Как настроить dns-сервер на bind?

Question

[t0di]

Друзья! Не особо сильно силён в администрировании, читаю много мануала, и не могу до конца вникнуть в суть. Есть dns-сервер, который для всех доменов отдаёт один и тот же ip (zone "."). Есть домены, которым нужно отдавать реальные адреса, для этого руками создаются файлы зон, для этих доменов днс-сервер выступает в роли master. Теперь встала такая интересная задача. Есть домен (teamviewer.com), у которого есть несметное количество поддоменов, и нужно, чтобы мой днс-сервер при обращении к какому-либо поддомену делал форвардинг на тот же гугловский 8.8.8.8. Не могу правильно сконфигурировать настройки.

Рассматривал настройку зоны как тип hint или forward. Всё это отлично работает, только без моей зоны ".", которая байндом считается приоритетней и отдаётся айпишник из этой зоны.

Answer 1

[t0di]

Решил так:
Поднял 2 днс-сервера на разных портах. Для зоны "." указываю форвард-днс мой 2-й на другом порту, в котором уже отдаётся один ip для любого домена. Соответственно мой master-dns работает с имеющимися у него файлами зон, остальные запросы отправляет второму dns. Данной махинацией мне удалось добиться нужной приоритетности от bind.

Answer 2

[Paul]

Если я правильно понял задачу, то я делал так (все нижеизложенное для deb-base)

Заходим в /etc/network/interface и дописываем
dns-nameservers список любимых днс-ов
3. Заходим в /etc/bind/named.conf.options, дописываем
forward first;
forwarders { спиок любимых днс-ов через ; };

4. Заходим в /etc/default/bind9, правим значение на
RESOLVCONF=yes
5. Перегружаем bind

Comments

[t0di]

Ммм, мне кажется это не то. У меня днс-сервер для любого домена (google.com, google.ru и т.п.) отдаёт один и тот же ip-адрес (например 92.211.197.34) - это мой сервер и там работает прокси-сервер(то есть цель проводить трафик через мою проксю). И вот нужно на некоторые домены отдавать реальный ip-адрес - конкретный пример Teamviewer, у него множество поддоменов, через которые он осуществляет подключение. То есть форвардить не все обращения, а только к конкретной доменной зоне.

[Paul]

а почему бы просто через iptables (или fw) не завернуть весь трафик на проксю?

[t0di]

потому что прокся не умеет работать с https, сайтам с https приходится отдавать реальный айпи. можно генерить файлы зон, что собственно и делается. но есть тимвьювер, или тот же дропбокс, у которых поддоменов несколько сотен (или тысяч), поэтому необходимо их обходить стороной и отдавать для их зоны реальный ip

[Paul]

сложно вы завернули. у нас всем, кому нужно httpS сидят мимо прокси, остальные наслаждаются сквидовой заглушкой :)

Answer 3

[Валентин]

Наверно, если не знаете, как сформулировать вопрос, стоит обратиться к админам за символическую плату?))

Comments

[t0di]

этот вопрос требует ответа, или вы просто поболтать зашли?