我想利用现有的内部 DNS 绑定服务器并添加一些 RPZ 安全性。此前,我已将内部视图拆分为 DNS,将 3 个特定域转发到我办公室的内部 DNS 服务器。
zone "company.tld" IN {
type forward;
forward only;
forwarders {
10.10.161.1;
10.11.161.1;
};
效果很好。当我在与转账提供商注册后添加 RPZ 后:
response-policy {
zone "oisd-full.ioc2rpz" policy nxdomain;
}
qname-wait-recurse no break-dnssec yes;
我可以看到我的 RPZ 运行良好,但我的转发区域被 RPZ 捕获。 (是的,我工作过的许多公司之一无意中使用了内部 TLD,而该 TLD 现在已出现在某人的顽皮名单上)。
我尝试将此域设为白名单,但绑定要求我的区域定义是主类型或从类型,而不是转发类型。
我没有找到任何人都可以使用这两种功能的好例子。IE:允许 Bind 在 RPZ 之前首先查看其所有本地区域,或者标记白名单,以便它仍然查看其视图配置以获取答案如果它被标记为passthru。
有想法吗?
答案1
在调试更多(启用大量日志)时,我找到了问题的根源。当我更新 Bind9 以支持 RPZ 时,我没有意识到我已启用 DNSSEC,并且我的转发器无法信任链(因为它没有信任链)。我故意全局禁用了 DNSSEC,并且我的 RPZ 白名单与我的公司 AD 域位于我的白名单区域中,因为 PASSTHRU 现在可以正常工作。
现在我开始学习 DNSSEC,以便更好地理解它,并在磁盘填满之前关闭查询日志记录。