1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
| # 所有配置信息可以参考: https://doc.powerdns.com/recursor/yamlsettings.html
#
# 配置后知允许指定子网访问该服务,多个子网之间使用, 分隔
allow-from=0.0.0.0/0
#
# 配置后只允许指定文件中声明的子网访问该服务
# allow-from-file=
#
# any-to-tcp可选项为:yes|no, 当设置为yes时,接受到的任何UDP查询都会转换为TCP查询。
# 当设置为no时,DNS查询首先通过UDP方式,如果响应大于512字节,客户端会自动使用TCP。
# any-to-tcp=no
#
# api-config-dir用于指定API文件的配置目录
# api-config-dir=
#
# api-key用于配置REST API的访问密钥
# api-key=
#
# api-logfile用于记录REST API请求的日志信息
# api-logfile=/var/log/pdns.log
#
# api-readonly是否设置REST API为只读权限,可选项为:yes|no
# api-readonly=no
#
# auth-zones用于指定权威解析的域名,指定权威域名后不再进行递归解析,相当于让
# Recursor充当权威DNS服务器作用。
# auth-zones=
#
# carbon-interval指定域名查询统计数据发送到Carbon的时间间隔,主要用来监控性能,
# Carbon 是 Graphite 监控系统的组件之一,Graphite 是一个开源的企业级监控工具。
# carbon-interval=30
#
# carbon-ourname指定Metrics的前缀,在启用Carbon并且未指定前缀的情况下默认使用
# Hostname左右metrics前缀。
# carbon-ourname=
#
# carbon-server用于配置Carbon服务器地址,配置后Recursor将发送监控数据到Carbon中。
# carbon-server=
#
# chroot用于指定PowerDNS Recursor进程能够访问的目录,主要目的是为了减少安全风险,
# 即使攻击者获取到了进程的权限,也只能访问该目录中的文件(可以试想一下,假设攻击者
# 控制了进程,并通过进程执行了/bin/bash二进制文件,那么将是一件很危险的事情)。
# chroot=
#
# client-tcp-timeout指定客户端通过TCP连接到服务端的超时时间,该时间内未能完成TCP
# 连接或者没有任何数据传输,将会终止掉连接。
# client-tcp-timeout=2
#
# config-dir用于指定PowerDNS Recursor的配置文件目录。
# config-dir=/etc/pdns-recursor
#
# config-name当同一服务器运行多个递归进程时,用于指定服务名称,该名称会重命名进程
# 名称。
# config-name=ptest
#
# cpu-map指定PowerDNS线程和CPU的映射关系,可以通过亲和性和线程映射极大的提高PowerDNS
# 性能(比如DPDK一般会设置CPU绑定),因为这样可以减少进程上下文切换。
# cpu-map=
#
# daemon是否设置为守护进程运行
# daemon=no
#
# delegation-only指定哪些域名只接受委派,委派是指DNS不直接解析指定域名下子域的DNS请求,
# 而是将DNS
#
#
# disable-packetcache是否禁用数据包缓存,禁用后每次查询都会从新查询,但是可以保证结果最
# 新,但是同样会增加服务器负担。
# disable-packetcache=no
#
# disable-real-memory-usage 是否禁用真实内存使用报告,主要用来调试和诊断,禁用后仍然会
# 报告内存占用,但是不准确。
# disable-real-memory-usage=no
#
# disable-syslog 是否禁用syslog日志输出,当日志输出到其他目标中时,可以禁用此参数。
# disable-syslog=no
#
# distribution-load-factor 控制查询分配给工作线程的负载因子,这个参数控制查询在不同线程
# 之间的分配方式,可以实现优化多线程下的工作负载。要开启该功能,pdns-distributes-queries
# 参数必须设置为yes, 并且distribution-load-factor值必须大于0。比如当设置为1.25, 则每个线
# 程的工作负载不会超过平均负载的125%。
# distribution-load-factor=0.0
#
# dnssec 域名系统安全扩展,可以实现验证DNS数据的完整性和真实性,防止DNS欺骗和篡改。
# 可选值为: off/process-no-validate (default)/process/log-fail/validate
# dnssec=process-no-validate
#
# dnssec-log-bogus 开启后可以记录伪造DNSSEC的日志。
# dnssec-log-bogus=no
#
# dont-query 开启后可以阻止Recursor向以下的IP地址或子网目标发送DNS请求,主要实现避免向不
# 信任的DNS服务器发送查询请求。
# dont-query=127.0.0.0/8, 10.0.0.0/8, 100.64.0.0/10, 169.254.0.0/16, 192.168.0.0/16, 172.16.0.0/12, ::1/128, fc00::/7, fe80::/10, 0.0.0.0/8, 192.0.0.0/24, 192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24, 240.0.0.0/4, ::/96, ::ffff:0:0/96, 100::/64, 2001:db8::/32
