防止 PowerDNS 成為 open_resolver

防止 PowerDNS 成為 open_resolver

抱歉,如果我的問題太長。

我有 4 個 PowerDNS 伺服器,如下所示,帶有範例 IP。 ns1.example.com 1.1.1.1 ns2.example.com 2.2.2.2 rec1.example.com 3.3.3.3 rec2.example.com 4.4.4.4

在我的網路中,ns1 和 ns2 是具有一些區域和反向區域的權威伺服器。而rec1和rec2是遞迴DNS伺服器。我已經配置了rec1和rec2,以在powerdns/recursor.conf上使用“forward-zones”從ns1和ns2請求我自己的區域,這工作得很好。我還配置“forward-zones-recurse=.=8.8.8.8”以將所有其他查詢發送到它也可以工作的google DNS。我的網路中有很多子網路(客戶端),它們使用rec1和rec2作為其電腦上的主要DNS伺服器。他們根據rec1&rec2從ns1&ns2或google詢問查詢的網域向rec1&rec2詢問任何網域。到目前為止我沒有問題,我的客戶可以成功查詢任何地址。

我的問題是我的rec1&rec2變成了互聯網的“open_resolver”,我的意思是互聯網上的任何人都可以向這些伺服器發送DNS查詢並且它們可以工作。我配置了“allow-from=我的子網「在powerdns/recursor.conf 中,但這會導致一個問題,即像gmail 伺服器這樣的網路伺服器無法找到我的反向區域。所以我所有的PTR 記錄在網路上都不可用。如果我更改「allow -from= " 到 0.0.0.0/0 他們成為所有 IP 和任何查詢的 open_resolver

我想知道是否有解決方案可以像 Bind9 中那樣解決這個問題,我可以對named.conf.option 中的每個區域使用「allow_query {trusted;}」。所以我可以控制 Bind 伺服器成為 open_resolver 並只向網路回答我自己的reverse_zone,但沒有其他問題。

如果有人能幫助我,我會很高興。提前謝謝你

答案1

除了您正在使用的 DNS 之外,最好將解析器 DNS 伺服器限制在您的網路範圍內,這將保護您免受大多數攻擊。另一方面,向公眾開放您的權威網域伺服器是件好事。我的建議是使用 Bind 作為您的權威 DNS 伺服器,並使用 Unbound 作為您的解析伺服器。

相關內容