<div dir="ltr"><div>Aki, Thanks for your reply, <br><br></div>I have been working with PowerDNS for a few weeks so far.<br><div><br>Currently I am trying Federico Olivieri's iptables rules based on hex-stringĀ  ANY.<br><br>On the other hand ... for stopping those ones ...<br><br>zone: <a href="http://mydomain.com">mydomain.com</a><br><br>Remote xxx.xxx.xxx.xxx wants 'domainA.com|ANY', do = 0, bufsize = 1680: packetcache MISS<br>Remote xxx.xxx.xxx.yyy wants 'domainB.com|ANY', do = 0, bufsize = 1680: packetcache MISS<br>Remote xxx.xxx.xxx.zzz wants 'domainC.com|ANY', do = 0, bufsize = 1680: packetcache MISS<br>Remote xxx.xxx.xxx.www wants 'domainD.com|ANY', do = 0, bufsize = 1680: packetcache MISS<br><br>As you may see, 'any-to-tcp=yes' seems to be not working so far ...<br></div><div><br></div><div><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Dec 18, 2015 at 1:01 PM, Aki Tuomi <span dir="ltr"><<a href="mailto:cmouse@youzen.ext.b2.fi" target="_blank">cmouse@youzen.ext.b2.fi</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class=""><div class="h5">On Fri, Dec 18, 2015 at 11:49:56AM -0600, Josh Sanders wrote:<br>
> Hello,<br>
><br>
> I really like PowerDNS but<br>
><br>
> I would like to have a setting disable-any-meta-query-type=yes in pdns.conf<br>
> and answer<br>
> with HINFO "Any Queries are not allowed Sorry" or no answer at all.<br>
><br>
> More info: <a href="https://blog.cloudflare.com/deprecating-dns-any-meta-query-type/" rel="noreferrer" target="_blank">https://blog.cloudflare.com/deprecating-dns-any-meta-query-type/</a><br>
><br>
> The reason for this is security: people can easily learn the entire DNS<br>
> zone with one command.<br>
><br>
> An authoritative server should be allowed to refuse to answer it.<br>
><br>
> ANY queries are not widely used by any real world software.<br>
> We aware of only two programs that issue ANY queries:<br>
><br>
> Un-patched versions qmaild<br>
> Firefox version 36.0 to 36.0.1<br>
><br>
> Thanks<br>
><br>
> Josh<br>
<br>
</div></div>Hi!<br>
<br>
Disabling ANY queries is not sensible from point of zone security, your DNS<br>
data is public by definition, so if your security relies on not being able<br>
to query ANY for particular name, you should reconsider your security model.<br>
<br>
You cannot learn the *entire* DNS zone with ANY query, unless it contains<br>
just records for one name.<br>
<br>
Better justification is needed for this, as RFC requires ANY to be working.<br>
<span class=""><font color="#888888"><br>
Aki<br>
</font></span></blockquote></div><br></div></div></div>