绑定RPZ设置问题

Question

我试过所有可能的方法，但都失败了，所以需要你的帮助-

我试图设置DNS (绑定)仅为RPZ提议。Config是干净而简单的(删除了所有其他选项，并希望在默认情况下运行-更容易调试)：

/etc/named.conf:
options {
response-policy { "rpz.zone"; };
};

zone "rpz.zone" IN {
type master;
file "/etc/named/rpz.db";
};

没有named.conf语法的问题。rpz.db是一个提供者提供的文件，所以语法也是正确的。Bind是侦听和响应lo和eth0接口(框中没有其他接口)。

当我试图查询我要得到的一个rpz域时：

# dig baddomain.test.com @127.0.0.1
;; connection timed out; no servers could be reached

在named.log中，我发现：

query-errors: debug 1: client <client IP>: query failed (SERVFAIL) for baddomain.test.com/IN/A at query.c:6569

但是如果我只为rpz之外的建议示例域进行测试，那么查询就没有问题了。

/etc/named.conf:
zone "test.com" IN {
type master;
file "/etc/named/test.db";
};

我将跳过test.db内容并挖掘输出，因为它只适用于特定的/测试域-问题仅在rpz域中。

你是我唯一的希望。谢谢!

Answer 1

检查您的响应策略区域配置语法。你应该多加小心!与所有配置文件一样，一个字符可以计数。您可以通过使用任何教程来纠正这些问题：

• 语句是response-policy，而不是response=policy。
• 您必须在区域名称之前有zone。

你应该：

options {
  response-policy { zone "rpz.zone"; };
};

zone "rpz.zone" {
  type master;
  file "/etc/named/rpz.db";
};

连接超时并不意味着服务器没有响应:正如您在named.log中看到的，BIND获得查询，但由于SERVFAIL无法响应。因此，dig永远不会在UDP上得到它的答案，并且会发生超时。

Answer 2

谜团解开了:我的盒子不能上网。Bind是联系/解析rpz区域中提到的auth srv，因此它需要直接访问internet或通过其他dns转发器。谢谢大家的帮助！