QA@IT

【BIND9】特定のzone以外は問合せを拒否したい

3954 PV

BIND9で社内DNSを構築しています。

ワケあって特定のドメインへの問合せはstubゾーンへforwardし、
それ以外のドメイン(インターネット上のgoogle.co.jpなど)に対する問合せは拒否したいのですが、

  1. recursion:no; とした場合 (allow-recursion { none; }; でも同様)
     ⇒ stubゾーンへのforwardができなくなる

  2. forwarders { }; とした場合
     ⇒ 毎回タイムアウトを待たなければならない

  3. forwarders { [DNSサービスではないIP]; };
     ⇒ forwardに失敗してタイムアウトは待たなくなるが美しくない

といった具合で、なかなか気持ちいい設定が見当たりません。(いまは3にしてます)
良い解決策をご存知でしたら教えてください。

回答

type forward という設定があるようなので、特定のドメインのゾーンを type forward で作成してグローバルな optionsallow-recursion { none; }; にするという方法でどうでしょうか?

http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=14828&forum=10
http://www.atmarkit.co.jp/ait/articles/0405/15/news015_2.html

編集 履歴 (0)
  • 回答ありがとうございます! 時間取れたら試してみます。 -
  • 試してみましたが、recursionを無効にするとforwardゾーンへも問合せしなくなるようです。BINDではどうしようもなさそうですね。。。 -
ウォッチ

この質問への回答やコメントをメールでお知らせします。