既存の内部DNSバインドサーバーを活用し、いくつかのRPZセキュリティを追加したいと思います。以前は、内部ビューをDNSに分割して、3つの特定のドメインをオフィスの内部DNSサーバーに転送しました。
zone "company.tld" IN {
type forward;
forward only;
forwarders {
10.10.161.1;
10.11.161.1;
};
良い結果。トランスポートプロバイダに登録した後にRPZを追加する場合:
response-policy {
zone "oisd-full.ioc2rpz" policy nxdomain;
}
qname-wait-recurse no break-dnssec yes;
私のRPZが正しく実行されていることがわかりますが、私の配信領域はRPZによってキャプチャされています。 (はい、私が働いていた多くの会社の1つは、現在誰かの悪いリストに載っている内部TLDを誤って使用しました。)
このドメインをホワイトリストに追加しようとしましたが、バインドするには、私のゾーン定義が転送タイプではなくマスタータイプまたはスレーブタイプである必要があります。
どちらの機能を使用している人の良い例が見つかりませんでした。 IE:BindがRPZの前にすべてのローカルゾーンを最初に表示できるようにするか、パススルーとマークされている場合は、応答のビュー設定を表示し続けるホワイトリストを表示します。
アイデアはありますか?
ベストアンサー1
より多くのデバッグ中に(多くのロギングが有効になっている)問題の原因が見つかりました。 RPZをサポートするためにBind9を更新したときにDNSSECを有効にし、フォワーダがチェーンを信頼できないことに気付かなかった(信頼チェーンがなかったため)。意図的にDNSSECを完全に無効にし、PASSTHRUが正常に機能しているため、私のRPZホワイトリストは会社のADドメインのホワイトリスト領域にあります。
これで、DNSSECをよりよく理解し、ディスクがいっぱいになる前にクエリロギングをオフにすることを学び始めました。