web-dev-qa-db-fra.com

L'enregistrement DNS générique pour les sous-domaines de deuxième niveau peut-il être différent de la règle relative aux caractères génériques pour les sous-domaines de premier niveau?

Nous avons un enregistrement A qui pointe *.example.com vers une adresse IP.

Existe-t-il un moyen d’empêcher les sous-domaines de deuxième niveau (*.*.example.com) d’être dirigés vers cette adresse IP? Ou dirigez-les ailleurs?

dnssubdomain
1
herostwist

Non, ou du moins pas immédiatement/simplement.

RFC1034 dit à propos des caractères génériques:

Le nom de propriétaire des RR génériques est de la forme "*.<anydomain>", où <anydomain> est un nom de domaine. <anydomain> ne doit pas contenir d'autres étiquettes *, et doit figurer dans les données faisant autorité de la zone.

Donc, vous ne pouvez pas entrer quelque chose comme *.*.example.com dans votre zone DNS et vous attendre à ce qu'il fonctionne comme un joker DNS (ce sera juste un enregistrement comme les autres, * est un caractère autorisé dans les libellés).

Deux voies possibles que je vois (mais votre question manque de précisions sur ce qui se cache derrière la propriété intellectuelle pertinente en termes de services):

  1. utilisez un serveur DNS "dynamique" sur lequel vous pouvez brancher du code ou un système de résolution avancé. Ainsi, lorsque vous obtenez une requête pour foo.bar.example.com, vous pouvez répondre différemment que lorsque vous recevez une requête pour foo.example.com (vous n'utilisent plus les jokers DNS standard).
  2. en fonction du type de service que vous avez derrière cette adresse IP, mais plusieurs vous permettent une sorte "d'hébergement virtuel". Supposons que vous avez un serveur Web, alors vous devriez pouvoir le configurer pour qu'il réponde différemment aux demandes portant le nom foo.bar.example.com aux demandes concernant foo.example.com. Dans ce cas, la résolution DNS et le résultat IP seront identiques, tous les cas arriveront sur votre serveur mais, selon ce que vous ferez au niveau 7, vous pourrez alors filtrer les mauvais.

Sinon, si votre liste de domaines sur *.example.com est suffisamment petite pour pouvoir les gérer, par exemple, vous avez la liste suivante: foo, bar, quz, vous pouvez alors entrer les caractères génériques suivants (bien qu'ils ne soient pas exactement recommandés en raison de l'adresse IP utilisée):

*.foo.example.com IN A 0.0.0.0
*.bar.example.com IN A 0.0.0.0
*.quz.example.com IN A 0.0.0.0

En plus de votre caractère générique *.example.com existant avec une adresse IP spécifique correcte.

2
Patrick Mevzek