如果 DNSSEC 服务器没有包含 AAAA 记录的区域。在防火墙处丢弃 DNS 类型 AAAA (28; 0x1c) 查询可能会带来哪些潜在问题?
与删除类型 ANY (255; 0xff) 相同。只需将类型替换为 AAAA (28; 0x1c)。
答案1
首先,您的所有客户端在每次 DNS 查询时都会等待几秒钟。IPv6 不是可选的,现代操作系统也将其视为可选的。寻找地址的客户端将查找 AAAA 和 A 记录,即使它当时似乎没有任何 IPv6 连接。如果您删除其中一个查询,执行 DNS 查询的客户端软件将等到超时后才返回错误。因此,您会因为不必要的减速而惹恼您的用户。
大约在 2012 年,一些 Juniper 防火墙意外地做了您建议的故意行为,并会丢弃 AAAA 响应,即使客户端明确请求了 A 和 AAAA 记录。Juniper 最终确实修复了这个问题,但它给任何受困于此故障设备的人带来了相当大的烦恼。
当然,现在是 2020 年,您的整个网络在过去几年里应该已经是 IPv6 了,IPv4 已经是双栈的,甚至被弃用为旧版。但本世纪有些地方的加入速度异常缓慢,您可能正在其中工作……