VU#800113の絡みで「bindイマイチじゃね？」「もっとセキュアなキャッシュサーバ必要じゃね？」という風潮に鑑み、Unbound 1.0.1を入れてみる。

Unboundの説明は以下みたいな。

Unbound is a validating, recursive, and caching DNS resolver.

The C implementation of Unbound is developed and maintained by NLnet Labs. It is based on ideas and algorithms taken from a java prototype developed by Verisign labs, Nominet, Kirei and ep.net.

Unbound is designed as a set of modular components, so that also DNSSEC (secure DNS) validation and stub-resolvers (that do not run as a server, but are linked into an application) are easily possible.

DNSSECとか EDNS0を前提にしてスクラッチから作成した DNS Cache Serverってことやね。
NLnet Labs, Verisign, Nominet, Kirei, EP.netと割とまあまあ安心できる組織が支えているようだ。

Debian Packageと FreeBSD Portsで試したが、どっちも IPv4で Listenしてくれないような……。
諦めてコンテンツサーバをやっている FreeBSD箱の上に chroot + IP aliasした上で Unboundを IPv6でだけ Listenさせた

bind殺してないけど、まあ、そこそこセキュアになっただろう、きっと。

と思ったらアクセス制限間違っていた……。NLnet Labsを疑ってごめんなさい。

ということで、めでたく bindのキャッシュサーバ殺せてウハウハ。

だいぶ前に「キャッシュサーバ分離してーな」と思った時は IPv6, DNSSEC, EDNS0に対応したキャッシュサーバが無くて諦めたのだが、Unboundは実に良いところにフィットするので大変素晴らしい。
余談だが、dnsの偉い人に「最近お勧めのキャッシュサーバありますか？」と聞いたら「いろいろ考えると BINDが一番無難」という答えだったのも、やはりそこら辺に落ちているキャッシュサーバが full featureじゃなかったというつい最近までの事情もあるんだろうなあ。