今天和廠商大戰了六個多小時,為了把新的防火牆上線,但在 DNS 的部份一直發生問題!
由於是採用 NAT 的架構,在做 IP & Port Mapping 的時候發現 DNS 始終 Mapping 不起來
查了很久很久很久,最後才發現,原來是 DNS 遞迴查詢的功能被限制住了
這樣也好,問題找到了 ... 也讓我對 DNS 的設定有更進一步的認識
BIND 預設遞迴查詢是開放的,也就是說當架設起 DNS 後,任何人在預設的情況下都可以拿你的 DNS 來做查詢。
在此情況之下可能會發生負載過重或遭 DoS 攻擊的情況,因此針對查詢的來源要做適度的限制
若要完全關閉 DNS 遞迴查詢的功能,在 named.conf 的 options 區塊加入 recursion no;
若要進一步限定特定 IP 才能做遞迴查詢的話,在 named.conf 的 options 區塊加入 allow-recursion { IP/SubMask; IP; };
全站熱搜
留言列表
資訊相關 (15)