Назад | Перейти на главную страницу

DNSoverTLS для восходящих запросов рекурсии в Bind9 / Stunnel

Существует много информации о DNSoverTLS и различных комбинациях настроек, и я медленно перебирал разные комбинации, чтобы получить для нас правильную настройку, но это привело к нескольким вопросам, которые мне нужно прояснить.

После начала с dnsmasq а потом systemd-resolved мы быстро (читать: после долгой работы) понял, что в нашей настройке нам нужна система DNS, поддерживающая Рекурсия что выходит за рамки этих двух. Очень конкретная причина, по которой нам нужна рекурсия, связана с тем, что общедоступные резолверы не разрешают запросы на службы Anti-Spam / RBL, такие как Spamhaus, поэтому нам нужно иметь возможность напрямую общаться с корневыми серверами (во всяком случае так я это понимаю). Итак, я осваиваюсь bind.

Я так понимаю, что Bind9 не поддерживает DNSoverTLS сам, и поэтому использует Stunnel чтобы зашифровать его сообщения, но путь оттуда немного запутался ...

  1. Шифрует ли Stunnel свои нисходящие (клиентские запросы) или восходящие (рекурсия / преобразователи) запросы или оба?
  2. Правильно ли я понимаю, что рекурсия означает, что запрос поступает непосредственно на корневой DNS-сервер, а затем рекурсивно выполняет итерацию, пока не найдет авторитетный сервер имен и не сможет разрешить запрос, вместо того, чтобы обращаться к резолверу, например Quad9 / Cloudflare / Google / и т. Д. .?
  3. Поддерживают ли корневые DNS-серверы сами DNSoverTLS или только указанные службы распознавания?

Наш автономный server, он не предназначен для использования в качестве открытого преобразователя для чего-либо, кроме внутренних запросов от приложений, таких как postfix, или клиенты, подключенные через VPN напрямую к серверу, и это не является авторитетным, это всего лишь кэширующий DNS-сервер.

Моя цель - зашифровать наши восходящие / рекурсивные запросы, на правильном ли я пути?