bind9の適切な再帰セットアップ

Question

再帰を削除すると、外部ドメインを解決できなくなりますが、DNSサーバー上のドメインは解決できます。

DNSサーバーを開いたままにせずに外部ドメインを解決できるように、再帰を正しく設定する適切な方法は何ですか？

named.conf.options

options { version "One does not simply get my version"; directory "/var/cache/bind"; // If there is a firewall between you and nameservers you want // to talk to, you may need to fix the firewall to allow multiple // ports to talk. See http://www.kb.cert.org/vuls/id/800113 // If your ISP provided one or more IP addresses for stable // nameservers, you probably want to use them as forwarders. // Uncomment the following block, and insert the addresses replacing // the all-0's placeholder. // forwarders { // 0.0.0.0; // }; //======================================================================== // If BIND logs error messages about the root key being expired, // you will need to update your keys. See https://www.isc.org/bind-keys //======================================================================== dnssec-validation yes; auth-nxdomain no; listen-on-v6 { any; }; allow-recursion { any; }; allow-query { any; }; allow-query-cache { any; }; notify yes; dnssec-enable yes; dnssec-lookaside . trust-anchor dlv.isc.org.; also-notify { }; };

内部サブネットにも追加して、再帰を許可します{subnet/xx; };それでも外部ドメインを解決できません。

Xavier Lucas · Accepted Answer

DNSを再帰的にクエリできるユーザーと、ACLを持たないユーザーをフィルターします。

acl my_net { 192.168.1.0/24; }; acl my_other_net { 10.0.0.0/8; }; options { [ ... ] recursion yes; allow-recursion { my_net; }; blackhole { my_other_net; }; };

また、ゲートウェイでingress（ BCP 84 ）/ egressフィルタリングを設定して、スプーフィングされたUDPパケットがネットワークに到達して予期しないトラフィックやポイズニングを生成するのを防ぎます。ローカルインフラストラクチャのブラックホールの信頼できない部分。