[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: BGP4 und Filterlisten verhalten sich zu DNS wie ?



Kristian Koehntopp <kris@koehntopp.de> writes:

> was ich eigentlich suche ist ein Nameserver und/oder Resolver, der mit
> dem DNS das macht, was ich mit meinem Dateisystem mache oder was BGP4
> mit seinen Filterlisten macht

Wenn ich Deine Anforderungsliste richtig verstehe, müsste
http://cr.yp.to/djbdns.html das passende sein.

> - meine Gesamtsicht auf das DNS vollständig editieren können und
>   dazu
> 
>   - einzelne Domains (TLD und drunter) von unterschiedlichen
>     Roots her resolven und so auch alternative DNS-Roots nutzen
>     können.

Geht. Wird hier schon seit einiger Zeit so verwendet, in dem z.B. ein eigener
TLD-NS betrieben wird, der sowohl die offiziellen wie die "alternativen"
Nameserver vorhält und zusätzlich für bestimmte (selbstdefinierte) Domains
ebenfalls die passenden Einträge liefert - dies dann ggf. auch noch abhängig
von der IP des anfragenden Client (via location-codes).

Das hier (wöchentlich) generierte TLD-root-file ist zu finden unter
http://www.bettercom.de/misc/data-root

djbdns trennt echten Nameserver (aka tinydns) und resolver (aka
dnscache). In Praxis funktioniert es dann so, daß dnscache Regeln
genannt werden, an welche NS er bestimmte Anfragen forwarden soll. Hier
ist z.B. definiert, daß jede TLD-Anfrage an den lokalen tinydns
gerichtet werden soll und erst die SLD-Anfragen an den von tinydns
gelieferten NS gerichtet werden (wenn tinydns nicht selbst die Antwort
kennt). Aber natürlich lassen sich auch tiefergehende Anfragen so
verarbeiten: Entweder ich sage dnscache direkt, wo er die Anfrage
stellen soll oder ich packe die entsprechende Second/Third Domain in das
tinydns-file (was sich IMO wesentlich besser lesen und pflegen lässt als
die entsprechenden bind-files).

>   - einzelne Server als nicht vertrauenswürdige Quellen
>     markieren und so sperren können

Sperren geht insoweit, als daß für bestimmte Domains eigentlich zu
verwendende Nameserver auskommentiert und/oder durch eigene Einträge
ersetzt werden.

>   - einzelne Domains ganz oder teilweise editieren können, bevor
>     die Daten verwendet werden. Das bedeutet, ich will einzelne
>     Records unterdrücken oder verändern können oder ganze
>     Regexp-Rewrites auf die Daten anwenden können mit einer
>     Exim-artigen Sprache.

Müsste gehen. Da ich nicht weiß, wie Du Dir das genau vorstellst und
Exim ebenfalls nicht verwende, kann ich das jetzt nur mit "müsste"
beantworten. Da der Aufbau der tinydns-data files wesentlich simpler
ist, dürfte das mit den rewrites allerdings unkritisch sein.

> - das seine Konfiguration (Ersetzungs- und Sperregeln) mit einem
>   kryptographisch gesicherten Protokoll von einer wählbaren Quelle aus
>   zieht, sodaß man ganze Teilnetze/hierarchien von Servern zentral mit
>   solchen Regeln versorgen kann.

Das kann djbdns als reiner DNS-Server so nicht.

Martin

-- 
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de