rpz
有时,我配置响应策略区域后,Bind9 会返回递归记录
我在 DNS 服务器中配置了一个响应策略区域,并用它来阻止两个域。这是我的区域文件。 $TTL 1 $ORIGIN rpztest. @ IN SOA ns1.fati. ns2.fati. ( 1 ; Serial 604800 ; Refresh 86400 ; Retry ...
rpz
rpz
Bind9 如何为特定子网使用 RPZ 区域
我已经有 1 个主服务器(192.168.130.32)、4 个从服务器(192.168.130.35)和 2 个权威服务器(192.168.130.33),并且带有 bind9。 我的观点是从外部 DNS 服务器获取 RPZ(192.168.130.37),但我想拆分此配置,例如: 我有两个 ACL,第一个是 192.168.1.0/24,第二个是 192.168.2.0/24,我怎样才能使第一个 ACL 仅使用 RPZ 区域,而第二个 ACL 应该像在互联网上一样访问所有内容。 我的主配置: acl "sleivai" { 192.16...
rpz
在 DNS 区域文件中阻止 IP(而不是域)
我正在使用 bind9 DNS 服务器。我曾经在 RPZ 区域文件中阻止使用其域名的网站,例如: malicious.example CNAME . 但是,我需要阻止 IP 而不是域名,例如: 192.0.2.4 CNAME . 我该怎么做?或者,上面的例子(192.0.2.4 CNAME .)正确吗? ...
rpz
如何使用 BIND9 在 DNS 转发服务器上设置白名单?
我已经使用 Bind 9 在 Ubuntu 20.04 LTS 上设置了一个 DNS 转发服务器。我需要实现 DNS 白名单,但是,我找不到任何解释如何设置的教程。我尝试查看有关响应策略区域 (RPZ) 的信息,但它们似乎仅用于黑名单。我也尝试查看“DNS 和 BIND 第 5 版”,但没有找到任何描述白名单的章节。 有人能给我一个教程链接,向我解释如何实现白名单,或者在下面向我解释如何设置白名单吗(和/或发布一个链接,其中包含要放入我的 DNS 服务器的文件/设置的 repo)?提前谢谢了。 PS 尽管我更喜欢如何在 BIND 上实现这一点,但如果有关于如...
rpz
Bind9 响应策略忽略区域外数据
我正在尝试在现有的 Bind9 服务器上设置响应策略,因为我想覆盖一些公司公共域以将它们重定向到我们的私有网络 IP。 我已经遵循了本教程: https://www.linuxbabe.com/ubuntu/set-up-response-policy-zone-rpz-in-bind-resolver-on-debian-ubuntu 但是,我尝试覆盖的两个域都出现此错误: named[17104]: /etc/bind/zones/db.rpz:17: ignoring out-of-zone data (xxx.mydomain1.com) named...
rpz
将 .local 域名覆盖为公共 IP
我正在为我的组织使用 BIND9 DNS 服务器,并且我有一个使用 .local 域发布的应用程序:example.website.local。有一个 .com 替代方案,我想使用 DNS 服务器将 .local 重新映射到该替代方案,但我不知道这是否可行。 我在 RPZ 上找到了这篇文章:覆盖 BIND 中用于内部网络的某些 DNS 条目,但在我将设置应用于我的 .local 域后,我不断收到此消息: ; <<>> DiG 9.16.1-Ubuntu <<>> example.website.local ;;...
rpz
有没有办法在绑定时阻止特定的查询类型
我一直在尝试找到一种方法来阻止来自我们的绑定服务器的 WKS 查询类型。 我们发现它被隧道软件广泛使用。 我尝试使用 RPZ,但不确定如何阻止查询类型而不是域。 然而似乎没有正式的方法来禁用特定类型。 有任何想法吗? PS,我可以使用 iptables,但我不确定系统的负载 ...
rpz
如何使用 RPZ 阻止某些域的 AAAA 应答?
