La documentazione di macOS Server 10.12.6 dice che dovremmo impedire trasferimenti arbitrari di zone fuori dal nostro server DNS e che il modo per farlo è la porta del firewall 53 per chiunque non sulla nostra LAN, con specifiche eccezioni per i nostri server DNS secondari .
Ciò che non menzionano è che la porta 53 è dove va il traffico DNS all , quindi firewalling quella porta spegne anche i nostri servizi DNS per chiunque si trovi sulla strada. Sì, abbiamo connessioni VPN; no, non sono applicati e non vogliamo iniziare.
Quindi la domanda diventa: 1) come si ordina al server di distinguere tra trasferimenti e semplici richieste DNS precedenti; 2) se fosse semplice, perché la documentazione Apple non dice di che ? Mi sono messo a tastare e ho trovato le istruzioni per farlo con un semplice vecchio BIND ovunque tranne un Mac, ed è lo stesso file che la documentazione mi ha detto di modificare due settimane fa per correggere un diverso problema di sicurezza.
/Applications/Server.app/Contents/ServerRoot/private/etc/named.conf
Il mio prossimo passo è modificare il file, provare ad attaccare il mio server e, se fallisce, contrassegnalo come fatto. Nel qual caso posso tornare e rispondere alla mia domanda. Ma questo richiede di capire come eseguire un attacco di trasferimento di zona e mi riporta al punto di partenza se seguo le istruzioni di BIND di vaniglia e non funziona. Qualcuno ha qualche idea?