Bind9 chỉ cho phép các vùng như một phần của độ phân giải đệ quy

Trong môi trường đám mây của tôi, tôi có một máy chủ bind9 hoạt động như một proxy cho tất cả các truy vấn DNS gửi đi được tạo trong môi trường. Tôi hiện đang cố định cấu hình Bind để thực hiện lọc sau đây như một phần của quy trình phân giải tên của nó -

1. Cho phép phân giải đệ quy cho một số vùng (giả sử, aws.com và gcp.com)
2. Không cho phép truy vấn đến bất kỳ vùng nào khác, kể cả những vùng chứa CNAME cho các miền đã đề cập trước đó (ví dụ: nếu A.aws.com có CNAME để custom.service.digitalocean.com, cho phép giải quyết đệ quy nhưng không cho phép bất kỳ yêu cầu nào của máy khách *.service.digitalocean.com

Theo như tôi có thể hiểu, cách để làm điều này là sử dụng RPZ (có thể cho phép một vùng có chỉ đệ quy cờ và từ chối tất cả các độ phân giải khác cho cùng một vùng). Tuy nhiên, tôi không thể có cấu hình hoạt động hoặc tìm thấy bất kỳ mẫu nào.

CHỈNH SỬA: Tôi đã không quản lý để làm cho RPZ hoạt động trên các vùng được chuyển tiếp (có vẻ như nó chỉ hoạt động trên các vùng chính/phụ).

Bất kỳ ý tưởng? Các cách khác để đạt được chức năng tương tự (không có RPZ) đều được chấp nhận như nhau đối với tôi...

Đây không phải là cách nó hoạt động.

đệ quy thường được cho phép trên một cơ sở mỗi lượt xem, do đó, phù hợp với các khách hàng cụ thể. đệ quy là một quá trình phân giải cuối cùng và đầy đủ tên DNS thành địa chỉ IP và nó được đặt tên đệ quy bởi vì quá trình tương tự xảy ra đối với tất cả các cấp cấu thành tên (ví dụ: foo.bar tên sẽ có 3 bước để giải quyết tên: một cho TLD ở cuối., mà tôi đã bỏ qua, một cho quán ba một phần và một cho foo phần).

Bạn dường như cũng nhầm lẫn một trình giải quyết đệ quy với một NS có thẩm quyền. Cái sau phục vụ các vùng DNS cụ thể và, để hoạt động bình thường, nó phải phục vụ các vùng này cho tất cả thế giới bên ngoài (hãy bỏ qua trường hợp khi bạn làm cho NS của mình bắt chước một số vùng mà nó không có thẩm quyền). Phiên bản máy chủ DNS chắc chắn có thể bao gồm cả hai thực thể này, nhưng chức năng của chúng hoàn toàn khác nhau. Vì vậy, khi NS của bạn lưu trữ/phục vụ một số vùng DNS, nó thực sự không quan tâm liệu yêu cầu đến có phải là đệ quy hay không. Phần cuối cùng: khi NS có thẩm quyền của bạn trả lời bằng CNAME-RR (hồ sơ tài nguyên) trỏ đến một khu vực khác cho ai đó, cho biết không có A-RR cho máy chủ được yêu cầu, người yêu cầu có trách nhiệm giải quyết thêm: khi bạn đang CNAME'ing, bạn thực sự không có nghĩa vụ với bất kỳ điều gì liên quan đến bản ghi khu vực mục tiêu. Ví dụ: foo.bar là một CNAME trỏ đến fou.baar. Giờ đây, người yêu cầu có trách nhiệm giải quyết vấn đề fou.baar đối với khách hàng của nó trong khu vực thích hợp, bắt đầu từ chối ngay từ đầu chứ không phải NS của bạn.

Vì vậy, cuối cùng, những gì bạn yêu cầu là logic vượt trội mà mọi triển khai máy chủ DNS đã biết sẽ hoạt động: chỉ phục vụ các vùng được phép truy vấn và chỉ thực hiện đệ quy cho máy khách (hoặc khóa, ví dụ) được phép yêu cầu đệ quy.

Điều này rất đơn giản để thiết lập, nhưng bạn có thể cần một máy chủ khác hoặc chỉ cần sử dụng một trình phân giải công khai. Tôi sẽ sử dụng một ví dụ về trình phân giải công khai (cloudflare)

Đầu tiên, thiết lập Forward Zones trong máy chủ DNS của bạn

Một cái gì đó như thế này ở định dạng cấu hình liên kết

vùng "somedomain.com" {
  gõ về phía trước;
  giao nhận { 1.1.1.1; };
};
vùng "anotherdomain.org" {
  gõ về phía trước;
  giao nhận { 1.1.1.1; };
};

Thứ hai, chặn tất cả các truy vấn DNS khác bằng cách chuyển tiếp chúng đến một lỗ đen

Một cái gì đó như thế này ở đầu cấu hình liên kết của bạn

tùy chọn {
        thư mục "/var/cache/bind";    
        đệ quy có;    
        giao nhận {
                192.168.255.254;
        };

chuyện gì xảy ra

• Các truy vấn cho somedomain.com và anotherdomain.org sẽ được chuyển tiếp tới Cloudflare và được giải quyết hoàn toàn ngược dòng (bao gồm các mục tiêu CNAME có thể là các miền khác).

• Các truy vấn cho bất kỳ miền nào khác sẽ chỉ được chuyển tiếp đến một máy chủ hoặc IP không phản hồi và sẽ không bao giờ giải quyết được.