
<div dir="ltr"><div>Aki, Thanks for your reply, <br><br></div>I have been working with PowerDNS for a few weeks so far.<br><div><br>Currently I am trying Federico Olivieri's iptables rules based on hex-string  ANY.<br><br>On the other hand ... for stopping those ones ...<br><br>zone: <a href="http://mydomain.com">mydomain.com</a><br><br>Remote xxx.xxx.xxx.xxx wants 'domainA.com|ANY', do = 0, bufsize = 1680: packetcache MISS<br>Remote xxx.xxx.xxx.yyy wants 'domainB.com|ANY', do = 0, bufsize = 1680: packetcache MISS<br>Remote xxx.xxx.xxx.zzz wants 'domainC.com|ANY', do = 0, bufsize = 1680: packetcache MISS<br>Remote xxx.xxx.xxx.www wants 'domainD.com|ANY', do = 0, bufsize = 1680: packetcache MISS<br><br>As you may see, 'any-to-tcp=yes' seems to be not working so far ...<br></div><div><br></div><div><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Dec 18, 2015 at 1:01 PM, Aki Tuomi <span dir="ltr"><<a href="mailto:cmouse@youzen.ext.b2.fi" target="_blank">cmouse@youzen.ext.b2.fi</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class=""><div class="h5">On Fri, Dec 18, 2015 at 11:49:56AM -0600, Josh Sanders wrote:<br>

> Hello,<br>

><br>

> I really like PowerDNS but<br>

><br>

> I would like to have a setting disable-any-meta-query-type=yes in pdns.conf<br>

> and answer<br>

> with HINFO "Any Queries are not allowed Sorry" or no answer at all.<br>

><br>

> More info: <a href="https://blog.cloudflare.com/deprecating-dns-any-meta-query-type/" rel="noreferrer" target="_blank">https://blog.cloudflare.com/deprecating-dns-any-meta-query-type/</a><br>

><br>

> The reason for this is security: people can easily learn the entire DNS<br>

> zone with one command.<br>

><br>

> An authoritative server should be allowed to refuse to answer it.<br>

><br>

> ANY queries are not widely used by any real world software.<br>

> We aware of only two programs that issue ANY queries:<br>

><br>

> Un-patched versions qmaild<br>

> Firefox version 36.0 to 36.0.1<br>

><br>

> Thanks<br>

><br>

> Josh<br>

<br>

</div></div>Hi!<br>

<br>

Disabling ANY queries is not sensible from point of zone security, your DNS<br>

data is public by definition, so if your security relies on not being able<br>

to query ANY for particular name, you should reconsider your security model.<br>

<br>

You cannot learn the *entire* DNS zone with ANY query, unless it contains<br>

just records for one name.<br>

<br>

Better justification is needed for this, as RFC requires ANY to be working.<br>

<span class=""><font color="#888888"><br>

Aki<br>

</font></span></blockquote></div><br></div></div></div>