#
# ecs-cache-limit-ttl 控制客户端子网(ECS)缓存的最大数量,ECS是一种DNS扩展,用于传递客户端子网
# 信息到权威服务器,以便权威服务器能够根据查询客户端子网根据地理位置或网络拓扑返回更合适的响应。
# 比如使用1.1.1.1查询www.baidu.com的ip地址,大概率是要返回一个国外的IP地址,因为百度服务器在
# 全球大部分地方是否分布的,但是使用ECS后可以把客户端子网传递到权威服务器,权威服务器根据客户
# 端子网或网络拓扑返回一个最合适的IP地址,大概率是离客户端较近的国内IP地址。
# ecs-cache-limit-ttl=0
#
# ecs-ipv4-bits 在使用ECS时,用于控制向权威服务器发起请求中客户端子网的掩码长度,掩码值越小,则
# 表示的地址返回越大,客户端网络信息精密度越小,隐私保护越好。反之相反。
# ecs-ipv4-bits=24
#
# ecs-ipv4-cache-bits 在使用ECS时,当返回目标数据时,对返回的数据做缓存,该参数主要是用来缓存子网
# 的掩码位数。
# ecs-ipv4-cache-bits=24
#
# ecs-ipv6-bits 功能和ecs-ipv4-bits相似,但是适用于IPV6地址。
# ecs-ipv6-bits=56
#
# ecs-ipv6-cache-bits 功能和ecs-ipv4-cache-bits相似,但是适用于IPV6地址。
# ecs-ipv6-cache-bits=56
#
# ecs-scope-zero-address ECS中源长度为0时,发送到指定的权威服务器。这个可以和非0的ECS请求做区分,
# 可以提高DNS灵活性和可靠性,如果没有找到合适的地址,则回退到127.0.0.1。
# ecs-scope-zero-address=
#
# edns-outgoing-bufsize 指定EDNS发送DNS响应的最大缓冲区大小,可以再不同的网络环境修改改参数大小
# 用来更好的适配网络环境和客户端。(EDNS协议是对DNS协议的扩展,用于突破原始DNS协议限制,核心的目
# 的就是用来突破传统DNS消息大小512大小限制)
# edns-outgoing-bufsize=1680
#
# edns-subnet-whitelist 指定启用EDNS公的子网或域名白名单
# edns-subnet-whitelist=
#
# entropy-source 指定随机数源,在需要高质量随机数的安全功能(比如DNSSEC签名中)非常重要。
# entropy-source=/dev/urandom
#
# etc-hosts-file 指定文件路径,该文件包含主机到IP地址的映射,类似于Unix系统中的/etc/hosts
# 文件,该文件中的记录会优先于递归查询。
# etc-hosts-file=/etc/hosts
#
# export-etc-hosts 是否导入系统/etc/hosts中的文件使用,如果导入该文件,则Recursor会在查询DNS之前
# 优先尝试使用该文件解析。
# export-etc-hosts=off
#
# export-etc-hosts-search-suffix 是否将以下后缀和/etc/hosts结合起来进行匹配查询,比如有一个域名:
# example.com, hosts中存在`192.0.2.1 server`的映射,当查询`server.example.com`时,Recursor将
# 返回192.0.2.1的结果。
# export-etc-hosts-search-suffix=
#
# forward-zones Zones 指定特定域名使用特定的上游来解析特定的域名,格式为:域名=上游DNS。
# forward-zones=
#
# forward-zones-file 类似于forward-zones,但是存放在文件中。
# forward-zones-file=
#
# forward-zones-recurse 类似于forward-zones,但是不同的是forward-zones-recurse会把递归期望设置为
# 1,并依赖转发的递归服务器完全解析。也就是说forward-zones-recurse会完全依赖上游DNS完全解析,不会
# 遵循子区域的委派规则,那什么是子区域的委派规则呢?在DNS系统中,域名的层次结构由顶级域名(比如.com)
# 到次级域名(比如example.com),在到更下一级的子域名(比如sub.example.com)是逐层递归解析的,比如example.com
# 的权威域的区域中可以设置有一个NS记录,指向sub.example.com的权威服务器。