BIND9: Os encaminhadores têm alguma prioridade?

11

Estou apenas configurando meu BIND9-Server e ele funciona bem até agora. Decidi integrar um pequeno truque nas habilidades do meu DNS. Quero que ele resolva domínios compatíveis com IANA como * .com e * .net pelo servidor DNS do meu ISP, mas também quero integrar domínios OpenNIC como .geek e .project usando um servidor OpenNIC-DNS como um encaminhador. Portanto, minha seção de encaminhadores se parece com isso:

forwarders {
   IP.OF.ISP.DNS;
   IP.OF.OPENNIC.DNS;
}

Apesar do OpenNIC-DNS poder resolver domínios da IANA, não quero confiar neles, porque o seqüestro de domínios importantes como paypal.com ou ebay.com é simplesmente muito fácil. O Bind9 está solicitando registros dos encaminhadores passo a passo (do primeiro ao último ip) ou está solicitando arbitrariamente? Quero ter certeza de que o DNS do meu ISP tem a principal prioridade na resolução de domínios.

Existe alguma maneira de "depurar" a consulta DNS diretamente no meu servidor DNS para ver qual servidor ele usa para procurar o domínio solicitado?

domain-name-system bind moagem
fonte

Respostas:

5

Eu procurei isso antes, mas estou tendo problemas para encontrar algo melhor do que isso no momento: https://lists.isc.org/pipermail/bind-users/2012-April/087455.html

BIND8 e seguintes consideram que cada um dos encaminhadores começa com "peso igual". Com base no SRTT das respostas, o servidor de nomes começa a favorecer um sobre o outro. Uma certa porcentagem de consultas sempre atinge aquela com maior latência, para testar novamente as águas e manter a preferência de peso calculada justa. (lembrando que, depois que um registro é armazenado em cache, os encaminhadores não serão consultados novamente até que o TTL expire)

Em resumo, a diretiva encaminhadores foi projetada com redundância e latência minimizada em mente - não em um modelo de failover em espera ativa. Isso não fará o que você deseja e não conheço nenhuma diretiva BIND para reconfigurar esse comportamento. Acabo olhando bastante para a documentação do BIND na minha linha de trabalho, então me sinto bastante confiante com essa afirmação.

Andrew B
fonte
4
Dito isso, você pode conseguir o que está tentando fazer criando zonas de encaminhador para cada sufixo de domínio que você deseja que o OpenNIC manipule. Também é possível usar zonas de "dica", mas você parece interessado em usar caches upstream em vez de lidar com a recursão.
Andrew B