DNS филтриране на заявки на ниво

Започвайки с версия 9.8.1 на свързващия DNS сървър, има нова функция, наречена DNS RPZ. Това е интересен инструмент, който много системни администратори могат да намерят за много полезен. Странно, но тази тема изобщо не е засегната в рускоезичния сегмент на интернет. Бързам да запълня тази празнина.

Какъв е този звяр и с какво се яде?

Формат на зоната

Както при всяка друга DNS зона, се изисква SOA запис и поне един NS запис. SOA е валиден, сериализиран и синхронизиран запис, използван за делегиране на зони и определящ времето за изживяване (TTL) на записите. NS записът никога не се използва и е за съвместимост. Обикновено един NS запис има фиктивна стойност localhost. Останалата част от зоната е израз на политиката на DNS. Правилата могат да се прилагат към имена на домейни или шаблони на домейни.

Как работи

Опростената работа на RPZ може да бъде представена чрез следната диаграма:

заявки

От дясната страна е показана диаграма как да работите с обикновен кеширащ DNS сървър, който връща всички отговори от крайните сървъри на клиента такива, каквито са. В случай на RPZ се появява Доставчик на политики за сигурност - DNS сървърът, от който вземаме политики за разрешаване на имена на домейни. Присъствието на доставчик на трета страна е напълно незадължително, ние можем да зададем свои собствени местни политики. Повече за това по-късно, като пример.