Хитрый DNS сервер

[fox_m]

Привет, коллеги!

 

Есть домен domain.ru. Домен и зоны держим на nic.ru. Возникла необходимость в настройке внутреннего DNS, что бы уйти от /etc/hosts. Сейчас в /etc/hosts содержаться имена хостов баз данных, clickhouse, kafka и т.п. Полностью все переносить домен и зоны на свой DNS не хотелось бы. Можно настроить внутренний DNS так, что если он не нашел имя хоста у себя, перенаправлять запросы на внешний DSN на nic.ru?

[yandrey]

Нет в этой задаче ничего хитрого, простейшие возможности простейшего dnsmasq.

[fox_m]

На счет dnsmasq уже думал. А с bind в этом случае стоит заморачиваться?

[yandrey]

Зависит от того как хочется всем этим управлять и редактировать имена хостов, предпочитаю pdns-auth, вроде, dnsmasq последних версий не ругается она отсутствие флага рекурсии в ответе, можно его сразу направлять на авторитетный dns. Ещё можно заморочиться с dnsdist перед всем чтобы гибче управлять и наблюдать интересную статистику.

[TheUser]

1 час назад, fox_m сказал:

что бы уйти от /etc/hosts

Предлагаю уйти от /etc/hosts и прийти к /etc/nsswitch.conf.

А там через LDAP резолвить, типа того:
 

hosts:  files ldap [!UNAVAIL=return] dns  

Заодно централизованное AAA через него заебенить.

[fox_m]

В общем для Bind есть два варианта решения:

 

1. Через View + ACL (https://blog.bissquit.com/unix/nastrojka-predstavlenij-view-v-bind9/)

2. Через Response Policy zone (https://stackoverflow.com/questions/18696970/how-do-i-resolve-a-dns-name-for-the-same-zone-not-found-locally-but-that-exists)

 

через RPZ мне показалось удобнее. 

 

 

[No_name]

View + ACL и не надо ничего выдумывать.

[alibek]

Когда пользовался BIND, то мне RPZ тоже показался удобнее.

Но сейчас в подобной задаче использовал бы локальный ресолвер с форвардингом (dnsmasq или unbound).

nsswitch с LDAP бы не использовал. Подобные задачи обычно редко внимания требуют, потом все эти нюансы забываешь и когда что-то случается, приходится вспоминать.

[MMM]

Посмотрите в сторону https://github.com/octodns/octodns

 

А вообще даже сам nic.ru рекомендует домены переносить на reg.ru по упрощённой схеме через личный кабинет, там и цена становится раза в 3 ниже.

[fox_m]

Цены да, на nic.ru конские стали. Особенно на SSL сертификаты.

[No_name]

23 часа назад, fox_m сказал:

Привет, коллеги!

Полностью все переносить домен и зоны на свой DNS не хотелось бы. Можно настроить внутренний DNS так, что если он не нашел имя хоста у себя, перенаправлять запросы на внешний DSN на nic.ru?

 

А у вас сильно дианмиченое изменение зон что ли? Если статичны, то на внешнем днс прописать зоны которые видны для мира и пусть к нему обращаются, а для себя сделать отдельный внутренний днс, кмк это практичнее.

 

[fox_m]

Нет, зоны не часто обновляем. По сути да, нужен локальный днс для конкретных хостов. А если в локальном днс не нашел, то отправлять уже на внешний. 

 

View + ACL показался неудобен тем, что если для зоны он ен нашел записи, то говорит, что не нашел ничего (может конечно я что-то не докрутил). А в случае с RPZ он отправляет запрос на внешний ДНС. По сути, в RPZ ты просто перечисляешь хосты, которые тебе нужно переопределить.

[yandrey]

15 часов назад, MMM сказал:

nic.ru рекомендует домены переносить на reg.ru по упрощённой схеме через личный кабинет, там и цена становится раза в 3 ниже.

Хозяин у этих регистраторов один, перегонят по "упрощённой схеме", потом там поднимут цены в разы!

В переходе к другому регистратору нет ничего сложного, гораздо проще смены владельца домена.