正常情况下,Recursor拿到
# sub.example.com的权威服务器后继续请求该权威服务器,但是使用了forward-zones-recurse后,Recursor将
# 完全依赖上游DNS服务器来完成整个解析过程,只等待最终返回结果。
# forward-zones-recurse=
#
# gettag-needs-edns-options 开启后,DNS查询会抽取EDNS选项,并传递到ednsoptions表中的gettag()钩子中。
# gettag-needs-edns-options=no
#
# hint-file 指定根域名服务器地址的文件信息, 指定后将从文件载入根域名服务器。一般来说全球一共有13个
# 根域名服务器。每个根域名服务器由不用的运营商运营,每个运营商有多个分布式物理实例,一般通过任播技
# 术分布在全球。
# hint-file=
#
# include-dir 指定额外配置文件目录,开启后Recursor会读取该目录中的*.conf文件,并加载文件中配置。
# include-dir=
#
# latency-statistic-size 指定统计多少个查询用来计算查询的平均延时。
# latency-statistic-size=10000
#
# 指定本地监听的地址,可以直接使用IP,也可以使用IP:Port格式,使用`,`分隔多个监听的地址。
# local-address=127.0.0.1
#
# local-port 指定监听的端口,默认值是53。
# local-port=53
#
# log-common-errors 当某些DNS查询错误发生比较频繁事,是否记录到日志中。
# log-common-errors=no
#
# log-rpz-changes 添加或删除RPZ Zones时,使用Info级别来代替Debug记录日志。RPZ:响应策略区域是DNS服务器
# 集成的功能,允许在DNS解析器在查询返回结果之前,根据定义的策略修改、阻止或重定向响应。RPZ一般的用途是
# 安全和内容过滤,比如阻止已知的恶意域名劫持或将也定域名重定向到告警页面。
# log-rpz-changes=no
#
# log-timestamp 是否在日志行中添加时间戳。
# log-timestamp=yes
#
# logging-facility 用于记录消息的设施。日志设施用途将消息分类,可以更好的管理和处理系统日志。设施是属于
# syslog的一部分。可选项可以是:daemon, user, local0, local1 ,但是必须使用数字来代替上述的设施。
# logging-facility=
#
# loglevel 记录日志级别,级别越高,输出的日志越多,设置的值不要小于3。0 = emergency, 1 = alert, 2 = critical,
# 3 = error, 4 = warning, 5 = notice, 6 = info, 7 = debug, 如果仅用了quite选项,最小设置为6。
# loglevel=6
#
# lowercase-outgoing 指定Recursor是否将用户查询信息转换为小写后再向外请求,如果设置为no, 用户查询域名使用了
# 大小写混合或者使用了`draft-vixie-dnsext-dns0x20-00`草案,PowerDNS会保留查询的大小写。但是不兼容的权威服务器
# 可能会返回错误的结果。使用yes的话Recursor将查询中的请求数据转换为小写,然后发送给权威服务器,但是Recursor仍
# 然会保持大小写返回给客户端。
# lowercase-outgoing=no
#
# lua-config-file 指定Lua脚本脚本用于扩展和定制PowerDNS的配置信息。该功能可以实现非常强大的功能,具体的使用方法
# 可以参考官方链接: https://doc.powerdns.com/recursor/lua-config/index.html。
# lua-config-file=
#
# lua-dns-script 指定Lua脚本,该Lua脚本可以修改Recursor的解析行为。为了实现该功能,PowerDNS必须内置Lua支持,目前
# 官方发布的版本已经提供了支持。使用方法参考官方文档: https://doc.powerdns.com/recursor/lua-scripting/index.html。
#
#
# max-cache-entries 配置缓存中可以存储的最大条目数。合理的配置可以避免过多的内存资源占用,同时也可以保持合理的缓存
# 命中。
# max-cache-entries=1000000
#
# max-cache-ttl 用于控制缓存目标在内存中保存的最长时间,但是是秒。
#
#
# max-mthreads Mtasker最大的线程数量。