Private IP-Adresse im öffentlichen DNS

62

Wir haben einen SMTP-Mail-Server hinter einer Firewall, der eine öffentliche A-Mail-Aufzeichnung hat. . Der Zugriff auf diesen Mailserver kann nur von einem anderen Server hinter derselben Firewall erfolgen. Wir betreiben keinen eigenen privaten DNS-Server.

Ist es eine gute Idee, die private IP-Adresse als A-Eintrag in einem öffentlichen DNS-Server zu verwenden - oder ist es am besten, diese Server-Einträge in der lokalen Hosts-Datei jedes Servers zu speichern?

Geoff Dalgas
quelle

Antworten:

62

Einige Leute werden sagen, dass keine öffentlichen DNS-Einträge jemals private IP-Adressen preisgeben sollten ... mit der Annahme, dass Sie potenziellen Angreifern einen Überblick über einige Informationen verschaffen, die erforderlich sein könnten, um private Systeme auszunutzen.

Persönlich denke ich, dass Verschleierung eine schlechte Form der Sicherheit ist, insbesondere wenn es sich um IP-Adressen handelt, da sie im Allgemeinen ohnehin leicht zu erraten sind, sodass ich dies nicht als realistischen Sicherheitskompromiss betrachte.

Die wichtigere Überlegung hierbei ist, sicherzustellen, dass Ihre öffentlichen Benutzer diesen DNS-Eintrag nicht als Teil der normalen öffentlichen Dienste Ihrer gehosteten Anwendung abrufen. Dh: Externe DNS-Lookups lösen sich irgendwie in eine Adresse auf, zu der sie nicht gelangen können.

Abgesehen davon sehe ich keinen fundamentalen Grund, warum es ein Problem ist, Datensätze mit der privaten Adresse A in den öffentlichen Raum zu stellen.

Wenn Sie diesen Eintrag in den öffentlichen DNS-Bereich verschieben möchten, können Sie eine separate Zone auf demselben Server erstellen, in der alle "privaten" Einträge gespeichert werden. Dies wird klarer machen, dass sie privat sein sollen .... aber für nur eine A-Platte würde ich mich wahrscheinlich nicht darum kümmern.

Großer Jeff
quelle
+1, siehe Kommentar zu Wombles Antwort für Grund :)
Mihai Limbăşan
2
Dies ist ein gutes Beispiel für ein Problem mit dieser Idee: merit.edu/mail.archives/nanog/2006-09/msg00364.html
sucuri
Gilt dieser Hinweis weiterhin, wenn Sie vertrauliche Server mit öffentlichen IP-Adressen haben, die sich jedoch hinter einer Firewall befinden, die den Zugriff einschränkt? Wenn das öffentliche DNS für die öffentlichen IP-Adressen einen Fahrplan für die Infrastruktur enthält, kann ein Angreifer das nicht nutzen? Host-Identifikation?
Kenny
@Kenny Ja, theoretisch hat dies eine gewisse Bedeutung, aber es sind Informationen, die nicht schwer zu bekommen sind, da der Bereich der öffentlichen IP-Adressen sowieso leicht erkennbar ist. Ich habe dies in der Antwort angesprochen und dem Begriff hinzugefügt. Ich würde argumentieren, dass Sie, wenn Sie IP-Adressen oder Hostnamen als wesentliche Verteidigungslinie verbergen, bereits viel größere Probleme haben.
Tall Jeff
1
@Kenny Aus Ihrer Sicht ist es sicherlich wünschenswert, die Menge an Informationen zu minimieren, die öffentlich auffindbar sind, und Sie möchten nichts preisgeben, was Sie nicht benötigen oder zumindest nicht in der Lage waren, ein gutes Preis-Leistungs-Verhältnis zu erzielen. off beteiligt, um darüber nachzudenken. Kein Streit da. Abgesehen davon war der Kern meines Punktes (und ich denke wir sind uns einig) einfach, dass die Verschleierung eine schlechte Form der Sicherheit ist und dass es kein absolutes Gut / Schlecht gibt, sondern nur ein Kontinuum von Kosten / Nutzen-Kompromissen Dies wird von Fall zu Fall geprüft, abhängig von Ihrer Risikobereitschaft usw.
Tall Jeff
36

Ich hatte vor einiger Zeit eine lange Diskussion zu diesem Thema auf der NANOG-Liste. Obwohl ich es immer für eine schlechte Idee gehalten hatte, stellte sich heraus, dass es in der Praxis keine so schlechte Idee ist. Die Schwierigkeiten treten meistens bei rDNS-Suchvorgängen auf (die für private Adressen in der Außenwelt einfach nicht funktionieren). Wenn Sie über ein VPN oder Ähnliches auf die Adressen zugreifen, müssen Sie sicherstellen, dass die VPN-Clients ordnungsgemäß geschützt sind Datenverkehr "leckt", wenn das VPN inaktiv ist.

