我有带外部 IP 的 pfSense,上面运行着 Unbound DNS Resolver。当我从内部网络发送查询时,它会回复,但当我从外部机器发送查询时,它不会回复。
内部的:
nslookup mydomain.com 192.168.1.1
外部的:
nslookup mydomain.com external_ip
DNS request time out.
DNS 解析器监听所有接口。
答案1
答案2
您不希望它允许外部 DNS 查找。内置的 DNS 转发器和解析器仅用于为您的内部机器提供名称解析。如果您想要一个公共名称服务器,请使用设计为公共名称服务器的东西。如果您必须在防火墙上运行 BIND 包,最好在单独的服务器上使用服务提供商或某些东西。
您在另一条评论中提到,您已切换到 DNS 转发器并将其向整个互联网开放,这意味着您很可能在几个小时内就被用作反射 DNS 放大 DDoS 攻击的一部分,因为您向全世界开放了一个递归 DNS 解析器。从 WAN 中删除该规则,这样互联网上的任何人都无法访问端口 53。您最好切换回解析器,Unbound 会以“查询被拒绝”回复,这是有充分理由的 - 其内置的 ACL 功能有助于确保您不会让自己成为 DDoS 的一部分,遭受大量垃圾流量的攻击。