모든 네임서버가 조회되는 것은 아닙니다.

Question 1

DNS에서 NXDOMAIN 메시지는 완전한 실패가 아닙니다. 이는 귀하가 요청한 도메인이 존재하지 않는다는 완전히 유효한 정보이거나 적어도 그래야 합니다. 오류는 "모르겠어요", "말할 수 없습니다" 또는 "[시간이 초과될 때까지 침묵]"일 수 있습니다.

에서는 /etc/resolv.conf기대된다.구성된 모든 네임서버는 동일합니다.즉, 그들은 모두 DNS 정보에 대해 동일한 액세스 권한을 가져야 합니다. 즉, 둘 다 확인해야 할 모든 이름을 확인할 수 있어야 합니다.

그렇지 않다면 전통적인 Unix 스타일로는 /etc/resolv.conf충분하지 않습니다. 많은 사람들이 파일에서 DNS 서버의 순서를 조정하여 원하는 것을 얻으려고 시도했지만 모두 실패했습니다.그러나 그것은 진실이 아니다.

대신 일반적으로 DNS 확인자/캐시/프록시를 설정해야 하며, 이는 "확인해야 하는 이름이 다음 중 하나인 경우"와 같은 일부 규칙으로 구성할 수 있습니다.이것들도메인을 선택한 다음 다음 중 하나에 문의하세요.이것들서버; 이름이 다음과 같은 경우저것도메인을 선택한 다음 사용하세요.저것그 밖의 모든 것에는 서버를 사용하십시오.그것들섬기는 사람. "

dnsmasq예를 들어 다음과 같이 설정하고 작성할 수 있습니다 dnsmasq.conf.

no-resolv
server=/corporate-domain.com.example/10.1.2.3
rev-server=10.1.0.0/16,10.1.2.3
server=/google.com/8.8.8.8
server=9.9.9.9

이는 다음을 의미합니다.

무시 /etc/resolv.conf(루핑을 방지하기 위해)
corporate-domain.com.example네임서버 10.1.2.3을 사용하여 도메인의 모든 이름을 확인 하고 10.1.0.0/16 네트워크의 IP 주소에 대한 역방향 조회를 확인하세요.
8.8.8.8을 사용하여 도메인의 google.com이름을 확인하세요.
그 밖의 모든 것에는 9.9.9.9를 사용하십시오.

이를 구성한 후에는 모든 로컬 DNS 요청을 local 로 리디렉션하도록 dnsmasq구성할 수 있습니다 ./etc/resolv.confnameserver 127.0.0.1dnsmasq

로컬 네임서버가 BIND인 경우 다음 영역 선언을 사용하여 동일한 작업을 수행할 수 있습니다 type forward.

zone "corporate-domain.com.example" {
    type forward;
    forwarders { 10.1.2.3; };
};

zone "1.10.in-addr.arpa" {
    type forward;
    forwarders { 10.1.2.3; };
}; 

zone "google.com" {
    type forward;
    forwarders { 8.8.8.8; 8.8.4.4; }; 
};

options {
    forwarders { 9.9.9.9; };
    forward only;
};

이는 위의 구성과 정확히 동일한 결과를 얻지 dnsmasq만 BIND 구성 구문은 약간 장황합니다.

Answer

DNS에서 NXDOMAIN 메시지는 완전한 실패가 아닙니다. 이는 귀하가 요청한 도메인이 존재하지 않는다는 완전히 유효한 정보이거나 적어도 그래야 합니다. 오류는 "모르겠어요", "말할 수 없습니다" 또는 "[시간이 초과될 때까지 침묵]"일 수 있습니다.

에서는 /etc/resolv.conf기대된다.구성된 모든 네임서버는 동일합니다.즉, 그들은 모두 DNS 정보에 대해 동일한 액세스 권한을 가져야 합니다. 즉, 둘 다 확인해야 할 모든 이름을 확인할 수 있어야 합니다.

