DLV на dnssec устарел?

Я пытаюсь настроить рекурсивный DNS, который также имеет свою собственную зону с использованием привязки.

Теперь я хочу обновить его, чтобы использовать dnssec, но, насколько я понял, я должен использовать DLV, если у меня нет доменного имени.

Однако несколько гидов, которые мне удалось найти, говорят, что вам нужно зарегистрироваться в dlv.isc.org которого не существует. И в книге, которую я читал о DNSSEC, говорится, что DLV будет устаревать, поэтому мне интересно. (Если вы знаете какое-либо пошаговое руководство по его настройке, мы тоже будем признательны)

В то время dlv.isc.org сервер больше не работает, вы все равно можете установить другой сервер DNSSEC Lookaside в вашей конфигурации Bind 9 через dnssec-lookaside вариант. Если ключ для example.com не может быть проверено, имя резервного сервера будет добавлено к нему, и проверка начнется заново с использованием доверенного ключа резервного сервера. Я не тестировал, но считаю, что это не решит вашу проблему: частный домен как lan. в наши дни могут быть положительно подтверждены как несуществующие, поэтому внешний запрос выполняться не будет.

Итак, что можно сделать, чтобы обеспечить lan. зона? Это зависит от использования:

DNS-сервер, который вы хотите использовать как проверка рекурсивного преобразователя и авторитетный сервер для lan. зона не требует дополнительной настройки (я предполагаю dnssec-validation уже включен):
- он будет служить lan. зона из файла зоны и вернуть ответ без в AD флаг,
- когда поступает запрос для других доменов, он выполняет рекурсивный запрос, проверяет результаты и, только если они действительны, возвращает ответ с участием в AD флаг. Если домен не проверяет SERVFAIL будет издано.
В преобразователи заглушек, которые используют ваш DNS-сервер, полагаются на поведение вашего DNS-сервера при проверке, поэтому они будут разрешать lan. без проблем. Однако, поскольку общение между преобразователь заглушек и сервер не зашифрован, результаты могут быть изменены в пути. Вы можете использовать подписи TSIG или TLS для его защиты.
В проверка преобразователей заглушек требовать от вас добавить надежные якоря к их конфигурации.

Я сомневаюсь, что вы хотите настраивать сервер Bind9 на каждом клиент машина действовать как проверка заглушки преобразователя (есть лучшие альтернативы, такие как systemd-разрешено, dnsmasq или несвязанный), но если это так, вам нужно сначала получить ключ для вашего lan. зона:

piotr@akela:~$ dig lan. DNSKEY +short
257 3 13 nnbo5DS5vyxB0OjUd7GbcrmXY7TgdGstk4xqXpu2wvXyoFa0YRqjLcHM QJGMguTrKJVYklMNRQXrStvawSF5eg==

Затем вам нужно будет добавить ключ как доверенный, разрешить рекурсивные запросы только из localhost и перенаправить запросы на «настоящий» DNS-сервер (скажем, на 192.168.0.1):

options {
    directory "/var/cache/bind";
    listen-on { localhost; };
    listen-on-v6 { localhost; };
    recursion yes;
    allow-query { localhost; };
    forwarders { 192.168.0.1; };
};
trusted-keys {
    lan. 257 3 13 "nnbo5DS5vyxB0OjUd7GbcrmXY7TgdGstk4xqXpu2wvXyoFa0YRqjLcHM QJGMguTrKJVYklMNRQXrStvawSF5eg==";
};

В конце вам просто нужно добавить localhost как единственный DNS-сервер в /etc/resolv.conf:

nameserver ::1;

редактировать: systemd-разрешено конфигурация еще проще: просто добавьте свой DNSKEY в файл с именем /etc/dnssec-trust-anchors.d/<your_name>.positive:

lan. IN DNSKEY 257 3 13 nnbo5DS5vyxB0OjUd7GbcrmXY7TgdGstk4xqXpu2wvXyoFa0YRqjLcHM QJGMguTrKJVYklMNRQXrStvawSF5eg==

и принудительно включить DNSSEC /etc/systemd/resolved.conf:

DNSSEC=yes