Como alguém poderia desativar a recursão do bind9 e fazer o encaminhamento apenas para consultas DNS?

0

Estou aprendendo como configurar o servidor DNS. Minha primeira tarefa é configurar servidor de encaminhamento local - servidor que NÃO faça consultas recursivas, mas as encaminhe para outro DNS público aberto.

OK, aqui está o meu /etc/bind/named.conf.options

options {
    directory "/var/cache/bind";

    recursion no;
    allow-query { localhost; };

    forwarders {
        8.8.8.8;
        8.8.4.4;
    };
    forward only;

    dnssec-enable yes;
    dnssec-validation yes;

    auth-nxdomain no;    # conform to RFC1035
    listen-on port 53 {
        127.0.0.1;
        192.168.1.33;
    };
    listen-on-v6 { any; };
};

Mas quando eu emito

dig askubuntu.com

retorna:

...
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 57563
...
;; WARNING: recursion requested but not available
...
;; SERVER: 127.0.0.1#53(127.0.0.1)
...

Pelo que entendi, dig deve fazer uma consulta DNS à instância local bind e deve encaminhar essa requisição para 8.8.8.8 e retornar a resposta.

No entanto, reclama que a recursão não está disponível. Mas eu não pedi isso.

Como alguém poderia resolver esse problema? Obrigado.

    
por Bulat M. 20.11.2016 / 07:46

1 resposta

1

Há uma excelente discussão sobre isso em link .

O que você está fazendo é basicamente correto, exceto pelo fato de que você precisa definir "recursão sim" mesmo que sua configuração de DNS exija que seu servidor seja um servidor somente de encaminhamento. Isso pode parecer contra-intuitivo, mas é assim que a prescrição vai. Aqui está uma configuração de amostra:

acl goodclients {
        192.0.2.0/24;
        localhost;
        localnets;
};

options {
        directory "/var/cache/bind";

        recursion yes;
        allow-query { goodclients; };

        forwarders {
                8.8.8.8;
                8.8.4.4;
        };
        forward only;

        dnssec-validation auto;

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};
    
por Lindsay Haisley 20.11.2016 / 08:07