Ist es gültig, dass mehrere IP-Adressen zurück in einen Namen aufgelöst werden, der keinem der relevanten A-Datensätze entspricht?

7

Ich habe mehrere Geräte, jedes mit seiner eigenen IP-Adresse. Es gibt verschiedene Namen, die auf diese Adressen verweisen (in verschiedenen Domänen). Als Beispiel das Gerät mit

  • Die IP-Adresse 10.0.0.1ist als dev1.example.comund bekanntabc.example.net
  • Die IP-Adresse 192.168.1.1ist als dev2.example.comund bekanntxyz.example.net

im jeweiligen DNS autorisierend für example.comund example.net( AEinträge).

Ich würde gerne verstehen, ob es DNS-Auswirkungen gibt, wenn beide IP-Adressen auf PTReinen einzelnen Namen zurückweisen (z. B. contact-john-doe.example.org).

Der Grund dafür ist, sicherzustellen, dass jemand, der eine der IP-Adressen in seinen Protokollen, seiner Überwachung usw. sieht, contact-john-doe.example.orgden aufgelösten Namen erhält . Dieser aufgelöste Name kann auf ein reales IP address/ verweisen oder nicht CNAME, es sollte aufgrund der Art des Dienstes hinter den IP-Adressen keine Rolle spielen (dies sind Scanner und sie bieten keinen Dienst für den Endbenutzer an).

WoJ
quelle
@Hyppy Du hast recht, ich habe es falsch überflogen. Entschuldigen Sie.
Andrew B
@ AndrewB Kein Problem :-D
Hyppy
1
Nicht Ihre genaue Frage, aber möglicherweise verwandt: Erfordern Internetstandards Reverse DNS für jedes Gerät? Dies ist meine Meinung (etwas unterstützt durch Standards), aber ich denke, es ist vorzuziehen, keine PTR-Aufzeichnung zu haben, anstatt falsche zu haben, die standardisierte oder schlecht gepflegte Empfehlungen ignorieren.
Andrew B
@ AndrewB: Ich stimme dir zu. Ich habe viele gefälschte PTRs für IP-Adressen, die von Hostern bereitgestellt werden und auf alte Domains verweisen, und unsere Scans scheinen routinemäßig www.clearly-not-our-company.com zu scannen (aus den Ergebnissen, die einen umgekehrten DNS enthalten, wobei die Scans sind basierend auf IP-Bereichen). Das ist schrecklich und ich bevorzuge in diesem Fall sehr gerne nackte IPs. Der Hintergrund meiner Frage ist jedoch sehr spezifisch, da ich DNS-Namen als PTRs verwenden möchte, um mit dem empfangenden Betreiber eines Systems zu kommunizieren. Mein Hauptanliegen war MUSS NICHT in RFC-Begriffen.
WoJ
Leider ist wenig von dieser Sprache zu haben, da die fraglichen RFCs älter sind als die standardisierte Sprache. Wenn nichts anderes, sollten Sie dennoch versuchen, PTRs nicht auf CNAMEs zu richten.
Andrew B

Antworten:

6

Während der informative (nicht standardmäßige) RFC 1912 von 1996 vorschlägt:

Stellen Sie sicher, dass Ihre PTR- und A-Datensätze übereinstimmen. Für jede IP-Adresse sollte in der Domäne inaddr.arpa ein übereinstimmender PTR-Eintrag vorhanden sein. Wenn ein Host mehrfach vernetzt ist (mehr als eine IP-Adresse), stellen Sie sicher, dass alle IP-Adressen einen entsprechenden PTR-Eintrag haben (nicht nur den ersten). Wenn keine übereinstimmenden PTR- und A-Einträge vorhanden sind, können Internetdienste verloren gehen, ähnlich wie wenn sie überhaupt nicht im DNS registriert sind.

Trotzdem ist es nicht erforderlich, dass PTR-Datensätze mit A-Datensätzen übereinstimmen. Das häufigste Problem bei PTR-Fehlanpassungen ist die Postzustellung. Trotzdem würde ich sicherstellen, dass Sie die Datensätze zumindest auf Domänen verweisen, die Sie tatsächlich besitzen und kontrollieren.

