บังคับให้ส่งต่อ DNS ไปยังโหมด TCP

ฉันได้ตั้งค่า DNS-server บน SLES10 (ปัจจุบันผูก 9.6) บนเซิร์ฟเวอร์หลาย homed เซิร์ฟเวอร์นี้สามารถสอบถามจากเครือข่ายภายในทั้งหมดและส่งคำตอบสำหรับเครือข่ายภายในทั้งหมด เรามี DNS "master" สองโซนแยกกัน แต่ละโซนเหล่านี้มีการให้บริการโดย Windows-DNS-servers ที่เชื่อถือได้จำนวนหนึ่ง

ตอนนี้ linux-server ของฉันเป็นเซิร์ฟเวอร์ DNS รองสำหรับหนึ่งในโซนเหล่านี้ (โซนภายในส่วนตัว) และทำหน้าที่เป็นตัวส่งต่อสำหรับโซนอื่น (โซนภายในสาธารณะ)

จนกระทั่งเมื่อเร็ว ๆ นี้การตั้งค่านี้ทำงานได้โดยไม่มีปัญหา ตอนนี้ฉันได้รับ - เมื่อสอบถามโซนภายในสาธารณะ (เช่นโดยhostคำสั่งบนไคลเอนต์ linux) ข้อความแสดงข้อผิดพลาด

;; ถูกตัดทอนพยายามใหม่ในโหมด TCP

wireshark-dump เปิดเผยสาเหตุของสิ่งนี้: เคียวรีแรกออกไปในโหมด UDP คำตอบไม่เหมาะกับ UDP (เนื่องจากรายการ longish ของ NS ที่มีสิทธิ์แบบยาว) จากนั้นจะลองใหม่ในโหมด TCP ส่งคำตอบที่ถูกต้อง

ตอนนี้คำถาม: ฉันสามารถกำหนดค่าการผูกของฉันเพื่อสอบถามตัวส่งต่อในโหมด TCP โดยไม่ลองใช้ UDP ก่อนหรือไม่

อัปเดต: ลองใช้ ASCII-art ...

+--------------+   +--------------+   +-----------------+
| W2K8R2 DNS   |   | SLES 10 DNS  |   | W2K8R2 DNS      |
| Zone private +---+ All internal +---+ Zone public     |
| internal 2x  |   |   Zones      |   | internal 30+ x  |
+--------------+   +-+----------+-+   +-----------------+
                     |          |
                  +--+---+   +--+---+
                  |Client|   |Client|
                  +------+   +------+

ครั้งแรกฉันจะไม่เรียกว่าข้อผิดพลาดเพียงข้อความที่ให้ข้อมูล

ประการที่สองเซิร์ฟเวอร์ DNS จะตอบแบบสอบถาม UDP เสมอ (ผูกอย่างน้อยฉันไม่พบตัวเลือกในการปิดการใช้งาน UDP) และลูกค้าจะเสมอ (?) พยายามส่งแบบสอบถาม UDP ก่อน (เช่นไม่มีตัวเลือกใน resolv.conf เพื่อเปลี่ยน หรือใน JVM) - ถ้ามันพอดีกับแพ็กเก็ต UDP (โดยปกติแล้วการร้องขอ)

หากคุณมีกรณีการใช้งานเฉพาะคุณสามารถระบุการใช้ TCP เช่นในเชลล์สคริปต์ใช้ 'dig + tcp' หรือ 'host -T' สำหรับการแก้ปัญหาและคุณสามารถใช้การเรียกของระบบ 'sethostent / gethostbyname / endhostent' (ดู man หน้า) เพื่อบังคับใช้ TCP ในกรณีอื่น ๆ

หากคุณต้องการลองและบล็อก UDP ตัวเลือกเดียวที่ฉันเห็นคือกฎ iptable แต่ฉันไม่แน่ใจว่าการตั้งค่านั้นจะใช้งานได้ ฉันคาดว่าการแก้ไข DNS จะล้มเหลว

เซิร์ฟเวอร์ BIND ของคุณควรใช้ EDNS (ดู RFC 2671) เพื่ออนุญาตให้แพ็กเก็ต UDP ยาวกว่า 512 ไบต์

options {
    edns-udp-size 4096;
    max-udp-size 4096;
};

สิ่งนี้จะทำให้ชุด NS ขนาดใหญ่ของคุณถูกเรียกคืนผ่าน UDP โดยไม่ต้องใช้โอเวอร์เฮดของการเชื่อมต่อ TCP สำหรับการสืบค้นขนาดเล็กอื่น ๆ

โปรดทราบว่าสิ่งเหล่านี้เป็นค่าเริ่มต้นจริง ๆ หากไม่ได้ใช้ EDNS อาจมีบางอย่างกำลังบล็อกหรือเซิร์ฟเวอร์ที่รับตัวเลือก EDNS ไม่สนับสนุน

นอกจากนี้โปรดทราบว่าhostไม่รองรับ EDNS เป็นไปได้อย่างสมบูรณ์แบบที่ผู้ส่งของคุณ -> เซิร์ฟเวอร์สอบถามได้ใช้ EDNS อยู่แล้วและคุณไม่สามารถเห็นมันเมื่อคุณลองกับลูกค้าในพื้นที่ของคุณ

ลองแทนการใช้dig +bufsize=4096 @server hostname Ahost