%3A%20%C2%BFPuedo%20recibir%20las%20IP%20de%20los%20clientes%20de%20forma%20predeterminada%3F.png)
Estoy configurando un servicio Bind versión 9.9.5 como servidor únicamente autorizado. Me gustaría saber si recibo consultas de subred de cliente (ECS) de EDNS que incluyen clientes IPS de forma predeterminada. Sé que puedo configurarlo para responder a prefijos específicos (comoeste), pero no estoy seguro de si el DNS ascendente primero verifica que mi NS pueda manejar o no antes de enviar las IP/subred de los clientes. ¿Existe algo parecido a habilitar ECS en el servidor Bind para recibir dicho tráfico?
Respuesta1
Como está escrito en la propia página a la que hace referencia:
Un solucionador recursivo utiliza la opción EDNS Client Subnet (ECS) para informar a un servidor de nombres autorizado del bloque de direcciones de red desde el que se recibió la consulta original, lo que permite a los servidores autorizados dar diferentes respuestas al mismo solucionador para diferentes clientes de resolución.
Dicho de otra manera, el solucionador recursivo simplemente agrega esa opción a sus consultas, incluso en su primer mensaje a un servidor de nombres determinado, es decir, incluso antes de saber qué sucederá con él. Por lo tanto, los servidores de nombres autorizados no tienen forma de indicarlo con antelación.
Pero cuando el servidor de nombres autorizado responde (consulte la sección 7.2.1 de RFC7871), básicamente puede indicar qué prefijos utilizó. Y luego, para consultas futuras, el servidor de nombres recursivo puede adaptarse y enviar un prefijo diferente, como se explica en la especificación:
Un valor SCOPE PREFIX-LENGTH mayor que SOURCE PREFIX-LENGTH indica que la longitud del prefijo proporcionada no era lo suficientemente específica para seleccionar la respuesta personalizada más adecuada. Las consultas futuras para el nombre dentro de la red especificada DEBEN utilizar el PREFIJO-LONGITUD DE ALCANCE más largo. Los factores que afectan si el Resolver recursivo usaría la longitud más larga incluyen la cantidad de enmascaramiento de privacidad que el operador desea brindar a sus usuarios y las implicaciones de recursos adicionales para el caché.
Por el contrario, una longitud de prefijo de alcance más corta indica que se proporcionaron más bits de los necesarios y la respuesta es adecuada para una gama más amplia de direcciones. Podría ser tan corto como 0, para indicar que la respuesta es adecuada para todas las direcciones de FAMILIA.
Incluso con todo eso, los servidores de nombres autorizados no pueden obligar a los recursivos a enviar un prefijo ECS específico o incluso la opción, todavía está solo en la opción controlada por los servidores de nombres recursivos.