Lokale DNS-Konfiguration und Best Practices

Ich habe kürzlich einen PowerDNS + PowerAdmin-Server in meinem Heimnetzwerk eingerichtet. Ich habe dies als Kombination aus autorisierendem und rekursivem DNS-Server eingerichtet, um die Dinge für mich einfach zu halten. Ich habe 8.8.8.8 als Recursor eingestellt.

Ich habe bestätigt, dass ich Folgendes tun kann: "dig google.com @ (IP des DNS-Servers)" und es funktioniert hervorragend.

Mein Ziel ist es grundsätzlich, DNS in meinem Heimnetzwerk für die verschiedenen von mir ausgeführten VMs verwenden zu können. Verwenden wir für dieses Beispiel Wiki-Server.

Ich wollte ursprünglich so etwas wie wiki01.catpants.lan für die Namen machen, aber mir wurde gesagt, dass dies eine schlechte Idee ist. (mit einer gefälschten tld) Jetzt kaufe ich einfach eine Domain und mache Dinge wie wiki.catpants.com (oder was auch immer ich verwende).

Ich habe also ein paar Fragen.

1. Wird es als in Ordnung angesehen, 8.8.8.8 für den Rekorder zu verwenden? Ich weiß, dass die DNS-Server von Google häufig verwendet werden, aber ich habe mich gefragt, ob es vielleicht eine passendere Auswahl gibt.

2. Ich möchte auf einen Blick erkennen können, ob ein Server "nur intern" oder auch extern verfügbar ist. Ich habe überlegt, eine andere Subdomain zu verwenden, daher wäre dies etwa wiki01.lan.catpants.com für ein "nur internes" Wiki und wiki02.catpants.com für ein extern verfügbares Wiki. Es würde funktionieren, aber ich denke, es ist ein bisschen hässlich und erfordert zusätzliches Tippen. Oder sollte ich einen Domainnamen nur für den internen Gebrauch kaufen und verwenden? Scheint mir eine Verschwendung zu sein, da ich externe Dienste habe, die ich trotzdem ausführen möchte. Die Verwendung von .lan hat definitiv einige Vorteile für mich. Die Vorteile sind kostenlos und leicht zu erkennen, ob ein Server nur intern oder extern verfügbar ist.

3. (Hauptfrage) Ich habe versucht, ein paar interne DNS-Einträge mit einer Domain zu erstellen, die ich bereits besitze. Nennen Sie es foo.com. Ich benutze derzeit he.net für die Nameserver für foo.com. Wenn ich versuche, mit poweradmin eine Masterzone für foo.com zu erstellen, wird ein SOA-Datensatz dafür erstellt. Die 8.8.8.8 2016081300 28800 7200 604800 86400 Standardeinstellungen lauten jedoch: IIRC, Bei der erstmaligen Konfiguration von poweradmin wurden Fragen zu bestimmten Standardeinstellungen (möglicherweise) gestellt SOA-bezogen). Da ich nicht weiß, was dort vor sich geht, habe ich einfach 8.8.8.8 geschrieben und gedacht, es würde nach dem Recursor gefragt. Natürlich gibt es derzeit keine Möglichkeit, diese Einstellung zu bearbeiten. Sie sind sich also nicht sicher, was es war. Wie soll der SOA-Datensatz aussehen?

4. Sollte ich DNSSEC verwenden? Ich kann es selbst recherchieren, wenn es als "best practice" gilt.

5. Kann es zu "Leckagen" kommen? dh ich denke aus sicherheitssicht wäre es schön, wenn pakete mit meinen internen dns-einträgen nie ins internet geroutet werden. Wenn jemand den gesamten ausgehenden Datenverkehr aus meinem Netzwerk erfasst hat, sollte die Zeichenfolge "wiki01.lan.catpants.com" niemals in diesem Datenverkehr erscheinen. Könnte das bei diesem Setup vorkommen?

Vielen Dank!!

Bitte konfigurieren Sie separate DNS-Dienste für interne und externe Clients. Dies kann mit geteiltem DNS oder mit verschiedenen Servern erfolgen. Ich benutze beide Möglichkeiten.

1. Wenn Sie rekursive Abfragen durchführen, sollten Sie mit den Stammservern beginnen. Sie sollten aus der Hinweisdatei ausgefüllt werden. Bieten Sie diesen Service nicht Hosts an, die über das Internet eine Verbindung herstellen. In diesem Fall wird Ihre Netzwerkbandbreite zum Erstellen von Verstärkungsangriffen verwendet.
2. Es gibt verschiedene Mechanismen, um externe und interne Einträge zu trennen. Die Verwendung einer Unterdomäne ist eine. Konfigurieren Sie diese Adressen so, dass sie nicht ins Internet gelangen. Der Kauf einer separaten Domain für den internen Gebrauch ist übertrieben.
3. Ihre interne Adresse sollte nicht auf den he.net-Domain-Servern aufgeführt sein. Die Adressen sollten nicht im Internet gültig sein und nicht von einem mit dem Internet verbundenen DNS-Server bereitgestellt werden. Erstellen Sie für diese Adressen eine eigene interne Zone.
4. Irgendwann sollten Sie DNSSEC verwenden. Lass das bis später.
5. Verwenden Sie eine private IP-Adresse aus den Bereichen 10.0.0./8, 172.16.0.0/12 und 192.168.0.0/16. Der Datenverkehr wird nicht an das Internet weitergeleitet. In jedem Fall wird der Datenverkehr zwischen Servern über das Internet nicht weitergeleitet, wenn sich Ihr DNS-Server und Ihre Clients im selben LAN befinden.