RPZ (响应策略区域)中的通配符

Question

是否可以使用响应策略区域使通配符域位于域名的中间？例如，s3.*.amazonaws.com。

如果这是不可能的，是否有一种技术，可以做到这一点？

Answer 1

据我所知，RPZ中的QNAME触发器一般具有与DNS相同的通配符语义。Ie，只有当最左边的标签是*时，星号才被认为是通配符。

由于RPZ已经过时，我不认为有任何标准化的接口可以满足您的要求，但是一些DNS服务器实现提供了某种形式的特定于实现的策略框架或通用脚本功能。

下面是一些基于流行自由软件的解决方案起点的例子(不是一个详尽的列表，请考虑以下几个说明性的例子)。

使用某种形式的政策框架：

• Dnsdist's RegexRule
• 结解析器查询策略 (pattern)

基于具有通用脚本接口的查询拦截的更低级别解决方案：

• Powerdns受体Lua脚本接口
• 未绑定的python模块接口 (如它们的resmod示例)