Sua estratégia atual de firewall DNS para o BIND está um pouco atrasada, já que você está roubando a autoridade da zona raiz. Fazer um repasse de trabalho nessa situação é bastante difícil; não há nenhuma funcionalidade de "lista branca" que permita reativar a recursão de registros DNS específicos. A solução não é dimensionada porque você está preso mantendo as informações atualizadas manualmente em todos os casos:
- Você pode configurar uma declaração
forwarder
para cada domínio interno que você gerencia, pois há uma confiança razoável de que os IPs do seu servidor de nomes não serão alterados sem aviso. Usar umforwarder
para um domínio que você não gerencia é uma má ideia, porque os servidores de nomes podem mudar a qualquer momento. - A outra solução é definir estaticamente todos e quaisquer registros DNS que você deseja duplicar na
.
zone. Isso não é escalável devido ao fato de que as partes remotas podem alterar esses registros DNS a qualquer momento ou adicionar conteúdo a seus sites que exigem registros DNS que você não replicou.
Minha recomendação é que você considere o abandono da abordagem e, ao invés disso, utilize o RPZ. As perguntas e respostas a seguir podem ajudá-lo a começar: Configure o BIND9 como o firewall do DNS
Se você optar pelo RPZ, o termo whitelisting que você deseja procurar é rpz-passthru
; lembre-se de colocar na lista branca tanto o topo do domínio ( example.com
) quanto todos os registros abaixo dele com um curinga ( *.example.com
).