bind9のファイアウォールルール
cat /etc/bind/named.conf.options
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk.
ネームサーバーと私の間のファイアウォールに適用する正確なファイアウォールルールについての情報は見つかりませんでした。
クライアントは、標準のDNSクエリを任意のポートからUDP/53 DNSサーバーポートに送信します。
次に、DNSサーバーはUDP/53から任意のクライアントポートに応答します。
Client:Any ---query--> DNSServer:UDP/53 --
|
Client:Any <--answer-- DNSServer:UDP/53 -<
サンプルとして、クライアントのiptablesルールは次のようになります。
iptables -A OUTPUT -d DNSServer -p udp -dport 53 -j ACCEPT
iptables -A INPUT -s DNSServer -p udp -sport 53 -j ACCEPT
基本的に、クエリ/回答が512バイト以下でない限り、DNSクエリはUDPを使用します。
DNSクエリ/応答が512バイトを超える場合、プロトコルはTCP/53に切り替わります。ゾーン転送(TCP)をサンプルとして、DNSサーバーが一緒に話す必要がある場合にのみ、axfrが必要になります。