次のオプションで、バインドされていないIPv6ルックアップを無効にしてみました。
do-ip6: いいえ
優先IP6:いいえ
実際の優先-ip6は、do-ip6がyesの場合にのみ適用されます。とにかく、tcpdumpを使用してトラフィックをダンプしましたが、まだ私の転送サーバーでIPv6クエリが実行されていることがわかります。
無効にしましたが、バインド解除がまだIPv6を試しているのはなぜですか?自動的に有効にする別の隠しオプションはありますか?
答え1
このdo-ip6
設定はバインド解除され、IPv6を介してDNSクエリを送受信するのを防ぎます。 IPv4 による DNS IPv6 レコードのバインドされていないディスカッションを防止しません。
unbound.conf
マニュアルページで(ハイライト):
do-ip6:(はいまたはいいえ)
IP6 クエリに応答するか発行するかを有効または無効にします。デフォルトは Yes です。無効にすると、クエリは IPv6 で応答せず、クエリは IPv6 のインターネットネームサーバーに送信されません。このオプションを使用すると、DNSトラフィックを送信するために使用されるipv6トランスポートを無効にできます。IP4およびIP6アドレスを含むことができるDNSトラフィックの内容には影響しません。。
同様にprefer-ip6
、バインド解除されたユーザーがIPv4およびIPv6を介して接続できるDNSサーバーと通信するためにIPv6を使用することを好むかどうかを制御します。
リバースIPv6ルックアップをブロックするには、これを行うことができますか?
local-zone: ip6.arpa. refuse
IPv6アドレスに対して渡されたクエリをブロックするには、AAAAレコードに対するすべてのクエリをフィルタリングする必要があります。ただし、単一のクエリに複数のレコードタイプに関する質問が含まれる可能性があるため、ソフトウェアはクエリからIPv6関連のレコードタイプを削除するか、クエリ全体を拒否する必要があります。
答え2
次のように、AAAAレコードを含むすべての応答をフィルタリングできます。
server:
private-address: ::/0 # filters out all AAAA