BINDのアクセス制限で設定するallow-queryなどのallow系に関するメモ

コンピュータ
スポンサーリンク

DNSをBINDで準備する際、allow系の設定をいたしますが、挙動を把握していないと、意図せずオープンリゾルバになってしまうため、必ずチェックをお願いいたします。

allow-query{                   //queryを受け付けるセグメント
    192.168.10.0/24;  
};
allow-recursion{               //再起問い合わせを許可するセグメント
    192.168.10.0/24;
};
allow-query-cache{             //キャッシュ応答を許可するセグメント
    192.168.10.0/24;
};

以下の通り、queryのみ記載した場合、recursion/cacheの設定は、queryの内容が反映されてしまう。そのため、意図しない挙動にならぬよう、3パータンの内容は明記しておいた方が良い。

allow-query{                   //queryを受け付けるセグメント
    192.168.10.0/24;  
};
//allow-recursion{               //再起問い合わせを許可するセグメント
//    192.168.10.0/24;
//};
//allow-query-cache{             //キャッシュ応答を許可するセグメント
//    192.168.10.0/24;
//};

権威DNSとしてゾーンを公開するのであればqueryのみ許可。再起問い合わせ、キャッシュのクエリは拒否する。

recursion no;                  //再起問い合わせはしないと明記
allow-query{                   //管理しているゾーンのクエリは応答
    any;  
};
allow-recursion{               //再起問い合わせを全拒否
    none;
};
allow-query-cache{             //キャッシュ応答を全拒否
    none;
};

タイトルとURLをコピーしました