Hyppy
quelle
Ja, mir sind Probleme im Zusammenhang mit E-Mails bekannt. Einige Dienste (insbesondere ssh) reagierten auch sehr empfindlich darauf (es dauerte sehr lange, bis die Eingabeaufforderung nach dem Schlüsselaustausch einging). Keiner der Fälle würde in meinem Fall zutreffen - ich suchte eher nach möglichen Fällen, in denen eine solche Einstellung die Bindung unterbrechen würde. Danke für den RFC-Zeiger.
WoJ
Nun, RFC1035 sagte bereits : " Adressknoten werden verwendet, um Zeiger auf primäre Hostnamen im normalen Domänenbereich zu halten." Dies impliziert die Erwartung übereinstimmender Adressdatensätze. (Dies ist einer der frühen Standards, um DNS-Dokumente zu verfolgen.)
Håkan Lindqvist
@ HåkanLindqvist Wenn ich also Netzwerkknoten abfrage, sollte ich sie hauptsächlich verwenden, um Zeiger auf die Hostnamen der an dieses Netzwerk angeschlossenen Gateways zu finden?
Hyppy
Wo sie definiert sind, ja. Die Standards stellen keine Voraussetzung für ihre Existenz, aber sie sollten zu einer eindeutigen Identifizierung Netzwerkeinheit an der nächsten Sache verweisen , die die IP - hält.
Andrew B
4

Die Richtlinien, die durch den Standard definiert werden, der RFCs definiert, lauten, dass der PTRDatensatz auf den kanonischen Hostnamen für die zugeordnete IP verweisen soll und nicht auf einen Alias. Dies ist wichtig, da Ihre Frage darauf hindeutet, dass Sie CNAMEin einigen Fällen daran denken, einen Punkt zu haben, und in vielen Fällen falsche Werte.

RFC1034 §3.5 (ein großes Lob an @ Håkan Lindqvist, der mich wie immer ehrlich hält)

Adressknoten werden verwendet, um Zeiger auf primäre Hostnamen im normalen Domänenbereich zu halten.

RFC1034 §3.6.2 :

Domänennamen in RRs, die auf einen anderen Namen verweisen, sollten immer auf den Primärnamen und nicht auf den Alias ​​verweisen. Dies vermeidet zusätzliche Indirektionen beim Zugriff auf Informationen.

Beide RFCs wurden geschrieben, bevor klare Definitionen für SOLLTEN NICHT und MÜSSEN NICHT vorhanden sein sollten ( RFC2119 ). Dies ist bedauerlich, da DNS der Klebstoff des Internets ist und viele Empfehlungen in den ursprünglichen Standards häufig gebogen werden, bis sie durch zusätzliche RFCs weiter verstärkt werden. Das heißt, die Absicht ist hier ziemlich offensichtlich. Es ist eine Sache, DNS als hierarchische Allzweckdatenbank zu verwenden, wenn die entsprechenden Datensatztypen verwendet werden, und eine andere, die Empfehlungen vollständig zu ignorieren.

Wirst du Dinge kaputt machen, wenn du fortfährst? Wahrscheinlich nicht, aber es ist immer noch kein besonders guter Ansatz, insbesondere wenn Sie beabsichtigen, dies nicht einem Wert zuzuordnen, der für den Benutzer oder die Software nützlich ist. (DNS-Rekursoren machen mehr Arbeit ohne Mehrwert)

Andrew B.
quelle
Ich denke, was falsch ist oder zumindest im Widerspruch zur beabsichtigten Verwendung steht, ist, dass dieser Name (wenn ich die Frage richtig lese) möglicherweise überhaupt nicht existiert, geschweige denn der primäre Hostname gemäß rfc1035 (" Adressknoten werden verwendet") Zeiger auf primäre Hostnamen im normalen Domänenbereich zu halten. ")
Håkan Lindqvist
@ Håkan Danke, ich dachte, ich hätte etwas in diese Richtung gelesen, konnte aber die RFC-Referenz nicht finden.
Andrew B