MTasker是PowerDNS内部的并发库,允许DNS查询在多个线程之间并行处理,可以提高
# PowerDNS的吞吐量。
# max-mthreads=2048
#
# max-negative-ttl 指定缓存中存储否定响应(即NXDOMAIN和NODATA)的最大生成时间,这种设置可以减少不可解析域名的重复查询。
# 但是也不要设置过大,过大的设置容易导致否定响应在内存中滞留过久。在目标域名发生变化时导致更新不及时或不准确。
# max-negative-ttl=3600
#
# max-ns-address-qperq 限制单次查询中对每个NS查询数量,比如配置了3,一个域名反了两个NS地址,那么PowerDNS最多会对每个
# NS查询3次。
# max-ns-address-qperq=10
#
# max-packetcache-entries 配置packetcache中最大的缓存条目数量。Packet Cache和Record Cache和Negative Cache不同的
# 是缓存粒度不同,Packet Chache缓存完整的DNS响应包。注意缓存包是上游返回的响应包。
# max-packetcache-entries=500000
#
# max-qperq 限制每个查询中产生的最大查询次数,防止递归过程中生成过多的查询,避免资源滥用和潜在的Dos攻击。备注一下:
# 上面讲到了DNS查询是逐级查询的,所以单次查询一个目标,可能会生成多次额外的查询才能查询到最终结果。
# max-qperq=50
#
# max-recursion-depth 限制单次查询中递归的最大深度,0表示无限制。递归查询是指只当查询DNS记录时,由于查询不是发生在
# 权威服务器上的,而是依赖上游逐级查询不同级别权威服务器,直到获得最终的DNS记录。
# max-recursion-depth=40
#
# max-tcp-clients 限制同时处理的最大的TCP客户端连接数。虽然大部分DNS查询都是使用UDP协议查询的,但是某些情况下还是需要
# 依赖TCP协议进行传输。比如响应数据过大,或者特定的DNS客户端要求使用TCP进行传输。
# max-tcp-clients=128
#
# max-tcp-per-client 限制单个客户端可以建立最大的TCP连接数(是否为同一客户端的判断标准是IP地址)。
# max-tcp-per-client=0
#
# max-tcp-queries-per-connection 限制单个TCP连接可以处理的最大DNS查询次数,主要可以实现单个TCP连接占用过多的资源。
# max-tcp-queries-per-connection=0
#
# max-total-msec 限制每个查询允许占用的最大总时间,主要用来防止单个查询消耗过多的时间,保持DNS服务器能高负载性。
# max-total-msec=7000
#
# max-udp-queries-per-round 限制recvmsg()单轮循环中UDP DNS查询的最大数量,这个配置有助于在高负载的情况下,防止处理过多
# 的UDP查询导致忽略其他重要的任务,比如调度新线程,处理来自于权威服务器响应或者响应rec_control请求。
# max-udp-queries-per-round=10000
#
# minimum-ttl-override 用来强制设置DNS记录TTL指定的最小值,当设置的值大于1时虽然违反RFC标准,但在某些情况下会提升
# 性能,在设置为0的情况下,TTL为0的DNS记录会对性能产生巨大的影响,因为Recursor每次解析请求时都会重新请求权威服务器。
# minimum-ttl-override=0
#
# network-timeout 等待远程权威服务器响应的超时时间,单位为毫秒。
# network-timeout=1500
#
# no-shuffle 控制DNS响应返回的记录是否随机排序,该选项主要用来做回归测试,不要修改这个值。
# no-shuffle=off
#
# non-local-bind 即使系统中不存在指定的IP地址,Recursor也会绑定的该地址,该选项主要实现IP故障转移。该选项有可能会掩盖配置
# 问题,默认情况下是禁用的。如何要启用该功能,必须开启套接字允许绑定非本地地址选项。
# non-local-bind=no
#
# nsec3-max-iterations 指定NSEC3允许的最大迭代次数,入伙疏导包含更多迭代NSEC3记录的响应,则DNSSEC验证状态将会被
# 视为不安全。这里介绍一下DNSSEC: 普通的DNS请求是基于无状态的UDP协议,并且不会对响应结果进行检查,这样就会出现容
# 易被攻击的情况。DNSSEC就是对返回的结果做Validation. 具体的流程我会在新的文章中介绍。