ワイルドカードの横にサブドメインを使用すると、RPZへのバインディングが奇妙に機能します。

ワイルドカードの横にサブドメインを使用すると、RPZへのバインディングが奇妙に機能します。

バインディングでバグが見つかったかどうかはわかりません。 Debian 12でシンプルなDNSサーバーを設定しました。

存在する名前付き.conf.オプション

zone "rpz-test" {
    type master;
    file "/etc/bind/rpz-test.zone";
    check-names ignore;
}

存在するrpzテストエリア

;RPZ
$TTL 604800
@   IN SOA rpz.zone. rpz.zone. (
                2; serial
            604800; refresh
            86400; retry
            2419200; expire
            604800; minimum
)
        IN      NS      localhost.

*.com A 127.0.0.1

sub.domain.com A 127.0.0.1

今... bind9が設定の確認を開始した後にdigを使用すると...

何が起こるのか?

何でも学びます。com @localhost -p 53 ->返信127.0.0.1

dig sub.domain.com @localhost -p 53 ->返信127.0.0.1

dig domain.com @localhost -p 53 ->ワイルドカードを壊して解決する

実際にドメインのサブドメインが宣言されると、プライマリドメインは外部で検証されます。
変ですね。ワイルドカードは後続のステートメントを克服できませんか?

問題は私の設定にあるかもしれません。バグかどうかはわかりませんが、使用しているバージョンは次のとおりです。

Debian 12.2
バインディング 9.18.19~deb12u1

答え1

~によるとRFC 1034、これは予想される動作です。

クエリ名またはワイルドカードドメインとクエリ名の間に名前が存在することがわかっている場合、ワイルドカードRRは適用されません。たとえば、ワイルドカードRRの所有者名が " *.X"で、ゾーンに接続されているRRも含まれている場合、ワイルドカードは名前クエリ(明示的な情報がないと仮定)B.Xには適用されますが、またはには適用されません。Z.XZ.XB.XA.B.XX

これが不明であると思われるならば、彼らが書いた内容において、あなたは一人ではありません。RFC 4592ワイルドカードの使用を明確にします。要約すると、RRエントリを追加するとsub.domain.com.2つのドメインが定義され、sub.domain.com.ワイルドdomain.com.カードは*.com.両方のドメインに適用されません。

関連情報