是否可以阻止从本地 DNS 服务器向客户端发送回 AAAA 答案,但仅限于某些正向 DNS 域?我知道我可以基于 ipv6 子网进行过滤(下面的工作示例),但我想基于域进行过滤。 即 google 服务(1e100.net 域)通过 ipv4 传输速度要快得多,但我仍然希望其他一切都使用 ipv6。 ;this RPZ entry successfully blocks AAAA answers that match 2001:db8:aa::/48 48.zz.aa.db8.2001.rpz-ip IN CNAME . 我有问题...
rpz
为什么 BIND 在回答 RPZ(响应策略区域)的 NXDOMAIN 之前执行双重查询?
目标是拥有具有以下具体内容的本地 DNS 服务器: 拆分 DNS 设置,将 FQDN(例如 localdomain.com)解析为本地 IP,而不是外部 IP 使用 RPZ(响应策略区域)通过 NXDOMAIN 响应来回答某些 DNS 查找(最好不要提前进行转发/查找) 允许对所有其他 DNS 请求进行正向查找 运行该系统的系统是带有 BIND 9.9.9-P8 的 Synology NAS(显然它还不支持选项“qname-wait-recurse”,以便在给出 RPZ NXDOMAIN 答案之前消除查找,这将是理想的)。 这是当前的named.c...
rpz
BIND 9 中的日志类别 RPZ 到 syslog
我在 FreeBSD 11.2 上运行 chrooted BIND 9.11 服务器,该服务器已配置 RPZ。它当前正在将 RPZ 命中记录到文件中,但我想(也)将它们发送到syslog。 我可以看到来自 BIND /var/log/messages(的默认目标syslog)的其他日志条目(不是 RPZ),因此总体来说,记录到 syslog 是正常的(也可以从 chrooted 环境进行)。 看起来每一个互联网上的示例或教程是将 RPZ 命中记录到文件中...所以我甚至想知道 RPZ 是否有些特殊并且无法写入日志syslog? 以下是我目前的配置的相关...
failed%3A%20Zone%20Not%20Loaded%E2%80%9D%E9%94%99%E8%AF%AF.png)
rpz
DNS 日志中出现“query_getzonedb()failed: Zone Not Loaded”错误
在调查事件时,我注意到我的系统日志中有一个错误,如下所示(匿名): Feb 3 21:59:59 ns1 named[18824]: client xxx.xxx.xxx.xxx#2091 (us-east1-aws.api.snapchat.com): view MyView: rpz QNAME rewrite us-east1-aws.api.snapchat.com via us-east1-aws.api.snapchat.com.rpz.vendorsite.com query_getzonedb()failed: zone not load...
rpz
使用 Windows 获取 DNS“附加部分”(nslookup 选项?)
我可以使用 dig 来获取 DNS 信息的完整主文件输出,对于我的问题,我对“附加”部分中的信息感兴趣: $ dig example.com ; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7_5.1 <<>> example.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 36588 ;; flags: qr rd r...
rpz
为什么我的 Bind RPZ 配置对一个主机有效,但对另一个主机无效(SERVFAIL)
我在 DMZ 中有一些主机需要使用 LAN 上的 LDAP 资源。我们不会将 DNS 转发到 LAN,因此/etc/hosts我决定尝试使用 Bind RPZ 区域来处理 DNS,而不是单独添加条目,以便将所有解决方法集中在一个地方。 它似乎对一个主机有效oldserver.internal.org,但对另一个主机无效ldap.mydom.com。我应该提到它ldap.mydom.com返回一个可从 Internet 路由的地址8.8.8.8(但是,不适用于 LDAP)。 为什么我在查询时出现 SERVFAIL ldap.mydom.com? # ns...
rpz
RPZ CNAME 泄露 RPZ 的使用情况
由于历史原因,我们在一个域 (example.com) 上的主机上同时拥有内部 (192.168.0.0/16) 和公共 IP。我现在想将其拆分,以便外部用户无需解析内部主机名。 我目前的计划是使用 RPZ 进行绑定。 我的named.conf如下: options { directory "/var/named"; pid-file "/run/named/named.pid"; // Uncomment these to enable IPv6 connections support // IPv4 will st...