如何设置 bind 以不转发指定域名？

在DNS服务器的配置中，使用BIND软件时，管理员有时会遇到需求，即需要对特定的域名进行特殊的处理，比如不将这些域名的查询请求转发给上游或其他DNS服务器，这种需求可以通过多种方式实现，包括但不限于使用访问控制列表(ACLs)、视图(views)以及响应策略规则(response policy zones, RPZ)等方法，本文将详细探讨如何通过这些技术手段来达到“不转发指定域名”的目标。

一、理解基础概念

BIND: 一个广泛使用的开源DNS服务器软件。

转发: 当本地DNS服务器无法直接回答一个查询时，它会代表客户端向另一个DNS服务器进行查询的过程。

视图: BIND中用于基于源IP地址或其他条件提供不同DNS响应的功能。

RPZ (Response Policy Zone): 一种特殊类型的区域文件，用于定义如何处理特定域名的查询。

二、实现方法概览

1、使用ACLs限制转发

通过定义访问控制列表，可以指定哪些客户端允许或禁止使用转发功能，如果希望阻止来自特定子网的所有设备使用转发服务，可以在named.conf配置文件中添加如下设置：

   options {
       allow-transfer { none; };
       allow-query { any; };
       allow-recursion { localnets; friend-networks; };
   }

这里没有明确禁止任何网络段，但通过调整allow-recursion参数值，可以实现更细粒度的控制。

2、利用视图隔离不同策略

可以为不同的用户群体创建独立的视图，每个视图都有自己定制的转发规则，内网用户可能被允许递归查询外部互联网资源，而外网用户则仅限于访问内部网络资源。

   view "internal" {
       match-clients { internal-network; };
       recursion yes;
   };
   
   view "external" {
       match-clients { external-network; };
       recursion no;
   };

3、应用RPZ规则

RPZ允许根据正则表达式匹配域名，并对其应用特定的动作，如拒绝服务、重定向等，这对于防止恶意网站访问非常有效，要阻止所有指向example.com的请求，可以这样配置：

   zone "." IN {
       type master;
       file "rpz.db";
   };
   
   // 在rpz.db文件中添加以下内容：
   $TTL 86400
   @               IN SOA localhost. root.localhost. (
                     2         ; Serial
                  3600       ; Refresh
                  1800       ; Retry
                  604800     ; Expire
                  86400 )    ; Negative Cache TTL
   ;
   *.example.com. IN A 0.0.0.0 // 将所有example.com下的请求指向无效地址

三、具体案例分析

假设我们有一个内部网络192.168.1.0/24，希望该网络内的设备能够正常解析除了malicious.com之外的所有域名，对于来自其他来源的请求，则不允许使用递归查询服务，以下是具体的配置步骤：

步骤1: 修改named.conf以启用视图功能。

步骤2: 创建两个视图，一个针对内部网络开启递归查询，另一个针对外部网络关闭递归查询。

步骤3: 设置RPZ规则来拦截对malicious.com的查询。

1. named.conf示例

options {
    directory "/var/named";
    dump-file "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named_stats.txt";
    memstatistics-file "/var/named/data/named_mem_stats.txt";
    allow-query-cache { none; };
    recursion no; // 默认情况下禁用递归
};
view "internal" {
    match-clients { 192.168.1.0/24; };
    recursion yes;
    include "/etc/named.rfc1912.zones";
    include "/etc/named.root.key";
};
view "external" {
    match-clients { any; };
    recursion no;
    response-policy {
        zone "rpz"; // 引用之前定义好的RPZ区域
    };
};

2. rpz.db内容

$TTL 86400
@               IN SOA localhost. root.localhost. (
                 2         ; Serial
              3600       ; Refresh
              1800       ; Retry
              604800     ; Expire
              86400 )    ; Negative Cache TTL
;
*.malicious.com. IN A 0.0.0.0 // 阻止访问malicious.com及其子域

四、相关问题与解答

Q1: 如果我想进一步限制某些特定IP地址完全无法使用DNS服务怎么办？

A1: 你可以通过调整named.conf中的match-clients指令来实现这一点，如果你想拒绝来自单个IP192.168.1.100的所有查询，可以在相应的视图下添加match-clients { !192.168.1.100; };，这将确保只有当客户端不是这个特定IP时才会处理其请求。

Q2: 我能否为不同的域名设置不同的TTL值？

A2: 是的，你可以在区域文件中为每个记录单独指定TTL值，但是需要注意的是，这样做可能会增加管理复杂性和维护成本，通常建议保持一致的TTL设置以简化缓存管理和提高性能，如果确实需要针对不同资源类型（如A记录、MX记录）设定不同TTL，则应在相应记录后直接附加TTL数值即可。

小伙伴们，上文介绍了“bind 不转发指定域名”的内容，你了解清楚吗？希望对你有所帮助，任何问题可以给我留言，让我们下期再见吧。