У меня есть своя bind9 конфигурация:
acl allowed {
192.168.12.0/24;
10.10.0.0/24;
};
options {
listen-on port 53 { 127.0.0.1; 192.168.12.90; 10.10.0.21; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-notify { localnets; };
allow-query { none; };
allow-recursion { allowed; };
allow-query-cache { allowed; };
allow-transfer { 192.168.12.117; };
allow-update { none; };
blackhole { none; };
forward only;
forwarders {
192.168.12.4;
};
recursion yes;
dnssec-enable yes;
dnssec-validation yes;
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};
С этой конфигурацией я позволил клиентам, делают рекурсивные запросы, которые связывают, должен решить путем передачи другому серверу DNS. Я делаю трассировку:
dig @192.168.12.90 wikipedia.org +trace
Доберитесь: Это производит длинную трассировку, имеющую внизу:
wikipedia.org. 600 IN A 91.198.174.192
;; Received 86 bytes from 208.80.154.238#53(ns0.wikimedia.org) in 140 ms
Это, очевидно, что локальный сервер DNS выполняет рекурсивные запросы, начинающие с корневых серверов вниз к ns0.wikimedia сделать разрешение, хотя этим управляли только передать запросы (forward only;
директива).
Как можно было придерживаться чистой передачи, не позволяя сервер DNS, делают рекурсивные запросы?
Спасибо.
Согласно dig
руководство:
+ [никакая] трассировка - трассировка Переключателя делегации соединяют каналом от корневых серверов имен для искавшего имени. Трассировка отключена по умолчанию. То, когда трассировка включена, роют, делает итеративные запросы для разрешения имени, искавшего . Это будет следовать за направлениями с корневых серверов, показывая ответ с каждого сервера, который использовался для разрешения поиска.
Так, чтобы проверить, поддерживает ли Ваш сервер рекурсивные запросы или нет, просто выполненный:
#dig @192.168.12.90 wikipedia.org
и видят, установлен ли РА (Доступная Рекурсия) бит в заголовке ответа.
, например, для сервера Google DNS
#dig @8.8.8.8 wikipedia.org
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1