Unbound access-control 対応表 & 要望
はじめに
Unbound の access-control は “access-control: ” 部を設定していない状態でも
“access-control-tag:” , “access-control-tag-action:” , “access-control-tag-data:” , “access-control-view:”
項目を設定した場合、再帰が許可されてしまう
実動作を元に対応表をまとめた
目次
Unbound ACL対応表
Ver 1.6.0-3+deb9u1 にて確認 (2017.11.15)
| 番号 | 条件 | 再帰 | local-zone [tag無し] | local-zone [tag有り] (tagはaclのtagと同じ) | local-zone [tag有り] (tagはaclのtagと異なる) | 備考 |
|---|---|---|---|---|---|---|
| 1 | acl 設定無し | × | × | × | × | [TimeOut] if none match deny is used. |
| 2 | access-control: deny | × | × | × | × | [TimeOut] |
| 3 | access-control: refuse | × | × | × | × | [Query refused] |
| 4 | access-control: allow | ◯ | ◯ | × | × | [Non-existent domain] |
| 5 | access-control: allow_snoop | ◯ | ◯ | × | × | [Non-existent domain] |
| 6 | access-control: deny_non_local | × | ◯ | × | × | [TimeOut] |
| 7 | access-control: refuse_non_local | × | ◯ | × | × | [Query refused] |
| 8 | (最初に) access-control: allow | ◯ | ◯ | ◯ | × | [Non-existent domain] |
| その他 各設定有り状態 (access-control-tag にて確認) | ||||||
| 9 | (最初に) access-control: deny | × | × | × | × | [TimeOut] |
| その他 各設定有り状態 (access-control-tag にて確認) | ||||||
| 10 | access-control-tag: のみ 設定 | ◯ | ◯ | ◯ | × | [Non-existent domain] access-control-tag is configured for a netblock that does not have an access-control,an access-control element with action allow is configured for this netblock. |
| 11 | access-control-tag-action: deny or refuse | ◯ | ◯ | × | × | [Non-existent domain] If you have multiple tag values, the tag used to lookup the action is the first tag match between access-control-tag and local-zone-tag where “first” comes from the order of the define-tag values. |
| 12 | access-control-tag-data: のみ 設定 | ◯ | ◯ | × | × | [Non-existent domain] 動かない? |
| 13 | access-control-view: のみ 設定 | ◯ | × | × | × | [Non-existent domain] |
| 14 | access-control-tag-data: 設定 | ◯ | ◯ | ◯ | × | [Non-existent domain] |
| (access-control-tag-data: の下に) access-control-tag: 設定 | ||||||
| 15 | access-control-tag-view: 設定 | ◯ | × | × | × | [Non-existent domain] |
| (access-control-tag-view: の下に) access-control-tag: 設定 | ||||||
| 16 | その他 各設定有り状態 (access-control-tag にて確認) | ◯ | ◯ | ◯ | × | [Non-existent domain] |
| (最後に) access-control: allow | ||||||
| 17 | その他 各設定有り状態 (access-control-tag にて確認) | × | × | × | × | [TimeOut] |
| (最後に) access-control: deny |
要望
- “access-control: “と それ以外は分けてほしい
例:
現在 “access-control-tag: ” を設定すると “access-control: allow” を設定したように見なされてしまう
“access-control-tag: ” は “tag” の設定のみとしてほしい
思わぬ動きをする危険あり
- “access-control: ” に “allow_non_local” がほしい
但し、各 local-zone 全てに “local-zone-tag” を設定する事により、「 local-zone には応答せず、再帰のみ」という動作は可能である
- “!” 指定がほしい
IP netblock を “not” 指定出来れば、便利になる
備考
当方では、”access-control-tag-data: ” を動作させる事が出来なかった
- 2017年11月15日 - yuya
- 初版
コメント
Unbound access-control 対応表 & 要望 — コメントはまだありません
HTML tags allowed in your comment: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>