如何让 bind9 只监听这个动态 ip 接口

【问题标题】:How to get bind9 to listen only on this dynamic ip interface如何让 bind9 只监听这个动态 ip 接口
【发布时间】:2019-03-27 01:02:50
【问题描述】:

bind9 配置的listen-on 语句似乎只将IP 地址用于接口。 “man named.conf”显示listen-on的详细信息

对于一个内部的named daemon,被监听的接口可以声明为:

listen-on {
    127.0.0.1;
    192.168.1.1;
 };

现在转到外部 bind9/named 守护进程... ISP 为该框提供动态 IP 地址(即 4.3.2.1)。如果我只想收听 ISP 分配的 IP 地址,我试过这个:

listen-on {
    !127.0.0.1;
    !192.168.1.1;
 };

唉,这并不能阻止 bind named 拾取任何未使用的网络接口。

如何让 bind9 named 守护进程只监听动态 IP 接口而不监听未使用的接口(IP 地址)?请记住,您事先并不知道绑定配置文件所需的面向公众的网络接口的 IP 地址。

【问题讨论】:

    标签: bind bind9 dynamic-ip


    【解决方案1】:

    这对我有用:

    listen-on {
        !127.0.0.1;
        !172.17.0.0/24;
        0.0.0.0/0;
};

    或者,如果您知道服务提供商使用的潜在 IP 地址范围列表(您可以询问他们,或者您可以查看 WHOIS 数据库中的 AS 路由对象),您可以只列出这些前缀:

    listen-on {
        194.38.96.0/19;
        200.201.202.0/24;
};

    【讨论】:

    • 防止锁定到叛变的 DHCP 服务器?可能不是。让这个“锁定到特定的网络接口”更理想,不是吗?
    • 服务/网络提供商的工作是确保没有叛变的 DHCP 服务器可以向您的服务器提供虚假 IP。
    • 我同意。不能对我的 ISP 提供商说同样的话。有一个邻居 DHCP 服务器,他“显然”针对特定 MAC。
    • 解决方法是对上游进行 MAC 过滤,但需要事先截取 ISP 路由器的 ARP 表。 (以及定期检查,groan
    • 你可以安装一个 ebtables 过滤器来过滤掉来自他 MAC 地址的所有流量,包括虚假的 DHCP 回复:D
    猜你喜欢
    • 2019-02-08
    • 1970-01-01
    • 1970-01-01
    • 2017-05-29
    • 2012-12-29
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode