我知道我们可以使用 nsupdate 在 BIND DNS 服务器中添加任何类型的 DNS 记录。我们可以使用 nsupdate 实时将任何 IP 列入白名单或黑名单吗?我们仅将某些 IP 列入白名单,以防止我们的 DNS 服务器被用作开放解析器。
答案1
成为开放解析器并不是一件坏事,但只要您的服务器的速率受到限制以防止 DNS 放大攻击的滥用,就没有人特别关心。无论如何,如果您要限制这一点,请使用配置文件子句allow-recursion {}中的指令options。在该块中,只需添加您的内部 IP,不要忘记运行 BIND 的服务器的环回 IP。默认设置是允许所有人进行递归。
要限制哪些 IP 可以通过哪些 IP 发送更新,nsupdate您可以使用allow-update指令。默认情况下,服务器允许来自任何 IP 的更新,每个区域都不允许来自任何 IP 的更新。您可以在全局options子句中或每个区域内单独更改此设置。此选项还可以使用 ACL 和密钥来允许/拒绝更新(通常最好仅允许通过密钥进行更新)。
答案2
nsupdate只允许您修改服务器上区域中的记录,不允许您更改配置,并且更新 ACL 属于配置更改。(请参阅RFC 2136)