Necesito configurar un servidor reenviador DNS y hasta ahora no he logrado resolverlo.estetutorial. Vea la configuración a continuación. Mi problema es que no quiero bloquear el goodclientsacceso de los clientes (es decir, ) al servidor porque planeo publicarlo en los registros NS del nombre de dominio. La pregunta es ¿cómo puedo configurarlo para reenviar únicamente (sin realizar consultas) de forma segura? Básicamente quiero utilizar el reenviador como un servidor "vanity" sin los riesgos de DDOS mencionados en el artículo.
acl goodclients {
107.170.41.189;
localhost;
localnets;
};
options {
directory "/var/cache/bind";
recursion yes;
allow-query { goodclients; };
forwarders {
8.8.8.8;
8.8.4.4;
};
forward only;
dnssec-validation auto;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};
Respuesta1
Si entiendo correctamente su pregunta, que simplemente desea permitir consultas de todos los clientes pero solo permitir la recursividad/reenvío para redes seleccionadas, parecería que probablemente no desea configurarallow-queryen primer lugar sino más bien establecidoallow-recursionen cambio.
Vale la pena leer el manual oficial (vinculado arriba) sobre la allow-*configuración, en particular los valores predeterminados y cómo interactúan estas configuraciones.