PDA

Bekijk Volledige Versie : IPv6 en wildcard Reverse DNS



Wouter-Ospito
23/02/11, 16:28
Ik wil voor een /32-range een wildcard reverse DNS zone hebben, nou is dat op zich niet zo moeilijk en is dit gewoon een kwestie van de volgende regel in je reverse DNS zone opnemen:



*.x.x.x.x.x.x.x.x.ip6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.


Echter, het feest begint als je voor een enkel IP-adres een eigen PTR-record wilt toevoegen en de rest gebruik wilt laten maken van de wildcard. Als je dit bijv. voor IP-adres xxxx:xxxx:8000::1 wilt doen, zou dit de config moeten zijn in de reverse DNS zone:



1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.x. x.x.x.x.x.x.x.ip6.arpa. IN PTR server1.bedrijf.nl.
*.x.x.x.x.x.x.x.x.ip6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.


Hiermee werkt de Reverse DNS gewoon op IP xxxx:xxxx:8000::1. en met de rest beginnend met "xxxx:xxxx:8000" is het dan over (not found), IP's in andere "ranges" werken nog wel (bijv. xxxx:xxxx:7000::1) en komen dan ook nog gewoon op de wildcard uit.

"Oplossing" hiervoor is het volgende in de Reverse DNS zone opnemen:



1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.x. x.x.x.x.x.x.x.ip6.arpa. IN PTR server1.bedrijf.nl.
*.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.x. x.x.x.x.x.x.x.ip6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.
*.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.x.x. x.x.x.x.x.x.ip6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.
*.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.x.x.x. x.x.x.x.x.ip6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.
*.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.x.x.x.x. x.x.x.x.ip6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.
*.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.x.x.x.x.x. x.x.x.ip6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.
*.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.x.x.x.x.x.x. x.x.ip6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.
*.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.x.x.x.x.x.x.x. x.ip6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.
*.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.x.x.x.x.x.x.x.x. ip6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.
*.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.x.x.x.x.x.x.x.x.ip 6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.
*.0.0.0.0.0.0.0.0.0.0.0.0.0.8.x.x.x.x.x.x.x.x.ip6. arpa. IN PTR niet-in-gebruik.bedrijf.nl.
*.0.0.0.0.0.0.0.0.0.0.0.0.8.x.x.x.x.x.x.x.x.ip6.ar pa. IN PTR niet-in-gebruik.bedrijf.nl.
*.0.0.0.0.0.0.0.0.0.0.0.8.x.x.x.x.x.x.x.x.ip6.arpa . IN PTR niet-in-gebruik.bedrijf.nl.
*.0.0.0.0.0.0.0.0.0.0.8.x.x.x.x.x.x.x.x.ip6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.
*.0.0.0.0.0.0.0.0.0.8.x.x.x.x.x.x.x.x.ip6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.
*.0.0.0.0.0.0.0.0.8.x.x.x.x.x.x.x.x.ip6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.
*.0.0.0.0.0.0.0.8.x.x.x.x.x.x.x.x.ip6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.
*.0.0.0.0.0.0.8.x.x.x.x.x.x.x.x.ip6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.
*.0.0.0.0.0.8.x.x.x.x.x.x.x.x.ip6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.
*.0.0.0.0.8.x.x.x.x.x.x.x.x.ip6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.
*.0.0.0.8.x.x.x.x.x.x.x.x.ip6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.
*.0.0.8.x.x.x.x.x.x.x.x.ip6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.
*.0.8.x.x.x.x.x.x.x.x.ip6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.
*.8.x.x.x.x.x.x.x.x.ip6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.
*.x.x.x.x.x.x.x.x.ip6.arpa. IN PTR niet-in-gebruik.bedrijf.nl.


Echter, dat is natuurlijk niet echt ideaal. Als je voor een groot deel van de losse IP'tjes zo'n lap code moet opnemen in je Reverse DNS zone. Iemand een idee hoe dit netter op te lossen?

zebaz
23/02/11, 17:04
Weet je zeker dat je niet iets anders fout doet? De eerste configuratie (met een enkel wildcard-record) werkt hier vanuit PowerDNS prima. Er zou ook geen reden mogen zijn dat het mis gaat op de grens van een specifieke groep van 16 bits: de hierarchie in de DNS-zone is immers per 4 bits/los cijfer.

