¿Cómo se podría evitar que los nombres realicen consultas recursivas?

tag-icon tag-icon server dns bind
¿Cómo se podría evitar que los nombres realicen consultas recursivas?

Tengo mi configuración de bind9:

acl allowed {
        192.168.12.0/24;
        10.10.0.0/24;
};
options {
        listen-on port 53 { 127.0.0.1; 192.168.12.90; 10.10.0.21; };
        listen-on-v6 port 53 { ::1; };

        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";

        allow-notify { localnets; };
        allow-query     { none; };
        allow-recursion { allowed; };
        allow-query-cache { allowed; };
        allow-transfer { 192.168.12.117; };
        allow-update { none; };
        blackhole {  none; };

        forward only;
        forwarders {
                192.168.12.4;
        };
        recursion yes;

        dnssec-enable yes;
        dnssec-validation yes;

        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";

        pid-file "/run/named/named.pid";
        session-keyfile "/run/named/session.key";
};

Con esta configuración, permití a los clientes realizar consultas recursivas que el enlace debería resolver reenviando a otro servidor DNS. hago un rastreo:

dig @192.168.12.90 wikipedia.org +trace

Obtener: genera un seguimiento largo que tiene en la parte inferior:

wikipedia.org.          600     IN      A       91.198.174.192
;; Received 86 bytes from 208.80.154.238#53(ns0.wikimedia.org) in 140 ms

Obviamente, el servidor DNS local realiza consultas recursivas desde los servidores raíz hasta ns0.wikimedia para realizar la resolución, aunque se le ordenó que solo reenviara consultas (forward only;directiva).

¿Cómo podría uno ceñirse al reenvío puro sin permitir que el servidor DNS realice consultas recursivas?

Gracias.

Respuesta1

Según digmanual:

+[sin]rastro- Alternar el seguimiento de la ruta de delegación desde los servidores de nombres raíz para el nombre que se busca. El seguimiento está deshabilitado de forma predeterminada. Cuando el rastreo está habilitado,dig realiza consultas iterativas para resolver el nombre que se busca. Seguirá las referencias de los servidores raíz y mostrará la respuesta de cada servidor que se utilizó para resolver la búsqueda.

Entonces, para verificar si su servidor admite consultas recursivas o no, simplemente ejecute:

#dig @192.168.12.90 wikipedia.org

y vea si el bit RA (recursión disponible) está configurado en el encabezado de respuesta.

por ejemplo, para el servidor DNS de Google

#dig @8.8.8.8 wikipedia.org
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

información relacionada