Tentei bloquear o .zip
TLD no meu laptop (executando o Fedora 38) com o bind.
Instalando o vínculo
Atualizando
named.conf
:options { listen-on port 53 { 127.0.0.1; }; listen-on-v6 port 53 { ::1; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; secroots-file "/var/named/data/named.secroots"; recursing-file "/var/named/data/named.recursing"; allow-query { localhost; }; /* - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion. - If you are building a RECURSIVE (caching) DNS server, you need to enable recursion. - If your recursive DNS server has a public IP address, you MUST enable access control to limit queries to your legitimate users. Failing to do so will cause your server to become part of large scale DNS amplification attacks. Implementing BCP38 within your network would greatly reduce such attack surface */ recursion yes; forwarders { 8.8.8.8; }; dnssec-validation yes; managed-keys-directory "/var/named/dynamic"; geoip-directory "/usr/share/GeoIP"; pid-file "/run/named/named.pid"; session-keyfile "/run/named/session.key"; /* https://fedoraproject.org/wiki/Changes/CryptoPolicy */ include "/etc/crypto-policies/back-ends/bind.config"; /* this makes it block everything */ // response-policy { zone "zip"; }; }; logging { channel default_debug { file "data/named.run"; severity dynamic; }; }; zone "zip" IN { type master; file "zip-rpz"; allow-update { none; }; }; zone "." IN { type hint; file "named.ca"; }; include "/etc/named.rfc1912.zones"; include "/etc/named.root.key";
Adicionado
/var/named/zip-rpz
:$TTL 1D ; default expiration time (in seconds) of all RRs without their own TTL value @ IN SOA ns.zip. postmaster.ns.zip. ( 2020091025 7200 3600 1209600 3600 ) @ IN NS ns1 ; nameserver * IN A 127.0.0.1 ; localhost IN AAAA :: ; localhost
Aplicar temporariamente
sudo systemctl enable named sudo service named restart resolvectl dns wlp0s20f3 127.0.0.1
No entanto, executando dig url.zip
retorna 127.0.0.1 apenas para o próximo minuto ou assim - depois disso, ele mostra o ip "correto" (e posso visitar o site no navegador novamente). Por que está sendo redefinido?
Se eu remover a forwarders
linha, o mesmo resultado.
Se eu definir recursion no;
, não conseguirei resolver nada além de .zip urls (aqueles apontam para 127.0.0.1)
Acho que resolvi?
Se não me engano, o problema parece estar em
systemd-resolve
/resolvectl
não persistir nas configurações por muito tempo ...Se eu alterar o arquivo
/etc/systemd/resolved.conf
de forma que ele contenhaE então reinicie, parece fazer (finalmente) o que deveria.
Eu ainda gostaria de saber por que então aparentemente
só tem efeito tão brevemente