nosslsearch.google.com.