在没有记录的返回中,攻击者可
# 能会构造一个固定的NXDOMAIN就可以完成欺骗。NSEC3是为了解决不存在响应记录提出的规范: 当查询不到不存在的记录时,根
# 据字母顺序返回一条最近的记录,并biang资源指定为NSEC,并在响应记录中添加记录的RRSIG。基于NSEC3协议,攻击者可以完
# 成遍历所有域名。nsec3-max-iterations这个主要是用来指定最大迭代次数。
# nsec3-max-iterations=2500
#
# packetcache-servfail-ttl 设置在packetcache中缓存解析失败响应的最大时间。单位为秒。注意在4.6.0版本之前,进ServFail
# 会被缓存,4.6.0开始所有状态码不是NoError和NXDomain的响应或者在响应中没有记录和权威信息都会被认为是失败。从4.9.0开
# 始,负面回答单独处理,不会被认为是解析失败。
# packetcache-servfail-ttl=60
#
# packetcache-ttl 指定缓存项在packetcahce中的最大缓存时间,单位为秒。需要注意的是,即使原始响应中TTL大于该指定值,也
# 会强制按照该指定值设置缓存时间。
# packetcache-ttl=3600
#
# pdns-distributes-queries 开启后Recursor将使用不同的线程箭头客户端套接字。并使用查询的哈希值选择合适的工作线程,如果
# incoming.reuseport 没有均衡分配查询到多个工作线程,开启该功能应该能提高性能。
# pdns-distributes-queries=yes
#
# processes 设置进程数量,目前处于实验性,不要改变该值。
# processes=1
#
# query-local-address 设置Recursor查询上游DNS服务器的本地源IP地址。
# query-local-address=0.0.0.0
#
# query-local-address6 设置Recursor查询上游DNS服务器的本地源IP地址。
# query-local-address6=
#
# quiet 开启后日志中不记录请求和响应
# quiet=
#
# reuseport 是否开启SO_REUSEPORT选项来实现多个进程监听同一地址。
# reuseport=no
#
# root-nx-trust 开启后当从根服务器接收到NXDOMAIN的响应时,这个NXDOMAIN响应将被视为整个顶级域不存在,意味着,对于该顶级域
# 的所有查询,递归器将不再继续查询,从而显著减少对根服务器的查询次数。
# root-nx-trust=yes
#
# security-poll-suffix PowerDNS可以定时从官方secpoll.powerdns.com获取安全信息,可以通过security-poll-suffix修改默认域名。
security-poll-suffix=
#
# serve-rfc1918 设置RFC 1918私有IP地址权威性,减少对AS112查询。主要是作用就是屏蔽私有IP地址转发到上游公共DNS查询。
# serve-rfc1918=yes
#
# server-down-max-fails 如果上游服务器连续超时或者无法请求,在达到server-down-max-fails参数设置中的指定次数后,标记服务器为
# 宕机状态,可以设置为0关闭该功能。
#
#
# server-down-throttle-time 如果服务器未以任何形式做出响应,则server-down-throttle-time参数可以设置指定秒内不再向其发送任何
# 查询,之后Recursor或尝试发送一个新的数据包,如果仍然没有收到任何响应。再次限制指定时间范围内发出请求。
# server-down-throttle-time=60
#
# server-id 当查询包含NSID EDNS0选项时,返回server-id信息, 默认为当前主机名。
# server-id=
#
# setgid 设置后可以更改Recursor套接字的组ID,可以提升安全性。
#
setgid=pdns-recursor
#
# setuid 设置后可以更改Recursor套接字的用户ID,可以提升安全性。
setuid=pdns-recursor
