질문이 너무 길었다면 죄송합니다.
아래와 같이 샘플 IP가 포함된 4개의 PowerDNS 서버가 있습니다. ns1.example.com 1.1.1.1 ns2.example.com 2.2.2.2 rec1.example.com 3.3.3.3 rec2.example.com 4.4.4.4
내 네트워크에서 ns1 및 ns2는 일부 영역과 reverse_zone이 있는 권한 있는 서버입니다. Rec1 & Rec2는 반복 DNS 서버입니다. 나는 잘 작동하는 powerdns/recursor.conf의 "forward-zones"를 사용하여 ns1&ns2에서 내 자신의 영역을 요청하도록 rec1&rec2를 구성했습니다. 또한 다른 모든 쿼리를 Google DNS로 보내도록 "forward-zones-recurse=.=8.8.8.8"을 구성합니다. 내 네트워크에는 rec1 및 rec2를 컴퓨터의 기본 DNS 서버로 사용하는 서브넷(클라이언트)이 너무 많습니다. 그들은 rec1&rec2가 ns1&ns2 또는 google에서 해당 쿼리를 요청하는 도메인에 따라 rec1&rec2의 모든 도메인을 요청합니다. 지금까지는 문제가 없습니다. 클라이언트는 모든 주소에 대해 성공적으로 쿼리할 수 있습니다.
내 문제는 내 rec1&rec2가 인터넷에 대한 "open_resolver"가 되었다는 것입니다. 즉, 인터넷의 누구든지 이 서버에 DNS 쿼리를 보낼 수 있고 작동한다는 의미입니다. 나는 "allow-from="을 구성했습니다.내_서브넷"를 powerdns/recursor.conf에 저장했지만 Gmail 서버와 같은 인터넷 서버가 내 reverse_zone을 조회할 수 없다는 문제가 발생했습니다. 따라서 내 모든 PTR 레코드를 인터넷에서 사용할 수 없습니다. 그리고 "allow-from= "에서 0.0.0.0/0으로 모든 IP 및 쿼리에 대해 open_resolver가 되었습니다.
Named.conf.option의 각 영역에 대해 "allow_query {trusted;}"를 사용할 수 있는 Bind9처럼 이를 해결할 수 있는 솔루션이 있는지 궁금합니다. 그래서 Bind 서버를 제어하여 open_resolver가 되도록 하고 인터넷에 대한 내 자신의 reverse_zone에 응답할 수 있지만 다른 질문은 없습니다.
누군가가 나를 도울 수 있다면 기쁘겠습니다. 미리 감사드립니다
답변1
사용 중인 DNS 외에도 확인자 DNS 서버를 네트워크 범위로 제한하는 것이 좋습니다. 그러면 대부분의 공격으로부터 사용자를 보호할 수 있습니다. 반면에 권한 있는 네임서버를 공개하는 것은 좋습니다. 제가 권장하는 것은 Bind를 권한 있는 DNS 서버로 사용하고 Unbound를 확인자 서버로 사용하는 것입니다.