DNSをBINDで準備する際、allow系の設定をいたしますが、挙動を把握していないと、意図せずオープンリゾルバになってしまうため、必ずチェックをお願いいたします。
allow-query{ //queryを受け付けるセグメント
192.168.10.0/24;
};
allow-recursion{ //再起問い合わせを許可するセグメント
192.168.10.0/24;
};
allow-query-cache{ //キャッシュ応答を許可するセグメント
192.168.10.0/24;
};以下の通り、queryのみ記載した場合、recursion/cacheの設定は、queryの内容が反映されてしまう。そのため、意図しない挙動にならぬよう、3パータンの内容は明記しておいた方が良い。
allow-query{ //queryを受け付けるセグメント
192.168.10.0/24;
};
//allow-recursion{ //再起問い合わせを許可するセグメント
// 192.168.10.0/24;
//};
//allow-query-cache{ //キャッシュ応答を許可するセグメント
// 192.168.10.0/24;
//};権威DNSとしてゾーンを公開するのであればqueryのみ許可。再起問い合わせ、キャッシュのクエリは拒否する。
recursion no; //再起問い合わせはしないと明記
allow-query{ //管理しているゾーンのクエリは応答
any;
};
allow-recursion{ //再起問い合わせを全拒否
none;
};
allow-query-cache{ //キャッシュ応答を全拒否
none;
};
