Несколько авторитетных серверов DNS на том же адресе IPv4
psservice \\server restart cherrypyservice
(Где psservice является другим приложением SysInternals),
или
sc \\server stop cherrypyservice
sc \\server start cherrypyservice
Я нашел решение своей проблемы. Однако это не общее решение вопроса.
В моем случае я полагаюсь на протокол, используемый dns2tcp, который обменивается данными с помощью запросов субдоменов на tunnel.example.com. Итак, идея заключалась в том, чтобы сопоставить пакет, содержащий такие запросы, и построить правило сетевого фильтра:
iptables -t nat -I PREROUTING -p udp --dport 53 -m string --algo bm --from 42 --hex-string "|0674756e6e656c076578616d706c6503636f6d00|" -j REDIRECT -to-ports 5354
- Параметр
шестнадцатеричная строка- это строка, соответствующаяtunnel.example.comв DNS-пакетах. -
из 42гарантирует что на dns2tcp перенаправляются только подзапросы, а не обычные запросы для самого домена, такие как запросы SOA или NS. - NSD сейчас слушает порт 53, что намного лучше, чем раньше.
- Нет более общедоступный рекурсивный сервер, что даже лучше.
Это не идеально, но он использует гораздо меньше программного обеспечения, чем раньше.
Два сервера не могут одновременно прослушивать одну и ту же комбинацию IP + порт.
Все, что вы делаете, чтобы включить такого зверя с двумя спинами, - это Хакерство - это Плохое и неправильное , и его не следует делать. Боль, Печаль, Безумие и Смерть лежат на этом пути - поверните назад, или вас съест грю.
Правильное решение
Получите еще один IP. В идеале полностью получить другой сервер и не запускать рекурсивный DNS на том же сервере, что и ваш авторитетный.
Простое решение
Преодолейте свой страх / недоверие / ненависть к BIND (приобретите копию DNS и BIND и make nice) и используйте директиву allow-recursion {…}; , чтобы ограничить круг лиц, которые могут делать рекурсивные запросы.
Это простое решение может оставить вас уязвимым для отравления кеша и других неприятностей.