NS: получил небезопасный ответ; родитель указывает, что это должно быть безопасно

Question

NS: получил небезопасный ответ; родитель указывает, что это должно быть безопасно

Я пытаюсь запустить Bind on Centos 6.3 в своей школьной сети, и у меня возникают проблемы с работой внешних запросов.

Я могу копать / запрашивать собственные зоны, запущенные на моем сервере, но как только я копаю внешнее доменное имя, я вижу следующее в моих файлах журнала:

NS: got insecure response; parent indicates it should be secure

Я отключил DNS без результата. Я использую DNS-серверы перенаправления из школы, служба поддержки не знает, что не так в данный момент.

Тем не менее, я могу выкопать @SCHOOL-SERVER, и он вернет правильный ответ. Это просто работает с экспедиторами, которые, похоже, не работают.

Может ли кто-нибудь указать мне правильное направление здесь? Дайте мне знать, если вам нужно больше логов или тестов от меня.

Спасибо!

15

dns centos bind named

Источник

user229656 12 ноя '12 в 10:25

3 ответа

Другие вопросы по тегам dns centos bind named

user131086 17 фев '13 в 16:56 2013-02-17 16:56 · Answer 1 · 2013-02-17 16:56

Это связано с новой функцией DNSSEC, которая теперь включена по умолчанию. Это может указывать на то, что используемые вами средства разрешения / пересылки DNS не поддерживают DNSSEC, поэтому ответ кажется небезопасным для вашего сервера.

Вы можете использовать средства распознавания, которые поддерживают DNSSEC, или временно отключить эту функцию на вашем сервере. Чтобы отключить его, просто используйте эти параметры в вашем named.conf или же named.conf.options:

dnssec-enable no;
dnssec-validation no;

user12488357 06 дек '19 в 01:34 2019-12-06 01:34 · Answer 2 · 2019-12-06 01:34

Интернет может быть довольно неприятным местом, где люди повторяют одни и те же ответы; Вместо решения вам предлагаются обходные пути.

Я могу точно сказать вам, что если DNS-сервер сообщает, что он предоставляет безопасный ответ, то он предоставляет безопасный ответ. Проблема здесь в том, что серверы пересылки DNS удаляют подписи DNSSEC, и это кажется обычным делом, и, поскольку я не слышал, чтобы это делалось прозрачно, у вас, вероятно, есть установленный сервер пересылки. Итак, если вы действительно хотите использовать DNSSEC таким образом, отключите пересылку в named.conf.options:

options {
        directory "/var/cache/bind";
        //forwarders {
        //      8.8.8.8;
        //};

        dnssec-validation auto;
        dnssec-enable yes;
        dnssec-lookaside auto;
};

Keaton L 11 сен '23 в 10:51 2023-09-11 10:51 · Answer 3 · 2023-09-11 10:51

просто изменить

      dns-validation auto;

к

      dns-validation yes;

в названном.conf

0

Источник

Keaton L 11 сен '23 в 10:51