Регистрация Войти
Рейтинг:0
Bob C. avatar Server

Как внешние URL-адреса разрешаются FreeIPA?

флаг za
Bob C.

Мы используем FreeIPA версии 4.6.8 на Centos 7.9.2009 и имеем несколько зон DNS, определенных для локальных ресурсов, работающих внутри нашей частной сети. Чтобы это работало, мы вводим IP-адрес нашего ipa-сервера в качестве DNS-сервера в нашей внутренней сети.Все работает, как и ожидалось, но я не понимаю, как разрешаются внешние сайты. Если я выполню копать google.com, ответ показывает, что запрашивается IP-адрес сервера ipa, как показано ниже.

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.5 <<>> google.com
;; глобальные параметры: +cmd
;; Получил ответ:
;; ->>HEADER<<- код операции: QUERY, статус: NOERROR, id: 6083
;; флаги: qr rd ra; ЗАПРОС: 1, ОТВЕТ: 1, ВЛАСТЬ: 4, ДОПОЛНИТЕЛЬНО: 9

;; ДОПОЛНИТЕЛЬНЫЙ ПСЕВДОРАЗДЕЛ:
; ЭДНС: версия: 0, флаги:; UDP: 4096
;; РАЗДЕЛ ВОПРОСОВ:
;google.com. В

;; РАЗДЕЛ ОТВЕТОВ:
google.com. 300 В А 142.250.65.174

;; ОТДЕЛ ПОЛНОМОЧИЙ:
google.com. 150064 В NS ns4.google.com.
google.com. 150064 В NS ns1.google.com.
google.com. 150064 В NS ns2.google.com.
google.com. 150064 В NS ns3.google.com.

;; ДОПОЛНИТЕЛЬНЫЙ РАЗДЕЛ:
ns2.google.com. 150040 В А 216.239.34.10
ns1.google.com. 150040 В А 216.239.32.10
ns3.google.com. 150040 В А 216.239.36.10
ns4.google.com. 150040 В А 216.239.38.10
ns2.google.com. 150040 В АААА 2001:4860:4802:34::а
ns1.google.com. 150040 В АААА 2001:4860:4802:32::а
ns3.google.com. 150040 В АААА 2001:4860:4802:36::а
ns4.google.com. 150040 В АААА 2001:4860:4802:38::а

;; Время запроса: 10 мс
;; СЕРВЕР: 10.xx.xx.xx#53(10.xx.xx.xx) <<<---- IP нашего сервера FreeIPA
;; КОГДА: вторник, 26 октября, 11:38:02 по восточному поясному времени 2021 г.
;; РАЗМЕР MSG rcvd: 303

Поскольку у меня не определен ни глобальный сервер пересылки, ни какие-либо другие серверы пересылки, я не понимаю, какой DNS-сервер запрашивается следующим, если зона DNS не существует в нашем FreeIPA? Просматриваются ли серверы имен, определенные в /etc/resolv.conf?

Я пытаюсь понять, как реализовать DNS-фильтрацию.Моя цель состоит в том, чтобы DNS-запросы сначала обращались к FreeIPA для разрешения локальных ресурсов, а затем обращались к DNS-серверу по адресу 185.228.168.10 (CleanBrowsing Filtered DNS).

83
0 + 0
флаг us
cutrightjm
Я бы лично удостоверился, что никакие другие DNS-серверы не используются в моей среде IPA (в основном в resolv.conf), кроме серверов IPA, а затем определил глобальную пересылку `185.228.168.10`. Вы запускали этот тест из коробки IPA, чтобы убедиться, что он прошел успешно? Если это не так, поиск должен выполняться на стороне клиента.
0
Ответить
Bob C. avatar
флаг za
Bob C.
Для целей теста, описанного выше, я запускался с сервера IPA после отключения записей в resolv.conf. Я попытаюсь определить глобальную пересылку, как было предложено.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.