Bind9 อนุญาตให้โซนเป็นส่วนหนึ่งของการแก้ปัญหาแบบเรียกซ้ำเท่านั้น

ในสภาพแวดล้อมระบบคลาวด์ของฉัน ฉันมีเซิร์ฟเวอร์ bind9 ที่ทำงานเป็นพร็อกซีสำหรับการสืบค้น DNS ขาออกทั้งหมดที่สร้างขึ้นในสภาพแวดล้อม ขณะนี้ฉันกำลังพยายามกำหนดค่า Bind เพื่อดำเนินการกรองต่อไปนี้ซึ่งเป็นส่วนหนึ่งของโฟลว์การจำแนกชื่อ -

1. อนุญาตการแก้ไขแบบเรียกซ้ำสำหรับบางโซน (เช่น aws.คอม และ gcp.คอม)
2. ไม่อนุญาตให้ใช้การค้นหาในโซนอื่นๆ รวมถึงโซนที่มี CNAME สำหรับโดเมนที่กล่าวถึงก่อนหน้านี้ (ตัวอย่างเช่น ถ้า อ.aws.com มี CNAME เพื่อ custom.service.digitalocean.comอนุญาตการแก้ไขแบบเรียกซ้ำ แต่ไม่อนุญาตให้มีการร้องขอไคลเอ็นต์ใด ๆ *.service.digitalocean.com

เท่าที่ฉันเข้าใจ วิธีทำคือใช้ RPZ (อาจอนุญาตโซนที่มี เรียกซ้ำเท่านั้น ตั้งค่าสถานะและปฏิเสธมติอื่นทั้งหมดไปยังโซนเดียวกัน) อย่างไรก็ตาม ฉันไม่สามารถรับการกำหนดค่าที่ใช้งานได้หรือค้นหาตัวอย่างใดๆ

แก้ไข: ฉันไม่สามารถทำให้ RPZ ทำงานในโซนที่ส่งต่อได้ (ดูเหมือนว่าจะทำงานบนโซนมาสเตอร์/ทาสเท่านั้น)

ความคิดใด ๆ ? ทางเลือกอื่นๆ เพื่อให้ได้ฟังก์ชันการทำงานเดียวกัน (โดยไม่มี RPZ) เป็นที่ยอมรับเท่าเทียมกันสำหรับฉัน...

นี่ไม่ใช่วิธีการทำงาน

การเรียกซ้ำ มักจะได้รับอนุญาตใน พื้นฐานต่อการดูซึ่งจะจับคู่กับลูกค้าเฉพาะราย การเรียกซ้ำ เป็นกระบวนการแก้ไขขั้นสุดท้ายและสมบูรณ์ของชื่อ DNS ลงในที่อยู่ IP และตั้งชื่อ การเรียกซ้ำ เนื่องจากกระบวนการเดียวกันนี้เกิดขึ้นกับทุกระดับที่เขียนชื่อ (เช่น ฟูบาร์ name จะมี 3 ขั้นตอนในการแก้ไขชื่อ: หนึ่งสำหรับการต่อท้าย TLD ซึ่งฉันละไว้ หนึ่งสำหรับ บาร์ ส่วนหนึ่งและหนึ่งสำหรับ ฟู ส่วนหนึ่ง).