Wouter-Ospito
23/02/11, 17:56
Ik zou niet weten wat, maar 100% uitgesloten is het natuurlijk nooit. ;)

Feit is wel dat het echt niet meer werkt zodra "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.x. x.x.x.x.x.x.x.ip6.arpa. IN PTR server1.bedrijf.nl." is toegevoegd, en daarvoor wel. Op de query komt na toevoegen gewoon een "not found" retour, terwijl die het vlak daarvoor nog wel deed en als ik de PTR van het losse IP verwijder doet de wildcard het ook weer prima.

vDong
23/02/11, 18:28
Heb hier hetzelfde als zebaz, 1 wildcard record in powerdns en dat werkt.

Wouter-Ospito
23/02/11, 18:37
Heb hier hetzelfde als zebaz, 1 wildcard record in powerdns en dat werkt.

Als ik alleen die wildcard PTR toevoeg, werkt het hier ook. Maar wat als je voor een los IP (in dezelfde range) een extra PTR-record toevoeg? Wij gebruiken overigens Bind/Named.

Mark17
23/02/11, 20:22
Als ik alleen die wildcard PTR toevoeg, werkt het hier ook. Maar wat als je voor een los IP (in dezelfde range) een extra PTR-record toevoeg? Wij gebruiken overigens Bind/Named.

Met PowerDNS zou dat gewoon moeten werken. Indien gewenst kan ik dit wel even voor je gaan testen morgen.

vDong
23/02/11, 22:54
Als ik alleen die wildcard PTR toevoeg, werkt het hier ook. Maar wat als je voor een los IP (in dezelfde range) een extra PTR-record toevoeg? Wij gebruiken overigens Bind/Named.

Geen enkel probleem, ik heb bij het instellen van die zone gelijk een stuk of 4 ips toegevoegd.

Wouter-Ospito
23/02/11, 23:08
Het lijkt er dan dus op dat dit een specifiek "probleem" is in Bind/Named. Kan iemand anders die ook Bind/Named gebruikt bevestigen dat die dit probleem wel of niet is tegengekomen?

basdoorn
24/02/11, 01:25
Net even zitten testen voor je, omdat IPv6 ook mijn interesse heeft. Ik kan de noodzaak voor de hele opsomming aan het einde van het bestand bevestigen, zonder een regel met precies de juiste lengte en een wildcard pakt BIND 9.7.0 in Ubuntu 10.04 LTS de reverse DNS wildcard ook niet. Ook nog even een wildcard binnen de origin sectie van de normale reverse DNS records geprobeerd, maar ook dat gaf niet het gewenste resultaat.

Wouter-Ospito
24/02/11, 08:58
Top, bedankt voor het testen allemaal. Ben ik dus toch nog niet gek. ;)

Ik zal eens kijken of ik dit bij Bind/Named kan aankaarten. Mocht er iemand nog een andere methode hebben die wel werkt onder Bind/Named, dan hoor ik dat uiteraard alsnog graag. Mocht ik meer te weten komen post ik het uiteraard ook weer hier.

zebaz
24/02/11, 10:41
Misschien interessant om te testen of dit bij een eenvoudigere testcase ook fout gaat, bijvoorbeeld als je:

*.test IN A 127.0.0.1
subdomein.ergens.onder.test IN A 127.0.0.2

doet, resolvet dit.is.een.test dan ook niet meer? Ik kan me voorstellen dat er een bug of 'specifieke functionaliteit' in bind zit mbt de verwerking van wildcards op verschillende niveaus. Dit om te voorkomen dat je met een kluitje 'dat gebruikt toch niemand' in het riet wordt gestuurd.

almar
24/02/11, 16:36
Heb je hier wat aan?

https://lists.isc.org/pipermail/bind-users/2006-December/065290.html