BIND:使用nsupdate的白名单IP

Question

我知道，我们可以在绑定DNS服务器中添加任何类型的DNS记录。我们可以使用nsupdate实时列出任何ip吗？我们只白名单某些IP，以防止我们的DNS服务器被用作开放的解析器。

Answer 1

作为一个开放的解析器并不是一件坏事自动，虽然没有人特别关心，只要您的服务器是比率限制，以防止滥用DNS放大攻击。在任何情况下，如果要限制这一点，则在配置文件的allow-recursion {}子句中使用options指令。在该块中，只需添加内部IP，不要忘记运行BIND的服务器的回退IP。默认设置是允许每个人进行递归。

要限制IP可以通过nsupdate发送更新，可以使用allow-update指令。默认情况下，服务器允许来自任何IP的更新，而每个区域则不允许任何更新。您可以在全局options子句中或在每个区域内单独更改这一点。该选项还可以使用ACL，键可以允许/拒绝更新(通常只允许按键进行更新是个好主意)。

Answer 2

nsupdate只允许您修改服务器上的区域中的记录，它不允许您更改配置，更新ACL是配置更改。(见RFC 2136)