Ich sage, mach schon. Wenn ein Angreifer in der Lage ist, Namen in interne Adressen aufzulösen, treten größere Sicherheitsprobleme auf.

womble
quelle
1
+1, vielen Dank, dass Sie in allen Antworten von FUD auf diese Frage vernünftig gesprochen haben. "Sicherheitsrisiko" in meinen unteren Rückenregionen und das Zusammentreffen von Routing-Problemen und DNS-Problemen zu einer "Don't do it" -Reaktion lässt mich nur über die Kompetenz der Leute nachdenken, die überall Netzwerke betreiben.
Mihai Limbăşan
1
Korrektur: Stellen Sie sicher, dass "Routing-Probleme und DNS-Probleme sowie Authentifizierungs- / Identitätsprobleme kolludiert sind".
Mihai Limbăşan
8

Im Allgemeinen wird die Einführung von RFC1918-Adressen in das öffentliche DNS zu einem späteren Zeitpunkt Verwirrung stiften, wenn nicht sogar ein echtes Problem. Verwenden Sie IPs, Hosteinträge oder eine private DNS-Ansicht Ihrer Zone, um die RFC1918-Adressen hinter Ihrer Firewall zu verwenden, ohne sie in die öffentliche Ansicht aufzunehmen.

Um meine Antwort auf der Grundlage der anderen übermittelten Antwort zu verdeutlichen, ist die Einführung von RFC1918-Adressen in öffentliches DNS meines Erachtens ein Fauxpas, kein Sicherheitsproblem. Wenn mich jemand anruft, um ein Problem zu beheben, und ich auf RFC1918-Adressen in seinem DNS stoße, spreche ich sehr langsam und frage ihn, ob er kürzlich neu gestartet wurde. Vielleicht ist das meinerseits Snobismus, ich weiß es nicht. Aber wie ich schon sagte, es ist nicht notwendig und es kann irgendwann zu Verwirrung und Missverständnissen (Mensch, nicht Computer) kommen. Warum das Risiko eingehen?

jj33
quelle
1
Was für echte Probleme sind das? Inwiefern werden die Menschen verwirrt sein?
womble
2
Es ist also ... höflich ..., 1918-Adressen nicht in das öffentliche DNS zu stellen? Ich habe viele Probleme festgestellt, die durch "versteckte" und "geteilte Horizonte" DNS-Zonen verursacht wurden, aber nicht annähernd so viele, die durch private IP-Adressen im öffentlichen DNS verursacht wurden. Ich sehe das Problem einfach nicht.
womble
2
@womble, Computer könnten verwirrt sein, wenn sie aus irgendeinem Grund versuchen, eine Verbindung zu diesem Host außerhalb Ihres Netzwerks herzustellen, und anstatt den SMTP-Server zu erhalten, erwarteten sie, dass sie alles an dieser IP-Adresse in dem LAN haben, mit dem sie gerade verbunden sind. Es kann sogar sein, dass einer Ihrer Mitarbeiter, der einen Laptop auf einer Fernbedienung verwendet, den Benutzernamen und das Kennwort im Netzwerk eines anderen Benutzers im Klartext
ausgibt,
16
Das Problem, das ich mit Ihrer Antwort habe, ist, dass Sie auf Probleme anspielen, aber keine Details angeben. Wenn es Gründe gibt, dies nicht zu tun, möchte ich darüber Bescheid wissen, damit ich eine vollständig begründete Entscheidung zu diesem Thema treffen kann.
womble
1
@Zoredache: Warum löst jemand einen Namen auf, auf den er keinen Zugriff hat? DNS ist ohnehin nicht der einzige Ort, an dem Sie private Adressen erhalten können - HTML kann beispielsweise IP-Literale verwenden ...
womble
5

Nein, stellen Sie Ihre privaten IP-Adressen nicht in den öffentlichen DNS.

Erstens verliert es Informationen, obwohl dies ein relativ kleines Problem ist.

