主页 / unix / 问题 / 787772
Accepted
Harv
Asked: 2024-12-07 16:00:02 +0800 CST

根据客户端返回不同的DNS结果

  • 772

我已经为本地 LAN DNS 运行了 bind9。我还有一个 APT 缓存服务器。因此,我设置了一个 RPZ 文件来毒害某些域名,并让它们解析到我的内部缓存服务器。我认为apt update运行 eg返回解析错误,因为缓存服务器无法解析真正的(外部)记录并获取数据。我认为这意味着我必须将缓存服务器的视图设置为 /32。

所以问题是,我是否可以设置它,以便我的缓存服务器访问中毒区域中的域时只进行转发,而网络的其余部分则获取中毒数据?我只是不确定如何去做。

dns

1 个回答

  1. Best Answer

    您假设要根据“询问”DNS客户端提供不同的结果,您必须创建视图,这是正确的。这很简单。

    1. 创建 ACL(可选 - 您可以在任何地方使用 IP 范围,使用 ACL 更简单):

      acl "not_poisoned_clients" {
    192.168.1.99/32;   # Caching server
    10.10.10.0/24;     # Example "whitelisted" network
};

      注意:我们不会为“其他所有人”创建特定的 ACL。

    2. 创建视图(至少两个)。第一个视图将匹配“白名单”客户端,其他视图则匹配其他所有人:

      view "not_poisoned_clients" {
    match-clients { "not_poisoned_clients"; };
    recursion yes;
    zone "example.com" {
        type master;
        file "/etc/named/zones/db.example.com";
    };
};

view "everyone_else" {
    match-clients { any; };
    recursion no;
    zone "poisoned_example.com" {
        type master;
        file "/etc/named/zones/db.example.com.poisoned";
    };
};

      上面的例子非常基础,要了解更多可能的选项,我强烈推荐zytrax.com DNS 指南,例如,您可以在此处了解“view”子句中允许的所有可能的语句

    3. 高级 RPZ 配置示例:

      • RPZ 配置- 特别是:查看response-policy您可以在视图中使用它的语句。
    • 1

相关问题