Unbound mit privaten reverse Zonen

Abstract

Kürzlich wollte ich einen lokalen caching only DNS Resolver mit Unbound in einem Intranet aufsetzen. Es zeigte sich, dass die Einrichtung für private Reverse Zonen nicht ganz einfach ist. Hier nur kurz ein Ausschnitt der dafür relevanten Teile der Konfig.

Kürzlich wollte ich einen lokalen caching only DNS Resolver mit Unbound in einem Intranet aufsetzen. Es zeigte sich, dass die Einrichtung für private Reverse Zonen nicht ganz einfach ist. Hier nur kurz ein Ausschnitt der dafür relevanten Teile der Konfig.

forward-zone:
      name: "example.com"
      forward-addr: ip.ad.re.sse
      forward-addr: ip.ad.re.sse
      forward-first: yes #Option

forward-zone:
      name: "example.org"
      forward-addr: ip.ad.re.sse
      forward-addr: ip.ad.re.sse
      forward-first: yes # Option

server:
local-zone: "168.192.in-addr.arpa." nodefault
stub-zone:
name: "168.192.in-addr.arpa."
stub-addr: ip.ad.re.sse
stub-addr: ip.ad.re.sse

server:
local-zone: "10.in-addr.arpa." nodefault
stub-zone:
name: "10.in-addr.arpa."
stub-addr: ip.ad.re.sse
stub-addr: ip.ad.re.sse

Alternativ zu forward-zone lt. Carsten Strotmann:

Um eine Anfrage an einen DNS-Server weiterzuleiten, der authoritativ fuer die Zone ist (also mit einem "AA"-Flag antwortet), sollte eine "stub" Zone verwendet werden. Per "stub" Zone wird die normale DNS-Aufloesung um eine private Delegation ergaenzt. Das ist schneller und sauberer als Forwarding.

stub-zone:
name: "example.com"
stub-addr: ip.ad.re.sse
stub-addr: ip.ad.re.sse
stub-prime: yes #Option

stub-zone:
name: "example.org"
stub-addr: ip.ad.re.sse
stub-addr: ip.ad.re.sse
stub-prime: yes # Option
Robert Schetterer, 27. February 2015

   unbound