Das schlimmste Problem, wenn Ihre MX-Einträge auf diesen bestimmten Hosteintrag verweisen, ist, dass jeder, der versucht, E-Mails an ihn zu senden, bestenfalls eine Zeitüberschreitung für die E-Mail-Zustellung erhält.

Abhängig von der E-Mail-Software des Absenders kann es zu Bounces kommen.

Schlimmer noch, wenn Sie den RFC1918-Adressraum (den Sie in Ihrem Netzwerk verwenden sollten) verwenden und der Absender auch, besteht die Möglichkeit, dass er versucht, die E-Mails an sein eigenes Netzwerk zuzustellen.

Zum Beispiel:

  • Das Netzwerk verfügt über einen internen Mailserver, aber keinen geteilten DNS
  • admin speichert daher sowohl öffentliche als auch interne IP-Adressen im DNS
  • und MX-Datensätze verweisen auf beide:

 $ORIGIN example.com
 @        IN   MX    mail.example.com
 mail     IN   A     192.168.1.2
          IN   A     some_public_IP

  • jemand, der dies sieht, könnte versuchen, eine Verbindung zu 192.168.1.2 herzustellen
  • Im besten Fall springt es, weil sie keine Route haben
  • Wenn sie aber auch einen Server mit 192.168.1.2 haben, wird die Mail an den falschen Ort geschickt

Ja, es ist eine kaputte Konfiguration, aber ich habe gesehen, dass dies (und noch schlimmeres) passiert.

Nein, es ist nicht die Schuld von DNS, es tut nur das, was es verlangt.

Alnitak
quelle
Wie ist die Zustellung von E-Mails an den falschen Computer ein DNS-Problem? Sie sollten den SMTP-Server authentifizieren. Das ist ein SMTP-Konfigurationsproblem, das absolut nichts mit DNS zu tun hat. Sie vergleichen hier nicht einmal Äpfel mit Orangen, sondern einen Toast mit radioaktiver Butter mit fünf Milligramm Lagrange-Derivaten am Stiel. Wenn Sie befürchten, das falsche MX- oder A-Ergebnis zu erhalten, sollten Sie DNSSEC verwenden, anstatt DNS für das verantwortlich zu machen, was nicht verantwortlich ist, und wenn Sie versehentlich SMTP an die falsche RFC1918-Nummer übermitteln, die Sie falsch konfiguriert oder Ihr Netzwerk falsch gestaltet haben.
Mihai Limbăşan
(zur Klarstellung empfohlen)
Mihai Limbăşan
Wenn jemand in Ihrem Netzwerk eine IP-Nummer "erfunden" hat, funktioniert das IP-Protokoll genau wie vorgesehen, dh ohne Rücksicht auf die Sicherheit. Sie fragen: "Wie kann ich darauf vertrauen, dass ich mit wem auch immer spreche, mit dem ich sprechen soll?" und die Antwort darauf kann nicht von IP und / oder von DNS geliefert werden, die Antwort darauf wird von DNSSEC und / oder SSL / TLS und / oder einem Mechanismus auf Anwendungsebene geliefert.
Mihai Limbăşan
Lesen Sie einfach Ihren Kommentar zu Daves Post - Ihr Post macht jetzt mehr Sinn :) Ich bin immer noch nicht mit der Prämisse einverstanden, aber ich denke nicht, dass es nicht mehr irrational ist ...
Mihai Limbăşan
2
Nein, es ging überhaupt nicht um Authentifizierung, sondern nur darum, dass Verbindungen am falschen Ort enden. Ich habe viel davon gesehen, als Verisign sich im Jahr 2001 für Wildcard * .com entschied.
Alnitak
3

Obwohl die Möglichkeit gering ist, denke ich, dass Sie sich auf einige MITM-Angriffe einstellen werden.

Mein Anliegen wäre dies. Nehmen wir an, einer Ihrer Benutzer mit einem Mail-Client, der so konfiguriert ist, dass er auf diesen Mail-Server verweist, bringt seinen Laptop in ein anderes Netzwerk. Was passiert, wenn in diesem anderen Netzwerk derselbe RFC1918 verwendet wird? Dieser Laptop versucht möglicherweise, sich beim SMTP-Server anzumelden, und bietet die Anmeldeinformationen des Benutzers einem Server an, der sie nicht haben sollte. Dies gilt insbesondere, da Sie SMTP angegeben haben und nicht erwähnt haben, dass Sie SSL benötigen.

