バインドされていないIP6ルックアップを無効にする方法は?

バインドされていないIP6ルックアップを無効にする方法は?

次のオプションで、バインドされていないIPv6ルックアップを無効にしてみました。

do-ip6: いいえ

優先IP6:いいえ

実際の優先-ip6は、do-ip6がyesの場合にのみ適用されます。とにかく、tcpdumpを使用してトラフィックをダンプしましたが、まだ私の転送サーバーでIPv6クエリが実行されていることがわかります。

無効にしましたが、バインド解除がまだIPv6を試しているのはなぜですか?自動的に有効にする別の隠しオプションはありますか?

答え1

このdo-ip6設定はバインド解除され、IPv6を介してDNSクエリを送受信するのを防ぎます。 IPv4 による DNS IPv6 レコードのバインドされていないディスカッションを防止しません。

unbound.confマニュアルページで(ハイライト):

do-ip6:(はいまたはいいえ)

IP6 クエリに応答するか発行するかを有効または無効にします。デフォルトは Yes です。無効にすると、クエリは IPv6 で応答せず、クエリは IPv6 のインターネットネームサーバーに送信されません。このオプションを使用すると、DNSトラフィックを送信するために使用されるipv6トランスポートを無効にできます。IP4およびIP6アドレスを含むことができるDNSトラフィックの内容には影響しません。

同様にprefer-ip6、バインド解除されたユーザーがIPv4およびIPv6を介して接続できるDNSサーバーと通信するためにIPv6を使用することを好むかどうかを制御します。

リバースIPv6ルックアップをブロックするには、これを行うことができますか?

local-zone: ip6.arpa. refuse

IPv6アドレスに対して渡されたクエリをブロックするには、AAAAレコードに対するすべてのクエリをフィルタリングする必要があります。ただし、単一のクエリに複数のレコードタイプに関する質問が含まれる可能性があるため、ソフトウェアはクエリからIPv6関連のレコードタイプを削除するか、クエリ全体を拒否する必要があります。

答え2

次のように、AAAAレコードを含むすべての応答をフィルタリングできます。

server:
   private-address: ::/0  # filters out all AAAA

関連情報