想請教各位一個問題
昨天因為發現公司的一台對外DNS Server(Master)處在Open Recursion的狀態
因此在/etc/bind/named.config.options的檔案中加上了 recusion no; 的指令
在重新啟動bind以後 使用外部的一台xp系統的電腦
用nslookup指令到此台DNS查詢tw.yahoo.com是否會回應時
發現會出現
- B.ROOT-SERVERS.NET
- C.ROOT-SERVERS.NET
- D.ROOT-SERVERS.NET
- E.ROOT-SERVERS.NET
- F.ROOT-SERVERS.NET
- G.ROOT-SERVERS.NET
- H.ROOT-SERVERS.NET
- I.ROOT-SERVERS.NET
- J.ROOT-SERVERS.NET
- K.ROOT-SERVERS.NET
的訊息,而另外一台Slave的DNS主機在做同樣的查詢時則是出現
*** xxx.xxx.xxx.tw can't find tw.yahoo.com: Query refused
這樣的情況
雖然Open recusion已經關閉了 可是當外部在查詢非主機上所設定的網址時
會回應這樣的root hint感覺還是很危險
想請教一下這樣的訊息是否可以關閉
可以像slave 的DNS Server一樣只回應 Query refused的訊息?
P.S 使用的DNS版本為Bind 9.3.4 Linux為centOS
謝謝大家了
--
All Comments