DNSオープンリゾルバ対策

DNSオープンリゾルバ対策(bind9編)を紹介します。

なお、以下の説明は、viewに対応したbind9を使用していることを前提としています。

設定

named.confを以下のように設定して下さい。(長田研の例です)

acl "allow-clients" {
   127.0.0.1; ::1;
   133.13.48.0/20; <-学科内からのDNS問い合せを許可
   2001:2f8:1c:a500::/56; <-学科内からのDNS問い合せを許可
};

view "internal" { <-内向き設定
   match-clients { allow-clients; };
   <-DNS問い合せを許可するクライアントorネットワークを制限
   ...(これまでのゾーン設定をコピペ)...
};

view "external" { <-外向き設定
   match-clients { any; }; <-DNS問い合せを全てのアドレスから許可
   recursion no; <-再帰問い合せを禁止(<-これが重要)
   ...(これまでのゾーン設定をコピペ)...
};

上記では、これまでのゾーン設定を、内向き用と外向き用のviewで別々に定義しています。

なお、internalのview内のmatch-clientsで許可するクライアント or ネットワークは、”any;”にはしないこと。(<-これが重要)

その他、詳しくは、「bind9 設定」の中の、「3.bind9 で外向けと内向けの DNS を設定」に情報がありますので参考にして下さい。