Lo siento si mi pregunta es demasiado larga.
Tengo 4 servidores PowerDNS, como se muestra a continuación con IP de ejemplo. ns1.ejemplo.com 1.1.1.1 ns2.ejemplo.com 2.2.2.2 rec1.ejemplo.com 3.3.3.3 rec2.ejemplo.com 4.4.4.4
en mi red, ns1 y ns2 son servidores autorizados que tienen algunas zonas y zonas inversas. y rec1 y rec2 son servidores DNS recursos. He configurado rec1 y rec2 para solicitar mis propias zonas de ns1 y ns2 con "zonas directas" en powerdns/recursor.conf, lo cual funciona bien. y también configuro "forward-zones-recurse=.=8.8.8.8" para enviar todas las demás consultas al DNS de Google, que también funciona. Tengo tantas subredes (clientes) en mi red que usan rec1 y rec2 como servidores DNS principales en sus máquinas. preguntan a cualquier dominio de rec1 y rec2 según el dominio que rec1 y rec2 solicitan esa consulta a ns1 y ns2 o a google. Hasta este punto no tengo ningún problema, mis clientes pueden consultar con éxito cualquier dirección.
mi problema es que mi rec1 y rec2 se convirtieron en "open_resolver" para Internet, quiero decir, cualquiera desde Internet puede enviar consultas DNS a estos servidores y funcionan. Configuré "permitir desde =mis_subredes" en powerdns/recursor.conf pero causa un problema, que es que los servidores de Internet como los servidores de Gmail no pueden buscar mi zona_inversa, por lo que todos mis registros PTR no están disponibles en Internet. Y si cambio "allow-from= "a 0.0.0.0/0 se convirtieron en open_resolver para todas las IP y cualquier consulta
Me pregunto si hay una solución para resolverlo como en Bind9, donde puedo usar "allow_query {trusted;}" para cada zona en la opción nombrada.conf. así puedo controlar el servidor Bind para que se convierta en open_resolver y simplemente responder a mi propia zona inversa en Internet, pero no hay otra pregunta.
Me alegraría si alguien pudiera ayudarme. gracias por adelantado
Respuesta1
Además del DNS que esté utilizando, es bueno limitar los servidores DNS de resolución a los rangos de su red, lo que lo protegerá de la mayoría de los ataques. Por otro lado, es bueno abrir al público sus servidores de nombres autorizados. Mi recomendación es utilizar Bind como servidor DNS autorizado y Unbound como servidor de resolución.