如何禁用bind9的递归并仅对DNS查询进行转发？

debugcn 发表于 Dev

Bulat M.

我正在学习如何配置DNS服务器。我的第一个任务是设置本地转发服务器-不执行递归查询，而是将其转发到其他公共开放DNS的服务器。

OK，这是我的/etc/bind/named.conf.options

options {
    directory "/var/cache/bind";

    recursion no;
    allow-query { localhost; };

    forwarders {
        8.8.8.8;
        8.8.4.4;
    };
    forward only;

    dnssec-enable yes;
    dnssec-validation yes;

    auth-nxdomain no;    # conform to RFC1035
    listen-on port 53 {
        127.0.0.1;
        192.168.1.33;
    };
    listen-on-v6 { any; };
};

但是当我发出

dig askubuntu.com

它返回：

...
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 57563
...
;; WARNING: recursion requested but not available
...
;; SERVER: 127.0.0.1#53(127.0.0.1)
...

据我了解，dig应该对本地绑定实例进行DNS查询，并且应该将该请求转发到8.8.8.8并返回答案。

但是，它抱怨说递归不可用。但是我没有要求它。

一个人怎么能解决这个问题呢？谢谢。

林赛·海斯利（Lindsay Haisley）

在https://www.digitalocean.com/community/tutorials/how-to-configure-bind-as-a-caching-or-forwarding-dns-server-on-ubuntu-14-04上对此进行了精彩的讨论。

您所做的工作基本上是正确的，除了您需要设置“递归是”，即使您的DNS设置要求您的服务器是仅转发的服务器也是如此。这似乎违反直觉，但这是处方的出路。这是一个示例配置：

acl goodclients {
        192.0.2.0/24;
        localhost;
        localnets;
};

options {
        directory "/var/cache/bind";

        recursion yes;
        allow-query { goodclients; };

        forwarders {
                8.8.8.8;
                8.8.4.4;
        };
        forward only;

        dnssec-validation auto;

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

本文收集自互联网，转载请注明来源。

如有侵权，请联系[email protected] 删除。