web-dev-qa-db-ja.com

bind9のファイアウォールルール

cat /etc/bind/named.conf.options

    // If there is a firewall between you and nameservers you want
    // to talk to, you may need to fix the firewall to allow multiple
    // ports to talk.

ネームサーバーと私の間のファイアウォールに適用する正確なファイアウォールルールについての情報は見つかりませんでした。

3
Pol Hallen

クライアントは、標準のDNSクエリを任意のポートからUDP/53 DNSサーバーポートに送信します。

次に、DNSサーバーはUDP/53から任意のクライアントポートに応答します。

Client:Any ---query--> DNSServer:UDP/53 --
                                          |
Client:Any <--answer-- DNSServer:UDP/53 -<

サンプルとして、クライアントのiptablesルールは次のようになります。

iptables -A OUTPUT -d DNSServer -p udp -dport 53 -j ACCEPT
iptables -A INPUT -s DNSServer -p udp -sport 53 -j ACCEPT

基本的に、クエリ/回答が512バイト以下でない限り、DNSクエリはUDPを使用します。

DNSクエリ/応答が512バイトを超える場合、プロトコルはTCP/53に切り替わります。ゾーン転送(TCP)をサンプルとして、DNSサーバーが一緒に話す必要がある場合にのみ、axfrが必要になります。

2
krisFR