DNSサーバーを設定して再帰を有効にすると、pingを実行して結果を取得できます。
[root@seobd ec2-user]# nslookup google.com
Server: 52.10.197.195
Address: 52.10.197.195#53
Non-authoritative answer:
Name: google.com
Address: 216.58.193.78
ただし、再帰を無効にすると結果をpingできません。構成:
options {
listen-on port 53 { 127.0.0.1; 52.10.197.195; 0.0.0.0/0;};
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { localhost; 0.0.0.0/0; };
notify yes;
recursion no;
dnssec-enable no;
dnssec-validation yes;
};
zone "iftibd.com" IN {
type master;
file "seobd.fz";
allow-update {none;};
};
zone "197.10.52.in-addr.arpa" IN {
type master;
file "seobd.rz";
allow-update {none;};
};
[root@seobd ec2-user]# ping google.com
ping: unknown host google.com
答え1
これは予想される動作です。再帰を許可しないと、BINDは最終的に回答を得るために可能性/サーバーを繰り返さないため、回答できません。
重要なのは、ACLを生成して再帰要求を実行できるネットワークを制限し、リモートで悪用される可能性があるオープンDNSサーバーを防ぐことです。
また、オプションセクションの上部に以下を追加することをお勧めします。
allow-recursion { 127.0.0.0/8; x.x.x.x/24; y.y.y.y/24; };
ここで、xxxxとyyyyはネットワークブロックです。
視聴する:バインドでの再帰と伝達の違いは何ですか
セキュリティへの影響については、次を参照してください。 パーサープロジェクトを開く
オープンリゾルバは、ドメイン外のホストに対する再帰クエリに応答してグローバルネットワークインフラストラクチャに深刻な脅威を与えます。これはDNS増幅攻撃に使用され、1990年代後半に一般的に発生したSmurf攻撃と同様の脅威を与えます。