前回中国からの通信をiptablesで全ブロックする方法を書いたが、それじゃあんまりだということで
中国からの接続は、他のサーバを見てもらえばいいんじゃね。という発想になった。
bindのview機能は、接続元のIPによって返すレコードを変える機能だが、普通は社内と社外とで切り替えるために使われていると思う。
今回このview機能で、中国の方には、他に用意したサーバをご利用いただくという方針を考えてみた。
ただ、問題はある。
- 別途WEBサーバの用意が必須。
中国の方々専用。本番WEBで動的処理とかやってたら、そういったものは無くし静的なページにすればいいと思う。 - DNSはセカンダリも管理してること必須。
キャリアとかのセカンダリだと、外部向けに公開されているレコードだけ同期されるので
細かいviewの設定とかは無理。
ということで、実現できる環境は少ないとは思うが、view内に記述する match-clients 形式で、作ってみた。
中国用match-clients (cn-match-client.txt)
韓国用match-clients (kr-match-client.txt)
※毎日更新 (2015年以降更新されておりません)
別途用意するサーバでは、ガチガチなセキュリティが普通だと思うけど、あえて脆弱にしてハニーポット的な使い方しても面白いと思う。
まー。まず実現できる環境は少ないと思うけど。。。