<div dir="ltr">Hi Serg.<div>Can you post the output of "named -V" please?</div><div>You're looking for "--disable-linux-caps", which you don't want.</div><div><br></div><div>I'm not sure how (if) BIND interacts with AnyIP, but it should pick up new interfaces as they are added, *if* it is built with the necessary capabilities enabled. 'named' starts as root, but immediately drops to a lower-priviliged user, which can prevent it from discovering new addresses unless it has the necessary linux-caps.</div><div><br></div><div>Cheers, Greg</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, 13 Mar 2023 at 09:16, Serg via bind-users <<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">The problem is I have lots of IPv6 addresses where I need to listen DNS requests (IPv6 prefix of /64) and I could not just explicitly add each to the interface, thus I use AnyIP feature to be able to use entire prefix by locally by such software like nginx, curl, etc.<br>
<br>
Regarding the usage of [::] - due to usage of firewall I am able to block connections to the 53/udp and 53/tcp which are not coming to specific IP addresses or ranges, I do not need such filtering functionality within bind itself.<br>
<br>
Anyway, the better option is to allow bind to a so known "non-local" IP addresses. Currently if I try to bind named to a IP address within AnyIP prefix but which is not explicitly added to an interface it just not bind socket here. Read this blog post for more details on AnyIP feature: <a href="https://blog.widodh.nl/2016/04/anyip-bind-a-whole-subnet-to-your-linux-machine/" rel="noreferrer" target="_blank">https://blog.widodh.nl/2016/04/anyip-bind-a-whole-subnet-to-your-linux-machine/</a><br>
<br>
2023-03-13T08:55:16Z Michael Richardson <<a href="mailto:mcr@sandelman.ca" target="_blank">mcr@sandelman.ca</a>>:<br>
<br>
> <br>
> Serg via bind-users <<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a>> wrote:<br>
>     > As an alternative approach I have tried to run with a configuration<br>
>     > "listen-on-v6 { any; }", but it does behave in a way I need - it binds<br>
>     > separate socket for each discovered IP address rather wildcard address<br>
>     > of [::].<br>
> <br>
> Bind needs to bind a new socket for each address so that it can easily know<br>
> which address is being communicated with.  While there are newer ways to do<br>
> this, they aren't that portable.<br>
> <br>
> What is the problem with binding to all the addresses, if you then filter<br>
> which addresses will actually respond?<br>
> <br>
> Many large authoritative resolvers put the anycast address on the lo, and then use<br>
> BGP to announce connectivity, and AFAIK, they all just listen on all<br>
> addresses, because sometimes you want to ask a specific server a question.<br>
-- <br>
Visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
ISC funds the development of this software with paid support subscriptions. Contact us at <a href="https://www.isc.org/contact/" rel="noreferrer" target="_blank">https://www.isc.org/contact/</a> for more information.<br>
<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</blockquote></div>