Wenn ich die Rekursion entferne, kann ich keine externen Domänen auflösen, aber dennoch Domänen auf dem DNS-Server auflösen.
Wie kann die Rekursion richtig eingerichtet werden, damit externe Domänen weiterhin aufgelöst werden können, ohne dass der DNS-Server geöffnet bleibt?
named.conf.options
options {
version "One does not simply get my version";
directory "/var/cache/bind";
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
// forwarders {
// 0.0.0.0;
// };
//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================
dnssec-validation yes;
auth-nxdomain no;
listen-on-v6 { any; };
allow-recursion { any; };
allow-query {
any;
};
allow-query-cache { any; };
notify yes;
dnssec-enable yes;
dnssec-lookaside . trust-anchor dlv.isc.org.;
also-notify {
};
};
Ich habe auch interne Subnetze hinzugefügt, um die Rekursion zuzulassen {subnet / xx; }; Es ist jedoch immer noch nicht möglich, externe Domänen aufzulösen.
What is the proper way to setup recursion correctly so external domains can still be resolved without leaving the DNS server open?- Die extrem paranoide empfohlene Hochsicherheitslösung ist. Tu das nicht. Verwenden Sie Ihre autorisierenden Server nicht für die Clientauflösung, wenn Sie dies vermeiden können. ACLs begrenzen das Risiko, wenn Sie für beide denselben Server verwenden. Es besteht jedoch weiterhin die Möglichkeit, dass ein interner Angreifer motiviert ist, Ihr DNS zu beschädigen.