用不同级别的域绑定RPZ配置

Question

我使用RPZ将一些域列入黑名单，我的配置如下：

*.com A 127.0.0.1 mydomain.net A 127.0.0.1

如果我查询任何域.com，它就会正确工作，给我127.0.0.1

让我们来dig fun.com @localhost，我的答复是：

;; ANSWER SECTION:
fun.com.     5       IN      A       127.0.0.1

现在，让我们编辑前面的配置，并使我的区域现在看起来像：

*.com A 127.0.0.1 mydomain.net A 127.0.0.1 this.fun.com 127.0.0.1

这是不必要的，因为主*.com应该涵盖所有的情况，但是我有多个来源加载我的域，所以列表是自动编译的，这样的事情就会发生。

虽然这似乎是一个无害的变化，如果我做了dig this.fun.com @localhost，它会再次回复如下：

;; ANSWER SECTION:
this.fun.com.     5       IN      A       127.0.0.1

如果我现在查询根域dig fun.com @localhost，我将得到：

;; ANSWER SECTION:
fun.com.                86400   IN      A       209.61.131.188

喜欢..。哇哈？这里发生何事？添加this.fun.com从上全包*.com?

中屏蔽了fun.com主域。

这是被通缉的捆绑行为吗？我发现什么奇怪的虫子了吗？

怎样才能避免这种情况呢？我应该编写一个脚本来恢复所有域，删除包含在较大域中的域吗？(烦人但可行-寻找更好的选择)

TL;DR:在bind rpz中添加一个三级域，以便将其列入黑名单，使第二级域不再跟随主过滤器，从而使其白化。

Answer 1

至于BIND行为和regexps：*.com黑名单了com下面的所有DNS子域，但是如果要将com根域本身列入黑名单，则需要添加到RPZ文件中：

com

因此，如果不将com引入rpz列表，则将解决该问题。你所描述的是正常行为。

至于RPZ黑名单解析器，我建议编写一个解析器，至少可以节省资源。运行时的影响应该是最小的，因为BIND使用哈希表，但是在重新启动BIND时延迟读取RPZ表是明显的(例如，当BIND正在读取和解析RPZ表时)，并且它使用的内存稍微多一点。我目前还没有编写这样的解析器。