Lokaler DNS Server / local-zone

PaulAtreides

Well-Known Member
Ich möchte einen lokalen DNS Server betreiben. Der Server soll als Cache arbeiten und lokale Server Namen auflösen.

Ist es ratsam für local-zone: "meinedomain.de." transparent zu verwenden, wenn einem die domain gehört um lokale server aufzulösen die öffentlich nicht zugänglich sind oder sollte man lieber local-zone: "meinedomain.lan." static verwenden?
 

mr44er

moderater Moderator
Teammitglied
Die default-settings von unbound sind auf transparent gestellt, pfsense sowie opnsense haben die defaults auch nicht geändert. Schaden wird beides nicht, wenn die server nur lokal erreichbar sind.
 

jmt

Well-Known Member
Für das lokale Netz gibt es die Domain home.arpa. Die wird auch nicht gerouted.
 

CommanderZed

OpenBSD User
Teammitglied
Die Meinungen gehen da glaub ich weit auseinander.

Ich habe einfach von meiner öffentlichen Domain sinngemäß für client1.lan.meinedomain.tld nen A eintrag auf die lokale "private" IP angelegt.

Ja dadurch kann man theoretisch leicht herausfinden wie ich clients in meinem lokalen, persönlichen Netzwerk benannt habe und / oder ggf. welche interne IP die haben. Für mein Szenario völlig egal.
 

mr44er

moderater Moderator
Teammitglied
Ich glaube (was ich auch nicht wahrgenommen habe, weil vorher keine Gedanken drum gemacht und ich intern eh rein mit IP-adressen arbeite), dass es neben der Sicherheit auch um die Sinnlosigkeit geht, wenn interne Anfragen erstmal nach außen gehen, nur um dann doch nur abgelehnt zu werden.
 

CommanderZed

OpenBSD User
Teammitglied
Ich glaube (was ich auch nicht wahrgenommen habe, weil vorher keine Gedanken drum gemacht und ich intern eh rein mit IP-adressen arbeite), dass es neben der Sicherheit auch um die Sinnlosigkeit geht, wenn interne Anfragen erstmal nach außen gehen, nur um dann doch nur abgelehnt zu werden.

Theoretisch löst das natürlich ein caching resolver.

Glaube aber auch das nen paar dutzend lokaler "falscher" anfragen auf die Gesamtzahl gesehen wirklich völlig belanglos sind, man denke nur daran das bei vielen webseiten der Besuch einer einzelnen Webseite zu gefühlt nen dutzend oder mehr anfragen führt. Nur die wenigstens Menschen machen überhaupt intern irgendwas mit DNS etc - oder überhaupt nur irgendetwas intern.

Das ist irgendwie so "90er Jahre denken" gefühlt - oder ein völlig falsches Gefühl für verhältnisse.

(Von dem was smartphones, viele apps etc da machen ganz zu schweigen)
 

TCM

Well-Known Member
Richtig wäre an der Stelle natürlich, die interne Domain auch nur von intern auflösbar zu machen. Dass die interne Domain eine Subdomain einer "echten" Domain ist, heißt ja nicht automatisch, dass man sie für die Welt connecten muss. Es geht ja nur darum, dass der Namespace kein falscher ist.
 
Oben