NOY*_*OYB 5 domain-name-system iptables
如果 DNSSEC 服务器没有带有 AAAA 记录的区域。在防火墙上丢弃 DNS 类型 AAAA (28; 0x1c) 查询会出现什么潜在问题?
与丢弃类型 ANY (255; 0xff) 相同。只需将类型替换为 AAAA (28; 0x1c)。
Mic*_*ton 28
对于初学者来说,您的所有客户端在每次 DNS 查找时都会等待几秒钟。IPv6 不是可选的,现代操作系统将其视为可选的。寻找地址的客户端将同时查找 AAAA 和 A 记录,即使它当时似乎没有任何 IPv6 连接。如果您删除其中一个查询,则执行 DNS 查找的客户端软件将等待超时,然后再返回错误。因此,您会因不必要的减速而惹恼您的用户。
早在 2012 年左右,一些瞻博网络防火墙意外地执行了您有意执行的操作,并且会丢弃 AAAA 响应,即使客户端特别请求 A 和 AAAA 记录。Juniper 最终确实解决了这个问题,但它给任何坚持使用这种故障设备的人带来了相当多的烦恼。
当然,现在是 2020 年,在过去几年中,您的整个网络应该已经使用 IPv6,IPv4 双堆栈甚至已弃用为旧设备。但是有些地方加入本世纪的速度异常缓慢,而您可能正在一个地方工作......