Bind slave server AXFR

halfgaar schreef op zaterdag 22 januari 2011 @ 09:49:
Hallo,

Ik probeer een bind slave server op te zetten, maar overal waar ik lees, staat in de voorbeelden dat je elke zone op zowel de master als slave moet definieren, wat je bijvoorbeeld door rsync vanaf de master server kan kopieren. Dit lijkt mij erg onhandig.

De colocator op mijn werk heeft ons gewoon toegestaan NOTIFIES te sturen naar zijn server en alle zones worden prima overgenomen van de master. Niets rsync ge-emmer. Ik kan me ook vaag iets herinneren dat hij zei dat Bind dat niet kan, en dat hij daarom PowerDNS gebruikt.

Kan iemand dat bevestigen? Kan ik niet gewoon Bind instellen dat hij van elke zone waar een NOTIFY van binnenkomt een AXFR doet op de master, zonder dat je die slave zones hoeft te definieren? Bind kan in ieder geval wel NOTIFIES uitsturen, getuige de log files (en de werking met eerder genoemde colocator).

Nee, BIND kan dat niet. PowerDNS inderdaad wel.

Ze hebben daar geloof ik principiële bezwaren tegen.

Met bind hoef je toch niet de zonefiles zelf te kopiëren? Je moet wel aangeven dat het een slavezone is.

Heel simpel: dit zou niet nodig hoeven zijn. De master geeft bij reload een notify af indien de serial veranderd is.

Verhoog jij de serial ook bij je master record?

halfgaar schreef op zaterdag 22 januari 2011 @ 17:33:
CyberX? Principiele bezwaren? Hmm, en dus moet je met rsync scripts kloten? Hmm...

Diedx, wat bedoel je? Wat is niet nodig? Wat Sendy aangeeft klopt, je hoeft de zonefile zelf niet te kopieren, maar je moet wel voor elke zone waar hij een slave voor is dat aangeven in de config. Ik kan dus niet gewoon mijn dns server aanbieden als secondary aan iemand anders, wat met PowerDNS wel kan. Ik vind dat raar...

Je doelt erop: je wilt slave draaien zonder verdere toegang te geven. Inderdaad: dat kan niet. Of dat principieel van Bind (of: ISC) is weet ik niet: PowerDNS was (zover ik weet) de eerste (en enige) die supermasterfunctionaliteit heeft.

halfgaar schreef op zondag 23 januari 2011 @ 09:15:
Nou ja, zonder verdere toegang te geven; je moet het IP alsnog bij allow-notify zetten, dus ik snap niet waarom je niet gewoon kan zeggen: "accepteer alles van die master".

Ik ben het met je eens...

Dat zal wel beveiliging zijn... Lijkt me levensgevaarlijk als dat zo maar zou kunnen.
ik spoof de masterserver en ik doe een zonetransfer (Ik verhoog de serial op alle zones,=> notify) naar de slave(S) (hence (reverse)delegated/authoritative nameservers)
dan heb je een gigantische poisoning ....

[ Voor 8% gewijzigd door Kabouterplop01 op 23-01-2011 16:39 ]

Kabouterplop01 schreef op zondag 23 januari 2011 @ 16:38:
Dat zal wel beveiliging zijn... Lijkt me levensgevaarlijk als dat zo maar zou kunnen.
ik spoof de masterserver en ik doe een zonetransfer (Ik verhoog de serial op alle zones,=> notify) naar de slave(S) (hence (reverse)delegated/authoritative nameservers)
dan heb je een gigantische poisoning ....

Nee hoor. Jij kunt best een NOTIFY sturen met het ip van een master, maar daarna gaat die slave bij de échte master een zone transfer doen. Hoogstens in bepaalde gevallen kun je er voor zorgen dat die slave stale data heeft.

Maar ook dat is niet zo heel spannend als je netjes resolvers en authoritative nameservers uit elkaar houdt.

---

Het BIND team wil dit niet omdat ze vinden (staat ergens in een rfc geloof ik, en dat is natuurlijk heilig) dat een NOTIFY alleen een freshness-check mag uitvoeren en niets extra's.

Ook zover mij bekend is PowerDNS de enige die deze functionaliteit heeft. Die inderdaad erg nuttig is, en wat volgens mij ook de nummer 1 reden is voor veel mensen om pdns als slave te draaien, zelfs al gebruiken ze geen pdns als master. (Ik heb dat zelf ook een tijdlang zo gedaan trouwens.)

SimpleDNS en Infoblox hebben die functionaliteit ook. Het is echter een proprietary functionaliteit (werkt alleen met of tussen die systemen). Er is momenteel geen algemene standaard (RFC) die dit toelaat. DNS transfers waren vroeger enkel client-based. Dus de slave ging (met een timeout) queryen of er een nieuw DNS zone was. DNS Notify stamt uit 1996 en is dus zo geimplementeerd.

3.10. If a slave receives a NOTIFY request from a host that is not a
known master for the zone containing the QNAME, it should ignore the
request and produce an error message in its operations log.

Note:
This implies that slaves of a multihomed master must either know
their master by the "closest" of the master's interface
addresses, or must know all of the master's interface addresses.
Otherwise, a valid NOTIFY request might come from an address
that is not on the slave's state list of masters for the zone,
which would be an error.

Wat je kunt doen als je BIND wil gebruiken is een scriptje maken die een slave config en een rndc reload doet voor je. Ik geloof dat Webmin dit soort synchronisatie ook kan. Je kunt ook de MySQL BIND SDB Driver gebruiken en zien of je daar iets mee kunt doen - de synchronisatie gebeurt dan via MySQL.

[ Voor 5% gewijzigd door Guru Evi op 29-01-2011 04:23 ]