Thank you for reading this post, don't forget to subscribe!
Split DNS (или split-horizon, или split-brain) — это конфигурация, позволяющая отдавать разные записи зон DNS в зависимости от подсети источника запроса. Ее можно реализовать с применением нескольких разных серверов DNS, однако, Bind позволяет сделать нужную нам настройку на одном единственном сервере с помощью view.
Настройка Bind
Первым делом настроим view. Открываем конфигурационный файл. В зависимости от типа операционной системы, его местоположение будет разным.
а) в CentOS / Red Hat:
vi /etc/named.conf
б) в Ubuntu / Debian:
vi /etc/bind/named.conf.default-zones
* в вашей инфраструктуре для описания зон могут использоваться другие файлы. Стоит это учитывать при настройке view.
Пример конфигурации для зон в 3-х представлениях — 2 внутренние сети и все остальные:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 |
1 ... 2 acl "internal-01" {192.168.0.0/24; }; 3 acl "internal-02" {192.168.1.0/24; }; 4 5 view "internal-01" { 6 match-clients { "internal-01"; }; 7 8 zone "test.ru" IN { 9 type master; 10 file "master/test.ru.in01"; 11 }; 12 }; 13 14 view "internal-02" { 15 match-clients { "internal-02"; }; 16 17 zone "test.ru" IN { 18 type master; 19 file "master/test.ru.in02"; 20 allow-transfer { 192.168.1.15; }; 21 }; 22 }; 23 24 view "external" { 25 match-clients { "any"; }; 26 27 zone "test.ru" IN { 28 type master; 29 file "master/test.ru.any"; 30 }; 31 }; |
- 2, 3 — создаем 2 acl, в которых описываем подсети наших внутренних сетей. После мы их будем использовать для определения доступа к view.
- 5 - 12 — наш первый view для первой внутренней сети. В опции match-clients мы должны перечислить acl, для клиентов которой нужно отдавать записи зон, входящих в данный view.
- 14 - 22— view для второй внутренней сети. Обратите внимание, что здесь мы указали другие acl, файл с настройками зоны. Также для данной зоны мы разрешили трансфер на адрес 192.168.1.15.
- 24 - 31 — последняя view для всех остальных клиентов (как правило, из сети Интернет).
Особенности настройки
Мы создали конфигурацию для нашего сервера DNS. Давайте попробуем разобраться, какие три нюанса нужно учитывать.
1. Any должен быть внизу.
Наши блоки view читаются системой сверху вниз. Если сервер DNS при поиске нужной зоны натыкается на подходящий вариант, он использует его. Таким образом, если view с match-clients { "any"; }; поместить в самый верх, будет использоваться только этот блок, а другие так и не задействуются.
2. Настройка зон внутри view.
Внутри view мы можем описывать зоны по-разному. Это могут быть различные настройки или разное количество зон, например, для одного из представлений мы можем создать только одну зону, когда в остальных их может быть больше. Другими словами, view не обязаны зеркалировать друг друга.
3. Вне view не должно быть зон.
Как только мы начали применять view, вне этих блоков не должно быть ни одной зоны. Мы не можем сделать общие настройки для одних зон, а другие поместить внутрь представлений. В противном случае, bind при попытке перезапуска выдаст ошибку.
Создание зон
В нашей конфигурации мы описали зону test.ru в трех view. Соответственно, нам нужно создать 3 файла. В зависимости от типа операционной системы, их местоположение будет различаться.
а) CentOS / Red Hat:
mkdir /var/named/master
б) Ubuntu / Debian:
mkdir /var/cache/bind/master
* если мы еще не создавали зоны, то создаем данные каталоги.
Теперь можно создавать сами файлы для зон.