คุณดูเหมือนจะสับสนด้วย ตัวแก้ไขแบบเรียกซ้ำ ด้วย NS เผด็จการ. ส่วนหลังให้บริการโซน DNS เฉพาะ และเพื่อให้ทำงานได้อย่างถูกต้อง ควรให้บริการโซนเหล่านี้สำหรับโลกภายนอกทั้งหมด (อย่าปล่อยให้กรณีนี้เกิดขึ้นเมื่อคุณสร้าง NS เลียนแบบบางโซนที่ไม่ได้รับอนุญาต) อินสแตนซ์เซิร์ฟเวอร์ DNS สามารถประกอบด้วยเอนทิตีทั้งสองนี้ได้อย่างแน่นอน แต่ฟังก์ชันการทำงานจะแตกต่างกันมาก ดังนั้นเมื่อ NS ของคุณโฮสต์/ให้บริการโซน DNS จริง ๆ แล้ว จะไม่สนใจว่าคำขอที่เข้ามานั้นจะเป็นการเรียกซ้ำหรือไม่ ส่วนสุดท้าย: เมื่อ NS ที่เชื่อถือได้ของคุณตอบด้วย CNAME-RR (บันทึกทรัพยากร) ชี้ไปที่โซนอื่นสำหรับบางคน โดยระบุว่าไม่มี A-RR สำหรับโฮสต์ที่ขอ ผู้ขอมีหน้าที่ต้องแก้ไขเพิ่มเติม: เมื่อคุณใช้ CNAME จริง ๆ แล้วคุณไม่จำเป็นต้องเกี่ยวข้องกับเรกคอร์ดโซนเป้าหมาย ตัวอย่างเช่น: ฟูบาร์ เป็น CNAME ที่ชี้ไปที่ ฟู.บาร์. ตอนนี้มันเป็นภาระของตัวแก้ไขของผู้ร้องขอในการแก้ไข ฟู.บาร์ เนื่องจากเป็นไคลเอ็นต์ในโซนที่เหมาะสม เริ่มต้นการอ้างสิทธิ์ตั้งแต่ต้น ไม่ใช่ NS ของคุณ

ดังนั้น ท้ายที่สุดแล้ว สิ่งที่คุณขอคือตรรกะนอกกรอบที่การใช้งานเซิร์ฟเวอร์ DNS ที่รู้จักจะดำเนินการ: ให้บริการเฉพาะโซนที่ได้รับอนุญาตให้สอบถามและทำการเรียกซ้ำเฉพาะสำหรับไคลเอ็นต์ (หรือคีย์ ตัวอย่างเช่น) ที่ได้รับอนุญาตให้ร้องขอการเรียกซ้ำ

การตั้งค่านี้ทำได้ง่าย แต่คุณอาจต้องใช้เซิร์ฟเวอร์อื่นหรือเพียงแค่ใช้ตัวแก้ปัญหาสาธารณะ ฉันจะใช้ตัวอย่างของตัวแก้ไขสาธารณะ (cloudflare)

ขั้นแรก ให้ตั้งค่า Forward Zones ในเซิร์ฟเวอร์ DNS ของคุณ

สิ่งนี้ในรูปแบบการกำหนดค่าการผูก

โซน "somedomain.com" {
  พิมพ์ไปข้างหน้า;
  ผู้ส่งต่อ { 1.1.1.1; };
};
โซน "anotherdomain.org" {
  พิมพ์ไปข้างหน้า;
  ผู้ส่งต่อ { 1.1.1.1; };
};

ประการที่สอง บล็อกการสืบค้น DNS อื่น ๆ ทั้งหมดโดยส่งต่อไปยังหลุมดำ

สิ่งนี้ที่ด้านบนของการกำหนดค่าการผูกของคุณ

ตัวเลือก {
        ไดเร็กทอรี "/var/cache/bind";    
        การเรียกซ้ำ ใช่;    
        ผู้ส่งต่อ {
                192.168.255.254;
        };

เกิดอะไรขึ้น

• ข้อความค้นหาสำหรับ somedomain.com และ anotherdomain.org จะถูกส่งต่อไปยัง Cloudflare และได้รับการแก้ไขอย่างเต็มที่ในอัปสตรีม (รวมถึงเป้าหมาย CNAME ที่อาจเป็นโดเมนอื่น)

• ข้อความค้นหาสำหรับโดเมนอื่นจะถูกส่งต่อไปยังเซิร์ฟเวอร์หรือ IP ที่ไม่ตอบสนอง และจะไม่มีทางแก้ไขได้