Как закрыть BIND на вдс снаружи?

Все что связано с доменными именами

Модераторы: Art.i, garry

Как закрыть BIND на вдс снаружи?

Сообщение bla » Пт фев 04, 2011 1:59 pm

Недавно заметил что BIND на вдс спокойно обрабатывает запросы на днс-резолв снаружи, от любого клиента. FreeBSD 6

Код: выделить все
C:\Documents and Settings\Admin>nslookup
Default Server:  ns.intal.uz
Address:  84.54.64.34

> server 62.109.15.***
Default Server:  no.domain
Address:  62.109.15.***

> ya.ru
Server:  no.domain
Address:  62.109.15.***

Non-authoritative answer:
Name:    ya.ru
Addresses:  213.180.204.3, 77.88.21.3, 87.250.250.3, 87.250.251.3
          93.158.134.3


Мне в принципе не жалко :) но все же интересно, как это грамотно прикрыть?
bla
 
Сообщений: 13
Зарегистрирован: Ср окт 14, 2009 11:11 am

Сообщение swg » Пт фев 04, 2011 2:22 pm

Да, я это уже относил к проблемам безопасности на форуме.
Править named.conf, НО:
в список "доверенных" (tusted) добавить сервера FirstVDS, которые будут спрашивать ваш сервер, если вы их используете.

acl "trusted"
{
127.0.0.1;
62.109.*.*;
62.109.*.*;
85.*.*.*/20;
89.*.*.*/24;
};
...
options {
...
allow-transfer
{
trusted;
};
allow-query
{
any;
};
allow-recursion
{
trusted;
};
listen-on
{
127.0.0.1;
62.109.*.*;
62.109.*.*;
};
...
};
swg
флудит форум
 
Сообщений: 2386
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Сообщение bla » Пт фев 04, 2011 4:25 pm

swg, если честно, я совсем не знаком с BIND, и ваш совет мне не совсем понятен. Приведенных вами опций в конфиге нет, даже закомментированных.

acl "trusted"
{
127.0.0.1;
62.109.*.*;
62.109.*.*;
85.*.*.*/20;
89.*.*.*/24;
};


Какие конкретно подсети сюда вписывать? DNS снаружи мне абсолютно не нужен, только резолв изнутри. И соответственно нужно не нарушить обмен с ns-серверами firstvds, я использую их. Я так понимаю тут нужен ип вдс и ипы/подсеть высших днс.

allow-query
{
any;
};


Может стоит и тут вписать trusted? не?

listen-on
{
127.0.0.1;
62.109.*.*;
62.109.*.*;
};


Этот момент мне тоже не совсем понятен. Это ведь интерфейсы на которых будет слушать BIND?
bla
 
Сообщений: 13
Зарегистрирован: Ср окт 14, 2009 11:11 am

Сообщение ls » Пт фев 04, 2011 4:57 pm

Просто рекурсию запретите извне да и все, нашим серверам которые настроены как slave по отношению к вашему рекурсия не требуется, они делают трансфер зоны

options {
allow-recursion 127.0.0.1;
};
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6405
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: Как закрыть BIND на вдс снаружи?

Сообщение Лена » Пт фев 04, 2011 6:22 pm

bla писал(а):BIND на вдс спокойно обрабатывает запросы на днс-резолв снаружи, от любого клиента. FreeBSD 6
как это грамотно прикрыть?
В файле /var/named/etc/namedb/named.conf после строки "options {" вставить:
recursion no;
allow-query { none; };
После чего дать команду
rndc reload

bla писал(а):DNS снаружи мне абсолютно не нужен, только резолв изнутри.
Резолв изнутри идет не через ваш BIND, а к указанным в /etc/resolv.conf

bla писал(а):И соответственно нужно не нарушить обмен с ns-серверами firstvds, я использую их.
Не нарушится.

ls писал(а):allow-recursion 127.0.0.1;
Это не нужно, если в /etc/resolv.conf не указан 127.0.0.1
Лена
Cool UNIX administrator
 
Сообщений: 810
Зарегистрирован: Вс дек 09, 2007 1:36 pm
Откуда: Киев

Сообщение bla » Вс фев 06, 2011 1:33 am

Большое спасибо за помощь. Совсем запрещать рекурсию и запросы не стал, мало ли какой софт/скрипт захочет юзать локальный днс. Сделал так:

Код: выделить все
allow-recursion {
127.0.0.1;
62.109.15.***;.
};
allow-query {
127.0.0.1;
62.109.15.***;
};.


В итоге работает так, как хотел. Снаружи выдает Query refused, изнутри резолвится как обычно.
bla
 
Сообщений: 13
Зарегистрирован: Ср окт 14, 2009 11:11 am

Сообщение Лена » Вс фев 06, 2011 2:23 am

bla писал(а):мало ли какой софт/скрипт захочет юзать локальный днс.
Не может такого быть. В юниксах NS на localhost - необычное явление. Операционная система предоставляет интерфейс для запросов, какие NS этот интерфейс спрашивает - в FreeBSD указывается в /etc/resolv.conf
Лена
Cool UNIX administrator
 
Сообщений: 810
Зарегистрирован: Вс дек 09, 2007 1:36 pm
Откуда: Киев


Вернуться в DNS

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1