이 주제에 대한 문서에 대한 설명이 필요하고 다음에 대한 추가 정보를 원하지만 구체적일 수는 없습니다.
다음은 DNS BIND 9.9 구성의 일부입니다. 대부분의 경우 앞 부분을 읽으면 한 가지를 제외하고 모든 것이 명확합니다. 이 DNS는 bc가 1.2.3.4 및 1.2.3.4.5에서 처리되는 abc와 같은 특정 도메인에 대해 권한이 있습니다. 다음과 같이 전달자를 설정하면 읽기에서 모든 확인을 위해 위의 두 DNS로 이동하여 로컬로 캐시되어야 하지만 NS가 이 도메인 섹스에 대해 권한이 있기 때문에 해당 DNS의 모든 로컬도 abc에 대해 확인됩니다.
따라서 올바르게 읽었다면 항목이 "전달 전용"을 사용할 때 나가서 해결되어야 하는 경우 해당 NS에서 로컬로 해결되는 이유는 무엇입니까? 실제로 이 NS는 abc가 동작을 변경할 수 있는 권한을 가지고 있습니다. 전달은 어떻게 작동합니까?
이 파일이 있는 DNS 호스트 IP가 1.1.1.1이라고 가정합니다.
options {
listen-on port 53 { any; };
.
.
.
.
allow-query { any; };
allow-transfer { 1.1.1.11; 1.1.1.22; };
notify yes;
recursion yes;
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
forwarders {
1.2.3.4; # External DNS
1.2.3.5; # External DNS
};
forward only;
.
.
.
.
};
.
.
.
<Forward and Reverse Zones etc>
.
.
.
.
.
.
답변1
이 forward only옵션은 해당 기능에 대해 가장 직관적인 이름이 아닐 수 있습니다. 기본적으로 이 옵션은 정의된 전달자가 다운되거나 응답하지 않는 경우 이름 서버가 다른 원격 이름 서버에 연결을 시도하는 것을 방지할 수도 있습니다. 지정되면 forward only이름 서버는 여전히 신뢰할 수 있고 캐시된 데이터를 기반으로 응답하지만 다른 이름 서버를 시도하지 않고 정의된 전달자에 전적으로 의존합니다. 이 옵션은 이름 서버가 해당 권한 영역에 대한 응답 제공을 거부해야 한다는 의미는 아닙니다.
즉, 옵션이 다음과 같은 경우아니요지정된 쿼리가 서버의 권한 영역 중 하나로 전달되지 않고 쿼리 결과가 아직 캐시에 없는 경우 서버는 먼저 전달자 중 하나에 쿼리합니다. 전달자에 연결할 수 없는 경우 서버는 평소대로 루트 서버에서 이름 확인 프로세스를 시작합니다.