結合とIPv6：アクセス制御

BIND がルート DNS サーバーまたは最上位ドメインの DNS サーバーアドレスを要求するたびに、IPv6 および IPv4 アドレスのリストを取得します。ルートまたはTLDネームサーバーは、IPv6インターネット接続がない可能性があることを知らないし、気にしません。 。

少なくともローカルIPv6接続があるため、BINDはIPv6を使用しようとします。したがって、特定の外部ドメインのNSレコードが関連付けられているIPv6アドレスを持つDNSサーバー名を指定し、そのレコードが現在のラウンドロビンシーケンスの最初のレコードである場合、BINDはIPv6を使用してそのレコードを実行しようとします。 client 再帰的な名前解決の 1 つです。

はい、クライアントがIPv4経由で要求しても同じです。

はい、クライアントがAAAAではなくAレコードのみを要求している場合も同様です。

しかし、明らかにIPv6がないのでインターネット接続している間、IPv6を介して外部DNSサーバーに接続しようとしたすべての試行は、エラーで失敗しますnetwork unreachable。この時点で、BIND はその DNS サーバーにリストされている別の IP アドレスを試み、IPv4 アドレスを試みると正常に動作します。

覚えておいてください：DNSプロトコルを使用すると、IPv6経由でIPv4情報を要求するのを防ぐことはできません。逆も同様です。 BINDがクライアントの1つに代わって再帰解決を実行するときに適切であると判断されるプロトコルを使用します。クライアントがIPv4を使用してBINDに接続している可能性があることは、BINDがIPv4のみを使用するように制限する必要があるという意味ではありません。 。

BINDに外部DNSサーバーのIPv6アドレスを使用しないように指示する1つの方法は、IPv6アドレス空間全体（BINDがすでに権限を持っているローカルドメインを除く）を次のように宣言することです。偽:

server ::/0 {
        bogus yes;
};

（他のローカルIPv6接続可能DNSサーバーに対して明示的にキャンセルする必要があるかどうかはテストされていません。）

BIND が IPv6 を介して他の DNS サーバーに接続しようとする試みを完全にブロックする別のオプションは、その-4オプションで BIND を起動することです。これは、ローカルネットワークがIPv6をサポートしていますが、明らかにIPv6がないと言ったように、あなたの場合には適していないようです。インターネット接続。

源泉：サーバー障害に関する質問です。。

BINDのIPv4クライアントがIPv6アドレスを表示できないようにするには、次のoptionsセクションにこの行を追加します。

filter-aaaa-on-ipv4 break-dnssec;

ただし、これは他の DNS サーバーへの接続で IPv6 を使用する BIND には影響しません。 BINDが./configure --enable-filter-aaaaビルドタイムオプションでコンパイルされている場合にのみ機能します。

源泉：https://kb.isc.org/docs/aa-00576