今天和廠商大戰了六個多小時,為了把新的防火牆上線,但在 DNS 的部份一直發生問題!

由於是採用 NAT 的架構,在做 IP & Port Mapping 的時候發現 DNS 始終 Mapping 不起來

查了很久很久很久,最後才發現,原來是 DNS 遞迴查詢的功能被限制住了

這樣也好,問題找到了 ... 也讓我對 DNS 的設定有更進一步的認識

BIND 預設遞迴查詢是開放的,也就是說當架設起 DNS 後,任何人在預設的情況下都可以拿你的 DNS 來做查詢。

在此情況之下可能會發生負載過重或遭 DoS 攻擊的情況,因此針對查詢的來源要做適度的限制

若要完全關閉 DNS 遞迴查詢的功能,在 named.conf 的 options 區塊加入 recursion no;

若要進一步限定特定 IP 才能做遞迴查詢的話,在 named.conf  的 options 區塊加入 allow-recursion { IP/SubMask; IP; };
創作者介紹

有為青年生活札記

bojack 發表在 痞客邦 PIXNET 留言(0) 人氣()