hardillb's questions

我最近更新了面向公众的 NGINX 实例的设置，以添加对 http2 的支持。在之后查看日志以了解它的使用频率时，我发现与托管站点无关的新日志条目迅速增加。

首先是一堆发出CONNECT请求的条目，由于 NGINX 实例未配置为转发代理，这些都失败并出现 400 错误。我已经设置了 fail2ban 规则来丢弃来自许多源 IP 地址的流量。我对此并不特别担心（如果需要，请添加评论）。

下一组条目是GET请求，但没有路径，它们有完整的 URL 作为目标，例如

222.223.121.231 - - [16/Jul/2020:12:57:37 +0100] "GET http://api.gxout.com/proxy/check.aspx HTTP/1.1" 404 199 "http://api.gxout.com/proxy/check.aspx" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

其中大多数都按预期再次收到 404 响应，并且我添加了另一个 fail2ban 规则来丢弃来自源 IP 地址的数据包（同样并没有真正关心这些）。

还有一些类似的得到了 200 个回复，这些是我担心的，例如

35.236.60.202 - - [16/Jul/2020:11:52:28 +0100] "GET http://www.nike.com/ HTTP/1.1" 200 396 "-" "python-requests/2.20.0"

我有以下问题：

1. 为什么 NGINX 会为此请求返回 200？
2. 有关如何调试的建议？

所有传入流量都应该是 https（必需或 http2），并且我被固定在 TLS 1.2 或 1.3，所以我认为使用 tcpdump 捕获流量不会有帮助（我假设我无法提供私钥进入wireshark并解码数据包？）。

我能想到的唯一其他选择是向 NGINX 添加一些自定义日志记录（是否可以在 nginx 访问日志中记录响应数据？）以记录整个请求/响应。我过去这样做是为了调试 oAuth2.0 令牌交换问题，但仅限于我可以完全控制所有传入流量的系统上。

我的 DNS 中有一个域条目，其中包含 3 个不同的 TXT 记录（1 个 SPF、1 个 Keybase 证明和一个 DMARC 条目）。

我即将将我的邮件服务器移动到新主机，因此需要更新 SPF 记录，但我正在努力研究如何使用 nsupdate 删除和替换 SPF 记录。

目前，我能想到的最佳选择是编写脚本 nsupdate 以删除所有 3 个并在添加更新的 SPF 记录之前将 2 个未更改的添加回来。

有没有办法只删除 1 记录？

我正在为我的域使用 DNSSEC，我的 DNS 服务器是双宿主的（对可以在公共接口上查询的内容有适当的限制），它既涵盖了我的公共域，也涵盖了我的私有顶级域 (.loc)在我的局域网上使用。

我正在努力研究如何将 .loc 域的 DS 记录添加到我的 bind9 配置中。因为它是顶级域，所以通常会列出根服务器。

我可以在 $ORIGIN 语句之前将它添加到我的区域文件中吗？