Статическая dns запись на определенный домен в bind

Нужно создать статическую днс-запись для внутренних обслуживаемых потребителей - чтобы внешний адрес резолвился у них в один из серых адресов.

Алярм! Спуфир вчати!

При прямом запросе к твоему dns серверу в эту зоны должны отдаваться записи.

Клиенты должны быть настроены на использование твоего dns сервера.

К примеру, systemd-resolved может не использовать выдаваемый по dhcp или указанный иным способом dns сервер, а делать разрешение от корневых серверов.

Проверяй, настраивай. Конфигов ты не привел.

Да, это вам не Mikrotik, тут уметь нужно)

При прямом запросе к твоему dns серверу в эту зоны должны отдаваться записи. Клиенты должны быть настроены на использование твоего dns сервера

Должны, причем как от прямых обращений пользователей интрасети, так и от самого шлюза, использующего в качестве dns свой же локалхост, так как локальный dns использует и squid, который в том числе обслуживает запросы пользователей.

Вот стандартная оснастка. Нужно, чтобы test.linux.org.ru при его запросе у потребителей, использующих данный bind в качестве dns, резолвился в 192.168.192.168

Реализация?

В named.conf

zone «example.org» { type master; file «master/example.org»; };

В example.org

$TTL 120

@ IN SOA example.org. root.example.org. ( 2025081416 ; Serial 120 ; Refresh 900 ; Retry 3600000 ; Expire 3600 ) ; Minimum

           NS      example.org.

test.linux.org.ru. IN A 192.168.192.168

@ IN SOA example.org. root.example.org.
…
test.linux.org.ru. IN A 192.168.192.168

хм. А разве так можно?

Да, такое делается через специальную зону rpz.

хм. А разве так можно?

А как нужно? Для этого шаблон и привел.

Не с того конца это делается.

На клиенте может быть указан абсолютно любой DNS-сервер, и все эти пляски будут впустую.

Можно на уровне файерволла редиректить любые запросы на 53 порт любого адреса на свой DNS-сервер. С DoH, DoT, и прочей маргинальщиной типа dnscrypt работать не будет, но вряд ли таких клиентов окажется много.

На клиенте может быть указан абсолютно любой DNS-сервер, и все эти пляски будут впустую.

Не может. У них выбора другого нет, кроме того, что им выдали. Как решить в bind.

хм, я для таких случаев обычно юзал или режик или сквидгуард …

хм, я для таких случаев обычно юзал или режик или сквидгуард …

Понеслось)) Как решить задачу средствами bind.

А вы уже отрезали 53 порт наружу?

Человек выше уже подсказал все…

А вы уже отрезали 53 порт наружу?

Лет 15 тому назад еще.

Человек выше уже подсказал все…

Что и кто, rpz?

Как решить в bind.

Выше Dimez написал про RPZ, мне добавить нечего.

Я давно не трогал BIND9, так что меня лучше не спрашивать советов. (=

Неть.

Зона test.linux.org.ru, а в файле зоны

@ in a 192.168.192.168

в конфиге в разделе «options добавь

        response-policy {
                zone "rpz.zone" policy given;
        } qname-wait-recurse no;

zone "rpz.zone" in {
	type master;
	file "pri/rpz.zone";
        allow-update { none; };
	allow-query { any; };
};

$TTL 10
@       IN SOA rpz. admin.localhost.biz.my. (
	    2 ; serial
	    10 ; refresh
	    15 ; retry
	    10 ; expire
	    10 ; nxdomain ttl
 )

@       IN      NS     localhost.
iptv.local	A	192.168.1.1
wpad	CNAME	*.	; return NODATA
google.com	CNAME	*.	; return NODATA

named.conf

zone «test.linux.org.ru» { type master; file «master/linux.local»; };

linux.local

$TTL 120

@ IN SOA test.linux.org.ru. root.test.linux.org.ru. ( 2025081501 ; Serial 120 ; Refresh 900 ; Retry 3600000 ; Expire 3600 ) ; Minimum

@ IN NS localhost.

@ IN A 192.168.192.168

Ну вот так nslookup test.linux.org.ru IP_LOCAL-DNS отрабатывает от клиентов корректно, на самом сервере также резолв работает, спасибо.

rpz вещь прогрессивная и правильная, спасибо. Но упрощенный вариант тоже выполняет задачу. В качестве единичной записи-заглушки в общем оба варианта верны.