Lokaler DNS

Bind, PowerDNS
User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Lokaler DNS

Post by daemotron » 2008-11-25 10:21

Moin,

ich muss mich mit dem Thema DNS-Server auf für mich bisher unbekanntes Territorium vorwagen. Dabei geht es um folgendes Szenario: Ich habe auf einem Server mehrere Jails, die alle hinter einem NAT-Router stecken und auf internen IPs lauschen. Allerdings sind darunter auch Jails, die eigentlich in einer DMZ stehen würden und auf denen HTTP-Applikationsserver laufen. Einige von denen lassen sich nur dann hinter einem Reverse Proxy betreiben, wenn sie mit ihrem externen Hostnamen angesprochen werden können.

Bisher habe ich das so gelöst, dass ich in den Jails die Nameserver des Providers verwendet habe und für lokale Adressen oder Overrides entsprechende Einträge in /etc/hosts gepflegt habe. Diese hat an Umfang aber mittlerweile beträchtlich zugenommen, und ich muss sie auch über eine größere zweistellige Zahl von Jails synchron halten. Deshalb würde ich dieses System gerne durch einen DNS-Server ablösen. Dabei sollen für die Namensauflösung gelten:
Interne Namen => DNS ist Master und bestimmt die Auflösung
Externe Namen, für die ein Override hinterlegt ist => Der DNS ist Master und überstimmt die Auflösung, die man beim tatsächlichen Master erhalten würde
sonstiges => DNS gibt nur wieder, was er vom Provider-DNS erhält.

Nun meine Frage: Ist so etwas überhaupt möglich? Insbesondere Punkt 2 macht mir etwas Kopfzerbrechen. Wenn ja, welchen DNSd würdet ihr mir empfehlen? Die Anfragelast dürfte gering sein, der Server ist nicht öffentlich erreichbar, Hauptkriterium ist also einfache Installation, Konfiguration und Wartung. Wonach sollte ich am besten suchen? Habe irgendwie nicht die richtigen Begriffe, gerade für den zweiten Punkt fehlt mir der passende Ausdruck, um bei Google & Co. etwas brauchbares zu Tage zu fördern...

tiax
Posts: 10
Joined: 2006-02-05 14:20

Re: Lokaler DNS

Post by tiax » 2008-11-25 13:41

klingt ein wenig nach dnsmasq

oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Lokaler DNS

Post by oxygen » 2008-11-25 14:15

dnsmasq könnte das. wartungsaufwand sparst du aber nicht, im gegenteil. ich würde powerdns nehmen.

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Lokaler DNS

Post by Roger Wilco » 2008-11-25 19:17

oxygen wrote:dnsmasq könnte das. wartungsaufwand sparst du aber nicht, im gegenteil.

Doch. BIslang ist wohl in jedem Jail eine eigene /etc/hosts Datei vorhanden, die jeweils gepflegt und auf den neuesten Stand gebracht werden will. Mit dnsmasq beschränkt sich der Pflegeaufwand auf eine einzige /etc/hosts. Die Systeme in den Jails erhalten ihre namensinformationen dann von dnsmasq.

Mein Tipp heißt also ebenfalls: dnsmasq.

oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Lokaler DNS

Post by oxygen » 2008-11-25 19:27

Roger Wilco wrote:
oxygen wrote:dnsmasq könnte das. wartungsaufwand sparst du aber nicht, im gegenteil.

Doch. BIslang ist wohl in jedem Jail eine eigene /etc/hosts Datei vorhanden, die jeweils gepflegt und auf den neuesten Stand gebracht werden will. Mit dnsmasq beschränkt sich der Pflegeaufwand auf eine einzige /etc/hosts. Die Systeme in den Jails erhalten ihre namensinformationen dann von dnsmasq.

Damit spart man sich das (automatisierbare) Verteilen der hosts Datei, es spricht ja nichts dagegen innerhalb jedes Jails die gleiche Datei zu verwenden.
Jedoch muss man sie trotzdem manuell pflegen. Mit PowerDNS dagegen könnte man das ganze z.B. über eine Weboberfläche bedienen.

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Lokaler DNS

Post by Roger Wilco » 2008-11-25 19:33

oxygen wrote:Mit PowerDNS dagegen könnte man das ganze z.B. über eine Weboberfläche bedienen.

Für die /etc/hosts kann man durchaus auch ein kleines Webinterface schreiben. ;)
Ich finde einen ausgewachsenen DNS-Server wie für PowerDNS etwas übertrieben für den Einsatzzweck.

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Lokaler DNS

Post by daemotron » 2008-11-25 23:00

Danke, ich glaube, dnsmasq ist für mich das richtige. Weboberfläche brauche ich nicht, aber das kopieren und verteilen der /etc/hosts ist bei Jails ein bisschen heikel, da ein von außen geöffnetes File Handle u.U. zum Ausbruch genutzt werden kann. Deswegen konnte ich nicht einfach ein triviales Shell-Skripte verwenden...

Und nachdem ich heute mit BIND herumexperimentiert habe, bin ich davon überzeugt, dass ich keinen vollwertigen DNS-Server betreiben will :wink: