Início / unix / Perguntas / 794300
Accepted
peterh
Asked: 2025-04-29 03:19:41 +0800 CST

Bind9 somente em cache, conectando exclusivamente por tcp para fora

  • 772

Por vários motivos, principalmente relacionados à segurança e privacidade, eu ficaria mais feliz se meu bind9 somente em cache usasse somente TCP para fazer conexões externas.

Claro, ele deve ser capaz de aceitar e manipular consultas UDP.

Como posso fazer isso?

dns

1 respostas

  1. Best Answer

    Acho que o que você está procurando é:

    # cat << \EOF >> named.conf

server 0.0.0.0/0 {
    tcp-only true;
};

server ::/0 {
    tcp-only true;
};

EOF

    e então reinicie named.

    Isso indica ao bind que, para qualquer servidor de nomes que ele tente contatar no espaço IPv4, ele deve usar apenas TCP. A segunda estrofe abrange o espaço IPv6. Se você encontrar hosts que estejam de alguma forma quebrados e não aceitem ou respondam corretamente às solicitações TCP, será necessário criar uma serverseção mais específica para abranger o IP daquele servidor em particular. Da documentação:

    A instrução server define características a serem associadas a um servidor de nomes remoto. Se um comprimento de prefixo for especificado, uma gama de servidores será coberta. Somente a cláusula server mais específica se aplica, independentemente da ordem em named.conf.

    Por exemplo, se um servidor de nomes em algum IP 172.19.20.21 não fala DNS sobre TCP corretamente, você adicionaria:

    // nameserver frammitz.example.com doesn't like TCP:
server 172.19.20.21 {
    tcp-only false;
};
    • 4

relate perguntas