我有一个独特的情况,我提供与subdomain.mycompany.com托pipe服务给我的用户。 该子域可以托pipe在我的任何地理分布的服务器上,这些服务器具有自己的名称服务器configuration。
为了正确parsingIP地址,我创build了一个名为“forward”的名称服务器,它基本上充当了所有其他名称服务器的网关。 说得通?
这是我的configuration
options { allow-query { any; }; dnssec-enable yes; dnssec-validation yes; auth-nxdomain no; listen-on-v6 { any; }; recursion yes; forwarders { nameserver-loc1.ip; nameserver-loc2.ip; nameserver-loc3.ip; nameserver-loc4.ip; }; forward only; } 我的问题是 – 我是在正确的方向(因为我是BIND服务器的新手),我怎样才能保护这种configuration,以增加安全的姿势。
如果我正确理解你的设置,听起来不会有什么效果。
首先,在BIND中的转发工作作为recursion的变化。 也就是说,只有在传入查询中设置了RD (recursion期望)位时才会采取措施。
如果有人在resolv.conf有你的域名服务器(OS stub resolver确实设置了RD ),那么转发就会发生,但是当一个域被委托给你的服务器,并且有一些recursor在那里查询你的服务器RD没有被设置。
其次, NXDOMAIN是一个有效的响应,不会触发重试,所以如果使用NXDOMAIN的第一个转发器,这就是对客户端的响应。
实际的错误,像SERVFAIL或缺乏响应也会导致它尝试下一个服务器,但是。
至于安全性,从我所能说的来看,这在很大程度上是一个非问题,因为它似乎是一个根本不工作的设置。
然而,虽然你的设置允许从绝对的任何地方进行recursion,这通常是灾难性的,但是它被设置为仅仅转发,并且列出你自己的大概只有权威的名字服务器(如果它们允许recursion,但是坚持“糟糕的糟糕”),你实际上可以得到答案的名称是有限的,我想最终的结果是不是比正常的权威服务器更多的问题。