Существует много информации о DNSoverTLS и различных комбинациях настроек, и я медленно перебирал разные комбинации, чтобы получить для нас правильную настройку, но это привело к нескольким вопросам, которые мне нужно прояснить.
После начала с dnsmasq
а потом systemd-resolved
мы быстро (читать: после долгой работы) понял, что в нашей настройке нам нужна система DNS, поддерживающая Рекурсия что выходит за рамки этих двух. Очень конкретная причина, по которой нам нужна рекурсия, связана с тем, что общедоступные резолверы не разрешают запросы на службы Anti-Spam / RBL, такие как Spamhaus, поэтому нам нужно иметь возможность напрямую общаться с корневыми серверами (во всяком случае так я это понимаю). Итак, я осваиваюсь bind
.
Я так понимаю, что Bind9 не поддерживает DNSoverTLS
сам, и поэтому использует Stunnel
чтобы зашифровать его сообщения, но путь оттуда немного запутался ...
Наш автономный server, он не предназначен для использования в качестве открытого преобразователя для чего-либо, кроме внутренних запросов от приложений, таких как postfix
, или клиенты, подключенные через VPN напрямую к серверу, и это не является авторитетным, это всего лишь кэширующий DNS-сервер.
Моя цель - зашифровать наши восходящие / рекурсивные запросы, на правильном ли я пути?