Zoredache
quelle
Wenn der Benutzer über einen Laptop verfügt, den er in Ihrem Büro und anderswo verwendet, hat er wahrscheinlich seine Hosts-Datei so konfiguriert, dass sie auf die interne IP des MTA verweist, oder er hat die IP direkt in seiner MUA-Konfiguration verwendet. Gleiches Endergebnis. Bringen Sie IPv6 und den Tod von RFC1918 mit, es ist der einzige Weg, sicher zu sein ...
womble
Hervorragender Punkt Zoredache. Dies ist ein interessanter Angriffsvektor. Abhängig von der MUA wird möglicherweise das übliche Dialogfeld "Es ist etwas ärgerliches passiert. Bitte klicken Sie auf mich, um das zu tun, was Sie von mir erwartet haben" angezeigt oder es schlägt fehl, wenn das SSL-Zertifikat nicht übereinstimmt.
Dave Cheney
Ist dieses Angriffsszenario effektiv beseitigt, wenn alle Server (Web / HTTPS, IMAP und SMTP) im gültigen Netzwerk SSL / TLS-basierte Clientverbindungen erfordern?
Johnny Utahh
@JohnnyUtahh, Sie benötigen alle Server, die TLS unterstützen, mit gültigen Zertifikaten, und Sie müssen alle Clients konfigurieren, um die Zertifikate zu überprüfen. Versuchen Sie niemals, eine Nicht-TLS-Verbindung herzustellen. Welches ist eine häufigere Standardeinstellung jetzt, dann vor 10 Jahren. Aber es gibt immer noch alte / blöde Software, die versucht, Verbindungen herzustellen, die nicht von tls stammen.
Zoredache
Ja, alles macht Sinn, danke @Zoredache.
Johnny Utahh
3

Ihre beiden Optionen sind / etc / hosts und das Einfügen einer privaten IP-Adresse in Ihre öffentliche Zone. Ich würde das erstere empfehlen. Wenn dies eine große Anzahl von Hosts darstellt, sollten Sie erwägen, Ihren eigenen Resolver intern auszuführen, da dies nicht so schwierig ist.

Dave Cheney
quelle
1
Das ist sicherlich eine Option, aber warum? Was bringt es Ihnen, einen internen Resolver auszuführen oder (viel intelligenter) so etwas wie BIND-Ansichten zu verwenden, zusätzlich zu Verwaltungsaufwand und Wartungsaufwand? Das verstehe ich nicht.
Mihai Limbăşan
1
Das Betreiben eines eigenen Nameservers ist kein Hexenwerk. Wenn Ihr Netzwerk so groß ist, dass Sie / etc / hosts als Hack oder zu zeitaufwändig ansehen, müssen Sie ein Resolver-Paar in Ihrem Netzwerk einrichten. Als Nebeneffekt reduzieren Sie den DNS-Verkehr, der Ihr Netzwerk verlässt, und beschleunigen die Lösung häufiger Abfragen.
Dave Cheney
3
Ich weiß, es ist keine Raketenwissenschaft, aber es ist ein Wartungsaufwand und ein potenzielles Sicherheitsrisiko. Mit Sicherheit ein höheres Sicherheitsrisiko als das Auslaufen eines RFC1918-Netzwerks. Der DNS-Verkehr ist äußerst vernachlässigbar. Ich hoste mehr als 80 mäßig große und ausgelastete Zonendateien auf meinem DNS bei der Arbeit, und der wöchentliche DNS-Verkehr beträgt weniger als 2 Minuten von Youtube. Abfrage Auflösung zu beschleunigen ist eigentlich das erste halbwegs vernünftige Argument gegen RFC1918 Zahlen in DNS Ich habe hier gesehen :) upvoted für tatsächlich ein wenig über den üblichen reflex denken „oh, NoE, es ist ein Sicherheitsrisiko“ Reaktion :)
Mihai Limbăşan
1
@Alnitak: Ich verstehe, woher Sie kommen, aber das ist immer noch kein DNS-Problem, und ich behaupte, dass der Versuch, Probleme zu beheben, die von einem anderen Ort aus über DNS stammen, überhaupt keine gute Idee ist. Probleme sollten an der Quelle behoben und nicht durch DNS-Hacks behoben werden - Hacks machen Netzwerke spröde.
Mihai Limbăşan
2
Nun ja, ich stimme zu. Das Versetzen der Informationen Ihres privaten Hosts in das öffentliche DNS ist eine Hack-Lösung für das Problem, keinen internen DNS-Server zu haben ... :) Das Problem ist, dass die höheren Schichten nicht wissen, dass diese Informationen "privat" sein sollen. .
Alnitak
2

Es kann subtile Probleme damit geben. Zum einen filtern gängige Lösungen für DNS-Rebind-Angriffe lokale DNS-Einträge, die von öffentlichen DNS-Servern aufgelöst wurden. Sie öffnen sich also entweder selbst, um Angriffe erneut zu binden, oder lokale Adressen funktionieren nicht oder erfordern eine komplexere Konfiguration (sofern Ihre Software / Ihr Router dies überhaupt zulässt).

