%3A%20Posso%20receber%20os%20IPs%20dos%20clientes%20por%20padr%C3%A3o%3F.png)
Estou configurando um serviço Bind versão 9.9.5 como um servidor somente autoritativo. Gostaria de saber se recebo consultas de sub-rede de cliente EDNS (ECS) que incluem clientes IPS por padrão. Eu sei que posso configurá-lo para responder a prefixos específicos (comoesse), mas não tenho certeza se o DNS upstream primeiro verifica se meu NS pode lidar ou não antes de enviar os IPs/sub-rede dos clientes. Existe algo como ativar o ECS no servidor Bind para receber esses tráfegos?
Responder1
Conforme escrito na própria página que você faz referência:
A opção EDNS Client Subnet (ECS) é usada por um resolvedor recursivo para informar a um servidor de nomes autoritativo o bloco de endereço de rede do qual a consulta original foi recebida, permitindo que servidores autoritativos forneçam respostas diferentes ao mesmo resolvedor para diferentes clientes resolvedores.
Dito de outra forma, o resolvedor recursivo apenas adiciona essa opção às suas consultas, mesmo após sua primeira mensagem para um determinado servidor de nomes, antes mesmo de saber o que acontecerá com ele. Conseqüentemente, os servidores de nomes autorizados não têm como sinalizar isso com antecedência.
Mas quando o servidor de nomes oficial responde (consulte a seção 7.2.1 do RFC7871), ele pode sinalizar basicamente quais prefixos foram usados. E então, para consultas futuras, o servidor de nomes recursivo pode se adaptar e enviar um prefixo diferente, conforme explicado na especificação:
Um valor SCOPE PREFIX-LENGTH maior que SOURCE PREFIX-LENGTH indica que o comprimento do prefixo fornecido não foi específico o suficiente para selecionar a resposta personalizada mais apropriada. Consultas futuras para o nome na rede especificada DEVEM usar o SCOPE PREFIX-LENGTH mais longo. Os fatores que afetam se o Resolvedor Recursivo usaria o comprimento maior incluem a quantidade de máscara de privacidade que o operador deseja fornecer aos seus usuários e as implicações de recursos adicionais para o cache.
Por outro lado, um SCOPE PREFIX-LENGTH mais curto indica que foram fornecidos mais bits do que o necessário e a resposta é adequada para uma gama mais ampla de endereços. Pode ser tão curto quanto 0, para indicar que a resposta é adequada para todos os endereços em FAMÍLIA.
Mesmo com tudo isso, os servidores de nomes autorizados não podem forçar os recursivos a enviar o prefixo ECS específico ou mesmo a opção, ainda é apenas uma opção controlada pelos servidores de nomes recursivos.