Если на сервере DNSSEC нет зон с записями AAAA. Какие потенциальные проблемы могут возникнуть при отбрасывании запросов типа DNS AAAA (28; 0x1c) на брандмауэре?
То же, что и удаление типа ANY (255; 0xff). Просто замените тип на AAAA (28; 0x1c).
Для начала все ваши клиенты будут ждать несколько секунд при каждом поиске DNS. IPv6 не является обязательным, и современные операционные системы рассматривают его как таковой. Клиент, ищущий адрес, будет искать как записи AAAA, так и записи A, даже если в данный момент у него нет возможности подключения к IPv6. Если вы отбросите один из запросов, клиентское программное обеспечение, выполняющее поиск в DNS, дождется тайм-аута, прежде чем вернуть ошибку. Таким образом, вы будете раздражать своих пользователей ненужным замедлением.
Примерно в 2012 году некоторые брандмауэры Juniper случайно сделали то, что вы предлагаете, намеренно и отбрасывали ответ AAAA, даже если клиент специально запрашивал записи A и AAAA. В конце концов, Juniper все же исправил это, но это вызвало немало раздражения у всех, кто застрял с этим неисправным оборудованием.
И, конечно же, наступил 2020 год, и вся ваша сеть должна была уже использовать IPv6 в течение последних нескольких лет, с двойным стеком IPv4 или даже устаревшим. Но некоторые места чрезвычайно медленно присоединяются к этому столетию, и вы, вероятно, работаете в одном из них ...