Nikola Toshev
quelle
+1 DNS-Neuanbindung ist schlecht !! medium.com/@brannondorsey/…
Ohad Schneider
1

Es ist am besten, es in der hosts-Datei zu behalten. Wenn nur ein Computer jemals eine Verbindung herstellen soll, was bringt es Ihnen, wenn Sie ihn in das öffentliche DNS stellen?

sh-beta
quelle
Wenn Sie in der Cloud arbeiten, können Sie Tausende von privaten Maschinen haben. Vor ein paar Jahren gab Netflix an, über 2.000 Cassandra-Knoten zu haben. Es ist nicht praktisch, die /etc/hostsDatei zu verwenden, da dann alle 2.000 Computer diese IP / Name-Paare verwalten müssen ...
Alexis Wilke
1

Wenn Sie mit privat einen 10.0.0.0/8, einen 192.168.0.0/16 oder einen 172.16.0.0/12 meinen, dann tun Sie das nicht . Die meisten Internet-Router erkennen es als das, was es ist - eine private Adresse, die niemals direkt an das öffentliche Internet weitergeleitet werden darf , was zur Popularität von NAT beigetragen hat. Jeder, der versucht, sich mit Ihrem öffentlichen DNS-Server in Verbindung zu setzen, ruft die private IP-Adresse von DNS ab, um dann ein Paket an .... nirgendwo zu senden. Während die Verbindung versucht, das Internet zu Ihrer privaten Adresse zu leiten, frisst ein (ordnungsgemäß konfigurierter) Router das Paket einfach lebend.

Wenn Sie möchten, dass E-Mails von "außen" nach "innen" gesendet werden, muss das Paket irgendwann Ihre Firewall passieren. Ich würde vorschlagen, eine DMZ-Adresse einzurichten, um dies zu handhaben - eine einzelne öffentliche IP-Adresse, die von jedem Router / Firewall, den Sie eingerichtet haben, streng kontrolliert wird. Das vorhandene Setup, das Sie beschreiben, scheint genau das zu tun.

EDIT: Klarstellung der Absicht ... (siehe Kommentare unten). Wenn dies keinen Sinn ergibt, werde ich dafür stimmen, meinen eigenen Beitrag zu entfernen.

Avery Payne
quelle
3
Das ist alles schön und wahr, aber Sie haben noch keinen Grund angegeben, warum Sie RFC1918-Adressen nicht in DNS veröffentlichen sollten. Sie haben gerade beschrieben, was RFC1918-Adressen sind und dass es möglich ist, eine Route zu einigen von ihnen nicht zu haben. Wie unterscheidet sich das von anderen IP-Adressen? Es ist möglich, keine Route zu 198.41.0.4 zu haben - bedeutet das, dass es falsch ist, 198.41.0.4 in DNS zu veröffentlichen? DNS ist ein Namensauflösungssystem . Es hat nichts mit Routing zu tun, die beiden sind orthogonal. Sie sprechen zwei Kategorien von Problemen an, was im Grunde genommen FUD bedeutet.
Mihai Limbăşan
1
Der Kontext der Diskussion war die Verwendung privater IP-Adressen in einem öffentlichen DNS-Server. Der Zweck des Posts bestand darin, anzugeben, dass Router standardmäßig keine privaten IP-Adressen weiterleiten sollen. Ich habe nicht versucht anzuzeigen, dass Sie keine privaten IP-Adressen in einem DNS-Server verwenden können, sondern nur, dass Sie diese IP-Adressen nicht "nach außen" weitergeben sollten. Wenn das nicht klar genug ist, ziehe ich die Post gerne zurück. Ansonsten bin ich anderer Meinung, der Beitrag ist 100% genau richtig - der Nettoeffekt für diese Person ist, dass sie Probleme haben wird, wenn sie dies tun.
Avery Payne
nickt Dein Kommentar unter Alnitaks Beitrag hat es geklärt :) Danke.
Mihai Limbăşan
„Jeder Versuch , Ihren öffentlichen DNS - Server kontaktieren die private IP - Adresse von DNS, nur abrufen , um ein Paket zu .... nirgendwo zu schicken“ - nein, Sie haben Rebinding eigentlich nur beschrieben DNS und es funktioniert auf einige der sichersten Router da draußen, einschließlich meiner PepWave Surf SOHO: rebind.network/rebind
Ohad Schneider
0

