%3A%20%D0%9C%D0%BE%D0%B3%D1%83%20%D0%BB%D0%B8%20%D1%8F%20%D0%BF%D0%BE%D0%BB%D1%83%D1%87%D0%B0%D1%82%D1%8C%20IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%B0%20%D0%BA%D0%BB%D0%B8%D0%B5%D0%BD%D1%82%D0%BE%D0%B2%20%D0%BF%D0%BE%20%D1%83%D0%BC%D0%BE%D0%BB%D1%87%D0%B0%D0%BD%D0%B8%D1%8E%3F.png)
Я настраиваю службу Bind версии 9.9.5 как полномочный сервер. Я хотел бы знать, получаю ли я запросы EDNS Client Subnet (ECS), которые включают IPS клиентов по умолчанию. Я знаю, что могу настроить его для ответа на определенные префиксы (например,этот), но я не уверен, проверяет ли DNS-сервер upstream, что мой NS может обработать или нет, перед отправкой IP-адресов/подсети клиентов. Есть ли что-то вроде включения ECS на сервере Bind для получения такого трафика?
решение1
Как написано на той самой странице, на которую вы ссылаетесь:
Опция клиентской подсети EDNS (ECS) используется рекурсивным распознавателем для информирования авторитетного сервера имен о блоке сетевых адресов, с которого был получен исходный запрос, что позволяет авторитетным серверам давать разные ответы одному и тому же распознавателю для разных клиентов распознавателя.
Говоря иначе, рекурсивный резолвер просто добавляет эту опцию к своим запросам, даже при первом сообщении данному серверу имен, так что даже до того, как он узнает, что с ним произойдет. Следовательно, авторитетные серверы имен не имеют возможности заранее сообщить об этом.
Но когда авторитетный сервер имен отвечает (см. раздел 7.2.1 RFC7871), он может в основном сигнализировать, какие префиксы он использовал. И затем для будущих запросов рекурсивный сервер имен может адаптироваться и отправить другой префикс, как объясняется в спецификации:
Значение SCOPE PREFIX-LENGTH больше, чем SOURCE PREFIX-LENGTH, указывает на то, что указанная длина префикса не была достаточно конкретной для выбора наиболее подходящего Tailored Response. Будущие запросы для имени в указанной сети ДОЛЖНЫ использовать более длинное значение SCOPE PREFIX-LENGTH. Факторы, влияющие на то, будет ли Recursive Resolver использовать более длинную длину, включают объем маскировки конфиденциальности, которую оператор хочет предоставить своим пользователям, и дополнительные затраты ресурсов на кэш.
Наоборот, более короткий SCOPE PREFIX-LENGTH указывает на то, что было предоставлено больше бит, чем необходимо, и ответ подходит для более широкого диапазона адресов. Это может быть всего 0, чтобы указать, что ответ подходит для всех адресов в FAMILY.
Несмотря на все это, авторитетные серверы имен не могут заставить рекурсивные серверы отправлять определенный префикс ECS или даже опцию вообще, это все равно только опция, контролируемая рекурсивными серверами имен.