Мне нужно настроить сервер пересылки DNS, и пока я в затрудненииэтотУчебник. Смотрите конфигурацию ниже. Моя проблема в том, что я не хочу блокировать доступ клиентов(т.е. goodclients) к серверу, потому что я планирую опубликовать его в записях NS доменного имени. Вопрос в том, как мне настроить его только для пересылки (без запросов) безопасным способом? По сути, я хочу использовать пересылку как "тщеславный" сервер без рисков DDOS, упомянутых в статье.
acl goodclients {
107.170.41.189;
localhost;
localnets;
};
options {
directory "/var/cache/bind";
recursion yes;
allow-query { goodclients; };
forwarders {
8.8.8.8;
8.8.4.4;
};
forward only;
dnssec-validation auto;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};
решение1
Если я правильно понял ваш вопрос, вы просто хотите разрешить запросы от всех клиентов, но разрешить рекурсию/пересылку только для выбранных сетей, похоже, что вы на самом деле не хотели устанавливатьallow-queryв первую очередь, а скорее установитьallow-recursionвместо.
Обязательно прочтите официальное руководство (ссылка на которое приведена выше) относительно настроек allow-*, в частности значений по умолчанию и того, как эти настройки взаимодействуют.