Antwort von authorative-only Server für Nich-Zuständigkeit

[hever]

Hallo zusammen,

ich habe einen authorative-only Server eingerichtet, also einen Nameserver der nur auf Anfragen für Zonen für die der Server die Autorität besitzt antworten soll.

Meine Frage ist nun: Welche Antwort möchte ich auf Anfragen geben für die ich nicht zuständig bin, also nicht auflösen will?

Frage ich google.com ab erhalte ich folgende Antwort von meinem Server:

hever@hever:~/$ dig @172.20.0.2 google.com

; <<>> DiG 9.4.2-P2 <<>> @172.20.0.2 google.com
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 36026
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;google.com. IN A

;; Query time: 45 msec
;; SERVER: 172.20.0.2#53(172.20.0.2)
;; WHEN: Fri Nov 14 10:56:37 2008
;; MSG SIZE rcvd: 28

Ich denke hiermit könnte ein Resolver Probleme bekommen, weil er eine Antwort erhält, jedoch ohne IP.

Frage ich allgemein eine nicht existierende Domain ab, erhalte ich folgende Antwort:

hever@hever:~/$ dig xxx

; <<>> DiG 9.4.2-P2 <<>> xxx
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 1180
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;xxx. IN A

;; AUTHORITY SECTION:
. 7200 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2008111400 1800 900 604800 86400

;; Query time: 26 msec
;; SERVER: 192.168.178.1#53(192.168.178.1)
;; WHEN: Fri Nov 14 11:41:14 2008
;; MSG SIZE rcvd: 96

hever@hever:~/$ dig thisdomaindoesnotexistt.com

; <<>> DiG 9.4.2-P2 <<>> thisdomaindoesnotexistt.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 17747
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;thisdomaindoesnotexistt.com. IN A

;; AUTHORITY SECTION:
com. 900 IN SOA a.gtld-servers.net. nstld.verisign-grs.com. 1226659412 1800 900 604800 900

;; Query time: 52 msec
;; SERVER: 192.168.178.1#53(192.168.178.1)
;; WHEN: Fri Nov 14 11:43:46 2008
;; MSG SIZE rcvd: 118

Mit einem SOA (vielleicht nur generell der eines root-servers) oder einem root NS zu Antworten erscheint mir mom. sinnvoller. Etwa "Frag lieber mal ...".
Letztendlich interessiert es nicht ob ein Resolver probleme bekommt, weil er diesen Nameserver eh nicht zur Auflösung von Adressen für die der Server nicht zuständig ist nutzen sollte. Es wäre trotzdem interessant zu wissen wie man Antworten sollte.

[Roger Wilco]

Meine Frage ist nun: Welche Antwort möchte ich auf Anfragen geben für die ich nicht zuständig bin, also nicht auflösen will?

Du willst diese Anfragen ablehnen, also REFUSED schicken. So wie es in deinem ersten Beispiel der Fall ist.

Ich denke hiermit könnte ein Resolver Probleme bekommen, weil er eine Antwort erhält, jedoch ohne IP.

Diesen (auch tatsächlich von mehr als 2 Leuten benutzten) Resolver musst du mir mal zeigen. Und selbst so etwas kaputtes schreiben zählt nicht. ;)

[hever]

Meine Frage ist nun: Welche Antwort möchte ich auf Anfragen geben für die ich nicht zuständig bin, also nicht auflösen will?

Du willst diese Anfragen ablehnen, also REFUSED schicken. So wie es in deinem ersten Beispiel der Fall ist.

Ich denke hiermit könnte ein Resolver Probleme bekommen, weil er eine Antwort erhält, jedoch ohne IP.

Diesen (auch tatsächlich von mehr als 2 Leuten benutzten) Resolver musst du mir mal zeigen. Und selbst so etwas kaputtes schreiben zählt nicht. ;)

Ahh ja ich sehe. Danke vielmals, dass du meinen Kopf auf das REFUSED gehauen hast, also eine RCODE (4 bit Response code) mit sicherlich hilfreichen Informationen für den Resolver.
Ist dann auch in der RFC beschrieben.