Bind9 Rekursion über IPv6 verhindern

2021-10-04 - christian - dns, linux, server

Wer einen rekursiven DNS Resolver (einen DNS Server für Endanwender Geräte) betreibt, wird eventuell schon mal über folgende Fehler gestolpert sein.

Diese erscheinen immer dann, wenn bind versucht eine DNS Abfrage an einen anderen DNS Server über dessen IPv6 Adresse weiterzuleiten, obwohl der eigene Internet Anschluss nicht IPv6-fähig ist.

Oct  3 22:58:45 ns named[13968]: network unreachable resolving 'ns-1289.awsdns-33.org/AAAA/IN': 2600:9000:5300:a100::1#53
Oct  3 22:58:45 ns named[13968]: network unreachable resolving 'ns-568.awsdns-07.net/A/IN': 2600:9000:5307:8700::1#53
Oct  3 22:58:45 ns named[13968]: network unreachable resolving 'production.cloudflare.docker.com/AAAA/IN': 2600:9000:5305:900::1#53
Oct  3 22:58:45 ns named[13968]: network unreachable resolving 'ns-207.awsdns-25.com/AAAA/IN': 2600:9000:5306:d900::1#53

In dem man in die /etc/bind/named.conf folgende Zeile einfügt, kann dieses Fehlverhalten verhindert werden:

server ::/0 { bogus yes; };

Damit wird jegliche Kommunikation die via IPv6 versendet oder empfangen wird, als “bogus”, also fake/quatsch/sinnlos ignoriert.


serverless.industries BG by Carl Lender (CC BY 2.0)
51a9fa1f 2021-10-04 23:34