와일드카드 옆에 하위 도메인을 사용하면 RPZ에 대한 바인딩이 이상하게 작동합니다.

와일드카드 옆에 하위 도메인을 사용하면 RPZ에 대한 바인딩이 이상하게 작동합니다.

바인딩에서 버그를 발견했는지 잘 모르겠습니다. Debian 12에 간단한 DNS 서버를 설정했습니다.

존재하다명명된.conf.옵션

zone "rpz-test" {
    type master;
    file "/etc/bind/rpz-test.zone";
    check-names ignore;
}

존재하다rpz 테스트 영역

;RPZ
$TTL 604800
@   IN SOA rpz.zone. rpz.zone. (
                2; serial
            604800; refresh
            86400; retry
            2419200; expire
            604800; minimum
)
        IN      NS      localhost.

*.com A 127.0.0.1

sub.domain.com A 127.0.0.1

이제...bind9가 구성 확인을 시작한 후 dig를 사용하면...

무슨 일이 일어나는가?

뭐든지 알아보세요.com @localhost -p 53 -> 답장 127.0.0.1

dig sub.domain.com @localhost -p 53 -> 답장 127.0.0.1

dig domain.com @localhost -p 53 -> 와일드카드를 끊고 해결

실제로 도메인의 하위 도메인이 선언되면 기본 도메인이 외부에서 확인됩니다!
이상하네요. 와일드카드가 후속 명령문을 극복할 수 있지 않나요?

문제는 내 구성에 있을 수 있습니다. 버그인지는 확실하지 않지만 사용 중인 버전은 다음과 같습니다.

데비안 12.2
바인딩 9.18.19~deb12u1

답변1

~에 따르면RFC 1034, 이는 예상되는 동작입니다.

쿼리명 또는 와일드카드 도메인과 쿼리명 사이의 이름이 존재하는 것으로 알려진 경우에는 와일드카드 RR이 적용되지 않습니다. 예를 들어, 와일드카드 RR의 소유자 이름이 " *.X"이고 영역에 에 연결된 RR도 포함되어 있는 경우 와일드카드는 이름 쿼리 (명시적 정보가 없다고 가정 ) B.X에는 적용되지만 , 또는 에는 적용되지 않습니다 .Z.XZ.XB.XA.B.XX

이것이 불분명하다고 생각된다면, 그들이 쓴 내용에 있어서 당신은 혼자가 아닙니다.RFC 4592와일드카드 사용을 명확히 합니다. 요약하자면, RR 항목을 추가하면 sub.domain.com.두 개의 도메인을 정의하게 되며 sub.domain.com.와일드 domain.com.카드는 *.com.두 도메인 모두에 적용되지 않습니다.

관련 정보