网络相对简单:内部有 Active Directory,DMZ 中有一个 BIND9 DNS 转发器。Active Directory 域控制器是所有 Windows 客户端的内部 DNS 服务器,所有计算机都必须使用 DNS 转发器执行 DNS 查询。
我试图阻止我的客户端执行某些类型的查找,例如 TXT 记录。这是因为存在安全问题,具体来说,DNS 隧道(请参阅名为碘了解更多信息)。
我原本希望在 BIND9 中找到一个简单的选项来禁用某些类型的记录查找,但我找不到任何适用的东西。有人知道有什么方法可以解决这个问题吗?是在 BIND 的配置中还是在其他地方?