а) CentOS / Red Hat:
vi /var/named/master/test.ru.in01
б) Ubuntu / Debian:
vi /var/cache/bind/master/test.ru.in01
Пример файла с минимально необходимым набором записей:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
$TTL 14400 test.ru. IN SOA ns1.test.ru. admin.test.ru. ( 2020120401 ; Serial 10800 ; Refresh 3600 ; Retry 604800 ; Expire 604800 ; Negative Cache TTL ) IN NS ns1.test.ru. @ IN A 192.168.0.20 ns1 IN A 192.168.0.2 |
* это файл для зоны test.ru во view «internal-01». Он будет возвращать IP для записи 192.168.0.20. Предполагается, что адрес DNS-сервера в данном сетевом сегменте 192.168.0.2.
Создаем описание для зоны в следующем view.
а) CentOS / Red Hat:
vi /var/named/master/test.ru.in02
б) Ubuntu / Debian:
vi /var/cache/bind/master/test.ru.in02
Содержимое:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
$TTL 14400 test.ru. IN SOA ns1.test.ru. admin.test.ru. ( 2020120401 ; Serial 10800 ; Refresh 3600 ; Retry 604800 ; Expire 604800 ; Negative Cache TTL ) IN NS ns1.test.ru. @ IN A 192.168.1.20 ns1 IN A 192.168.1.2 |
* файл для зоны во view «internal-02». Он будет возвращать IP для записи 192.168.1.20. Предполагается, что адрес DNS-сервера в данном сетевом сегменте 192.168.1.2.
Наконец, создаем последний файл.
а) CentOS / Red Hat:
vi /var/named/master/test.ru.any
б) Ubuntu / Debian:
vi /var/cache/bind/master/test.ru.any
Его содержимое:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
$TTL 14400 test.ru. IN SOA ns1.test.ru. admin.test.ru. ( 2020120401 ; Serial 10800 ; Refresh 3600 ; Retry 604800 ; Expire 604800 ; Negative Cache TTL ) IN NS ns1.test.ru. @ IN A 92.53.123.166 ns1 IN A 92.53.123.165 |
* файл для зоны во view «external». Он будет возвращать IP для записи 92.53.123.166. Предполагается, что адрес DNS-сервера в данном сетевом сегменте 92.53.123.165.
Проверка
Настройки завершены. Чтобы убедиться в их корректности, первым делом, проверяем конфигурационный файл командой:
named-checkconf
* команда должна вернуть пустую строку.
После проверяем корректность настройки зон:
named-checkconf -z
Команда должна вернуть что-то на подобие:
zone test.ru/IN: loaded serial 2020120401
zone test.ru/IN: loaded serial 2020120401
zone test.ru/IN: loaded serial 2020120401
* в данном примере для зоны test.ru проверены все файлы. Они корректны.
Теперь можно перезапустить сервер DNS.
а) CentOS / Red Hat:
systemctl restart named
б) Ubuntu / Debian:
systemctl restart bind9
Переходим на клиентский компьютер в первом сетевом сегменте (192.168.0.0/24). Для проверки работы нашего сервера вводим команду (на Linux или Windows клиенте):
nslookup test.ru 192.168.0.2
Мы должны увидеть IP из нашей зоны во view internal-01:
Server: 192.168.0.2
Address: 192.168.0.2#53
Name: test.ru
Address: 192.168.0.20
Переходим на другой компьютер в сетевом сегменте 192.168.1.0/24. Вводим:
nslookup test.ru 192.168.1.2
В моем случае был получен уже другой ответ:
Server: 192.168.1.2
Address: 192.168.1.2#53
Name: test.ru
Address: 192.168.1.20
Выполняем команду с компьютера вне диапазонов 192.168.0.0/24 или 192.168.1.0/24:
nslookup test.ru 92.53.123.165
Пример ответа:
Server: 92.53.123.165
Address: 92.53.123.165#53
Name: test.ru
Address: 92.53.123.166
Мы настроили Split DNS на Linux сервере с Bind.
Альтернативы
Немного слов о других реализациях, которые позволят развернуть Split DNS на едином устройстве/сервере.
- DNS сервер на Microsoft Windows Server 2016. Позволяет использовать ZoneScope для разделения ответов для одной и той же зоны в зависимости от источника запроса.
- Mac OS X Server. Но это тот же Bind.
- На роутерах Mikrotik (с версии прошивки 6.47).