извините, если мой вопрос слишком длинный.
У меня есть 4 сервера PowerDNS, как показано ниже, с примерами IP-адресов. ns1.example.com 1.1.1.1 ns2.example.com 2.2.2.2 rec1.example.com 3.3.3.3 rec2.example.com 4.4.4.4
в моей сети ns1 и ns2 являются авторитетными серверами, которые имеют некоторые зоны и обратные_зоны. а rec1 и rec2 являются рекурсивными DNS-серверами. Я настроил rec1&rec2 на запрос моих собственных зон от ns1&ns2 с помощью "forward-zones" на powerdns/recursor.conf, что отлично работает. а также я настроил "forward-zones-recurse=.=8.8.8.8" на отправку всех остальных запросов в DNS Google, что тоже работает. у меня в сети так много подсетей (клиентов), которые используют rec1 и rec2 в качестве своих основных DNS-серверов на своих машинах. они запрашивают любой домен от rec1&rec2 в соответствии с доменом, который rec1&rec2 запрашивает у ns1&ns2 или у Google. до сих пор у меня нет проблем, мои клиенты могут успешно запрашивать любой адрес.
моя проблема в том, что мой rec1&rec2 стал "open_resolver" для интернета, я имею в виду, что любой из интернета может отправлять DNS-запросы на эти серверы, и они работают. Я настроил "allow-from=мои_подсети" в powerdns/recursor.conf, но это вызывает проблему, которая заключается в том, что интернет-серверы, такие как серверы Gmail, не могут найти мою reverse_zone. Поэтому все мои записи PTR недоступны в Интернете. И если я изменю "allow-from=" на 0.0.0.0/0, они станут open_resolver для всех IP-адресов и любых запросов.
Интересно, есть ли решение этой проблемы, как в Bind9, где я могу использовать «allow_query {trusted;}» для каждой зоны в named.conf.option. Таким образом, я могу управлять сервером Bind, чтобы он стал open_resolver и просто отвечал на мой собственный reverse_zone в Интернете, но не на другие вопросы.
Буду рад, если кто-нибудь сможет мне помочь. Заранее спасибо.
решение1
Помимо DNS, который вы используете, хорошо бы ограничить ваши DNS-серверы-резолверы диапазонами вашей сети, что защитит вас от большинства атак. С другой стороны, хорошо бы открыть ваши авторитетные серверы имен для публики. Я рекомендую использовать Bind в качестве вашего авторитетного DNS-сервера и использовать Unbound в качестве вашего сервера-резолвера.