다음 옵션을 통해 바인딩되지 않은 IPv6 조회를 비활성화해 보았습니다.
do-ip6: 아니요
선호하는 IP6: 아니요
실제 선호-ip6은 do-ip6이 yes인 경우에만 적용됩니다. 어쨌든 tcpdump를 사용하여 트래픽을 덤프했는데 여전히 내 전달 서버에 IPv6 쿼리가 실행되는 것을 볼 수 있습니다.
비활성화했는데 바인딩 해제가 여전히 IPv6를 시도하는 이유는 무엇입니까? 자동으로 활성화하는 또 다른 숨겨진 옵션이 있습니까?
답변1
이 do-ip6설정은 바인딩 해제되어 IPv6를 통해 DNS 쿼리를 보내거나 받는 것을 방지합니다. IPv4를 통한 DNS IPv6 레코드의 바인딩되지 않은 토론을 방지하지 않습니다.
unbound.conf매뉴얼 페이지에서 (강조):
do-ip6: (예 또는 아니요)
IP6 쿼리에 응답하거나 발행할지 여부를 활성화 또는 비활성화합니다. 기본값은 예입니다. 비활성화되면 쿼리는 IPv6에서 응답되지 않으며 쿼리는 IPv6의 인터넷 이름 서버로 전송되지 않습니다. 이 옵션을 사용하면 DNS 트래픽을 보내는 데 사용되는 ipv6 전송을 비활성화할 수 있습니다.IP4 및 IP6 주소를 포함할 수 있는 DNS 트래픽의 내용에는 영향을 미치지 않습니다..
마찬가지로 prefer-ip6바인딩 해제된 사용자가 IPv4 및 IPv6를 통해 연결할 수 있는 DNS 서버와 통신하기 위해 IPv6을 사용하는 것을 선호하는지 여부를 제어합니다.
역방향 IPv6 조회를 차단하려면 이렇게 할 수 있을까요?
local-zone: ip6.arpa. refuse
IPv6 주소에 대해 전달된 쿼리를 차단하려면 AAAA 레코드에 대한 모든 쿼리를 필터링해야 합니다. 그러나 단일 쿼리에 여러 레코드 유형에 대한 질문이 포함될 수 있으므로 소프트웨어는 쿼리에서 IPv6 관련 레코드 유형을 제거하거나 전체 쿼리를 거부해야 합니다.
답변2
다음과 같이 AAAA 레코드가 포함된 모든 응답을 필터링할 수 있습니다.
server:
private-address: ::/0 # filters out all AAAA