#
# signature-inception-skew 设置DNSSEC签名的时间偏移,主要作用是控制验证DNSSEC签名时,允许的时间偏移量,从而保证签名在特定的时间
# 范围内仍然会被视为有效。
# signature-inception-skew=0
#
# single-socket 开启后Recusor向上游查询使用单一Socket套接字。
#
#
# snmp-agent 开启后Recursor将会注册到SNMP中,提供统计信息并发送相关问题。
# snmp-agent=no
#
# snmp-master-socket 开启snmp-agent,设置snmp-master-socket提供给Recursor套接字信息告知如Recursor何注册到SNMP Master中.
# snmp-master-socket=
#
# soa-minimum-ttl SOA记录的TTL时间,不要修改此配置!!!!
# soa-minimum-ttl=0
#
# socket-dir 用于管理的套接字和PID文件存贮未知,一般是/var/run或/run。RUNTIME_DIRECTOR环境变量存在值时,默认值会被该变量覆盖。
# socket-dir=
#
# socket-group 控制套接字的用户组,可以通过名称指定。
# socket-group=
#
# socket-mode 控制套接字的权限模式,使用八进制。
# socket-mode=
#
# socket-owner 控制套接字的用户,可以使用名称指定。
# socket-owner=
#
# spoof-nearmiss-max spoof-nearmiss-max 参数用于控制 PowerDNS 在检测到错误 ID 的答案次数超过该设置值时,假定其正在遭受欺骗攻击。
# 这有助于防止 DNS 缓存投毒和其他形式的 DNS 欺骗攻击。
# spoof-nearmiss-max=20
#
# stack-size 设置每个线程的堆栈大小。
# stack-size=200000
#
# statistics-interval 设置Recursor统计性能摘要时间间隔,0表示禁用。
# statistics-interval=1800
#
# stats-ringbuffer-entries 设置环形缓冲区大小,用来保存远程客户端查询Recursor的统计信息。
# stats-ringbuffer-entries=10000
#
# tcp-fast-open 设置是否启用TCP快速打开功能。TCP 快速打开是一种用于减少客户端和服务器之间连接建立时间的技术,通过在初始 SYN 数据包中
# 包含数据,以减少握手延迟,从而加速连接建立过程。
# tcp-fast-open=0
#
# threads 在Recursor启动时指定线程数量。
# threads=2
#
# trace 是否开启追溯,可选值为: no|yes|fail, 注意开启后会生成大量的日志,会带来严重的性能问题,fail表示只记录ServFail日志,但是这种
# 情况仍然会带来较大的性能损耗。
# trace=off
#
# udp-truncation-threshold EDNS0允许大型UDP响应数据报文,这种情况下可能会提升性能。但是大报文在反射攻击方面也有缺点,该参数用来指定可
# 接受报文的最大大小,最大是65535, 但是不要超过4096。
# udp-truncation-threshold=1680
#
# use-incoming-edns-subnet 设置是否处理并将接收到的 EDNS Client Subnet (ECS) 信息传递给权威服务器, 开启后仍然依赖edns_subnet_allow_list
# 参数来决定是否发送,只有收到的ECS信息的网络掩码和域名在edns_subnet_allow_list,ECS信息才会被发送。此外如果ECS信息超过IPV4 ipv4_bits
# 或IPV6 ipv6_bits的设置,信息会被截断。
# use-incoming-edns-subnet=no
#
# version-string 默认情况下Recursor使用版本号恢复"version.bind"查询, 为了保证安全最好做修改。
# version-string=PowerDNS Recursor 4.1.16
#
# webserver 是否开启用于REST API的webserver.
# webserver=no
#
# webserver-address webserver监听的IP地址。
# webserver-address=127.0.0.1
#
# webserver-allow-from 允许访问Webserver的子网或者IP地址。
# webserver-allow-from=127.0.0.1,::1
#
# webserver-password 设置Webserver的口令密码。
# webserver-password=
#
# webserver-port 设置Webserver的监听端口
# webserver-port=8082
#
# write-pid 指定PID文件是否应该写入到socket_dir目录中。
# write-pid=yes
|
