我在 Internet DMZ 中使用 bind 9.9.2 作为 DNSSEC 验证递归解析器。我想将我的内部 DNS 服务器作为存根区域(理想情况下)或从属区域以外的任何区域(以避免非常大的区域传输)。我们使用可路由的 ip 空间进行内部寻址。抱歉,如果我在示例中使用的是您拥有的 IP 空间,但 167.xxx 是我发现的第一个适合我的问题的区域。
例如
dnssec-enable yes;
dnssec-validation yes;
dnssec-accept-expired no;
zone "16.172.in-addr.arpa" {
type stub;
masters { 167.255.1.53; }
}
zone "myzone.com" in {
type stub;
masters { 167.255.1.53; }
}
当查询到达 DNS 服务器时,它们尝试进行验证,但失败了,因为 167.in-addr.arpa 有一个 RRSIG 记录,但子区域没有(也不应该!)。本示例中使用了 Google dns,但实际上它是我的递归解析器。
@8.8.8.8 -x 167.255.1.53 +dnssec
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 17488
;; flags: qr …