그렇지 않다면 전통적인 Unix 스타일로는 /etc/resolv.conf충분하지 않습니다. 많은 사람들이 파일에서 DNS 서버의 순서를 조정하여 원하는 것을 얻으려고 시도했지만 모두 실패했습니다.그러나 그것은 진실이 아니다.

대신 일반적으로 DNS 확인자/캐시/프록시를 설정해야 하며, 이는 "확인해야 하는 이름이 다음 중 하나인 경우"와 같은 일부 규칙으로 구성할 수 있습니다.이것들도메인을 선택한 다음 다음 중 하나에 문의하세요.이것들서버; 이름이 다음과 같은 경우저것도메인을 선택한 다음 사용하세요.저것그 밖의 모든 것에는 서버를 사용하십시오.그것들섬기는 사람. "

dnsmasq예를 들어 다음과 같이 설정하고 작성할 수 있습니다 dnsmasq.conf.

no-resolv
server=/corporate-domain.com.example/10.1.2.3
rev-server=10.1.0.0/16,10.1.2.3
server=/google.com/8.8.8.8
server=9.9.9.9

이는 다음을 의미합니다.

무시 /etc/resolv.conf(루핑을 방지하기 위해)
corporate-domain.com.example네임서버 10.1.2.3을 사용하여 도메인의 모든 이름을 확인 하고 10.1.0.0/16 네트워크의 IP 주소에 대한 역방향 조회를 확인하세요.
8.8.8.8을 사용하여 도메인의 google.com이름을 확인하세요.
그 밖의 모든 것에는 9.9.9.9를 사용하십시오.

이를 구성한 후에는 모든 로컬 DNS 요청을 local 로 리디렉션하도록 dnsmasq구성할 수 있습니다 ./etc/resolv.confnameserver 127.0.0.1dnsmasq

로컬 네임서버가 BIND인 경우 다음 영역 선언을 사용하여 동일한 작업을 수행할 수 있습니다 type forward.

zone "corporate-domain.com.example" {
    type forward;
    forwarders { 10.1.2.3; };
};

zone "1.10.in-addr.arpa" {
    type forward;
    forwarders { 10.1.2.3; };
}; 

zone "google.com" {
    type forward;
    forwarders { 8.8.8.8; 8.8.4.4; }; 
};

options {
    forwarders { 9.9.9.9; };
    forward only;
};

이는 위의 구성과 정확히 동일한 결과를 얻지 dnsmasq만 BIND 구성 구문은 약간 장황합니다.

Question 2

DNS 순서 또는 이와 유사한 변경을 시도하는 대신 다음을 수행하십시오.

VPN을 제어하는 경우 클라이언트가 어떤 DNS 서버와 통신할지 결정하도록 하는 대신 포트 53/UDP 및 포트 53/TCP에서 DNS 요청을 가로채서 원하는 DNS 서버로 해당 요청을 리디렉션할 수 있습니다. .

이렇게 하면 VPN 내부에서 클라이언트가 회사 호스트를 확인할 수 있는 DNS 서버와 통신하도록 강제할 수 있습니다.

예: 저는 PC와 휴대폰을 사용하여 약 4,000명의 BYOD VPN 사용자가 있는 여러 VPN 서버를 관리한 적이 있습니다.

우리나라에서는 DNS 수준의 검열로 인해 많은 사람들이 DNS 기본 서버로 8.8.8.8을 수동으로 삽입합니다.

일반적으로 이러한 사용자의 증상은 회사의 개인 주소를 열 수 없다는 것입니다.

몇 가지 옵션이 있습니다.

어느 헬프 데스크든 8.8.8.8 주소를 꺼내서 사용자가 블랙리스트에 있는 주소에 액세스하려고 할 때 기꺼이 또는 무심코 삽입하게 되며 우리는 다시 0으로 돌아갑니다.
또는 DNS 주소에 관계없이 VPN에서 DNS 호출을 가로채서 DNS 쿼리를 회사 DNS 서버 주소로 리디렉션할 수 있습니다.

Answer