Ich kam hier an, als ich nach ähnlichen Informationen suchte und war überrascht, dass viele sagen, es sei in Ordnung, Ihre privaten IP-Adressen zu verlieren. Ich denke, in Bezug auf das Hacken macht es keinen großen Unterschied, ob Sie sich in einem sicheren Netzwerk befinden. DigitalOcean hat jedoch den gesamten lokalen Netzwerkverkehr auf genau den gleichen Kabeln gehabt, wobei jeder wirklich Zugriff auf den Datenverkehr aller anderen hatte (wahrscheinlich mit einem Man-in-the-Middle-Angriff machbar) Informationen geben Ihnen sicherlich einen Schritt näher, um meinen Datenverkehr zu hacken. (Jetzt hat jeder Client sein eigenes reserviertes privates Netzwerk wie bei anderen Cloud-Diensten wie AWS.)

Mit Ihrem eigenen BIND9-Dienst können Sie jedoch problemlos Ihre öffentlichen und privaten IP-Adressen definieren. Dies geschieht mit der viewFunktion, die eine Bedingung enthält. Auf diese Weise können Sie nur dann einen DNS abfragen und eine Antwort zu internen IP-Adressen erhalten, wenn Sie eine Frage zu Ihrer eigenen internen IP-Adresse stellen.

Das Setup erfordert zwei Zonen. Die Auswahl verwendet die match-clients. Hier ist ein Beispiel für die Einrichtung eines Two-in-One-DNS-Servers mit BIND9 :

acl slaves {
    195.234.42.0/24;    // XName
    193.218.105.144/28; // XName
    193.24.212.232/29;  // XName
};

acl internals {
    127.0.0.0/8;
    10.0.0.0/24;
};

view "internal" {
    match-clients { internals; };
    recursion yes;
    zone "example.com" {
        type master;
        file "/etc/bind/internals/db.example.com";
    };
};
view "external" {
    match-clients { any; };
    recursion no;
    zone "example.com" {
        type master;
        file "/etc/bind/externals/db.example.com";
        allow-transfer { slaves; };
    };
};

Hier ist die externe Zone und wir können sehen, dass IPs nicht privat sind

; example.com
$TTL    604800
@       IN      SOA     ns1.example.com. root.example.com. (
                     2006020201 ; Serial
                         604800 ; Refresh
                          86400 ; Retry
                        2419200 ; Expire
                         604800); Negative Cache TTL
;
@       IN      NS      ns1
        IN      MX      10 mail
        IN      A       192.0.2.1
ns1     IN      A       192.0.2.1
mail    IN      A       192.0.2.128 ; We have our mail server somewhere else.
www     IN      A       192.0.2.1
client1 IN      A       192.0.2.201 ; We connect to client1 very often.

In Bezug auf die interne Zone wird zunächst die externe Zone einbezogen, wie dies funktioniert. Wenn Sie also ein interner Computer sind, greifen Sie nur auf die interne Zone zu, sodass Sie weiterhin die Definitionen der externen Zone benötigen, daher der $includeBefehl:

$include "/etc/bind/external/db.example.com"
@       IN      A       10.0.0.1
boss    IN      A       10.0.0.100
printer IN      A       10.0.0.101
scrtry  IN      A       10.0.0.102
sip01   IN      A       10.0.0.201
lab     IN      A       10.0.0.103

Schließlich müssen Sie sicherstellen, dass jetzt alle Computer diesen DNS und seine Slaves verwenden. Unter der Annahme eines statischen Netzwerks würde dies bedeuten, dass Sie Ihre /etc/network/interfacesDatei bearbeiten und Ihre DNS-IPs in der nameserverOption verwenden. Etwas wie das:

iface eth0 inet static
    ...
    nameserver 10.0.0.1 10.0.0.103 ...

Jetzt solltest du fertig sein.

Alexis Wilke
quelle