Как закрыть BIND на вдс снаружи?

[bla]

Недавно заметил что BIND на вдс спокойно обрабатывает запросы на днс-резолв снаружи, от любого клиента. FreeBSD 6

Код: выделить все

C:\Documents and Settings\Admin>nslookup
Default Server:  ns.intal.uz
Address:  84.54.64.34

> server 62.109.15.***
Default Server:  no.domain
Address:  62.109.15.***

> ya.ru
Server:  no.domain
Address:  62.109.15.***

Non-authoritative answer:
Name:    ya.ru
Addresses:  213.180.204.3, 77.88.21.3, 87.250.250.3, 87.250.251.3
          93.158.134.3


Мне в принципе не жалко :) но все же интересно, как это грамотно прикрыть?

[swg]

Да, я это уже относил к проблемам безопасности на форуме.
Править named.conf, НО:
в список "доверенных" (tusted) добавить сервера FirstVDS, которые будут спрашивать ваш сервер, если вы их используете.

acl "trusted"
{
127.0.0.1;
62.109.*.*;
62.109.*.*;
85.*.*.*/20;
89.*.*.*/24;
};
...
options {
...
allow-transfer
{
trusted;
};
allow-query
{
any;
};
allow-recursion
{
trusted;
};
listen-on
{
127.0.0.1;
62.109.*.*;
62.109.*.*;
};
...
};

[bla]

swg, если честно, я совсем не знаком с BIND, и ваш совет мне не совсем понятен. Приведенных вами опций в конфиге нет, даже закомментированных.

acl "trusted"
{
127.0.0.1;
62.109.*.*;
62.109.*.*;
85.*.*.*/20;
89.*.*.*/24;
};

Какие конкретно подсети сюда вписывать? DNS снаружи мне абсолютно не нужен, только резолв изнутри. И соответственно нужно не нарушить обмен с ns-серверами firstvds, я использую их. Я так понимаю тут нужен ип вдс и ипы/подсеть высших днс.

allow-query
{
any;
};

Может стоит и тут вписать trusted? не?

listen-on
{
127.0.0.1;
62.109.*.*;
62.109.*.*;
};

Этот момент мне тоже не совсем понятен. Это ведь интерфейсы на которых будет слушать BIND?

[ls]

Просто рекурсию запретите извне да и все, нашим серверам которые настроены как slave по отношению к вашему рекурсия не требуется, они делают трансфер зоны

options {
allow-recursion 127.0.0.1;
};

[Лена]

BIND на вдс спокойно обрабатывает запросы на днс-резолв снаружи, от любого клиента. FreeBSD 6
как это грамотно прикрыть?

В файле /var/named/etc/namedb/named.conf после строки "options {" вставить:
recursion no;
allow-query { none; };
После чего дать команду
rndc reload

DNS снаружи мне абсолютно не нужен, только резолв изнутри.

Резолв изнутри идет не через ваш BIND, а к указанным в /etc/resolv.conf

И соответственно нужно не нарушить обмен с ns-серверами firstvds, я использую их.

Не нарушится.

allow-recursion 127.0.0.1;

Это не нужно, если в /etc/resolv.conf не указан 127.0.0.1

[bla]

Большое спасибо за помощь. Совсем запрещать рекурсию и запросы не стал, мало ли какой софт/скрипт захочет юзать локальный днс. Сделал так:

Код: выделить все

allow-recursion {
127.0.0.1;
62.109.15.***;.
};
allow-query {
127.0.0.1;
62.109.15.***;
};.

В итоге работает так, как хотел. Снаружи выдает Query refused, изнутри резолвится как обычно.

[Лена]

мало ли какой софт/скрипт захочет юзать локальный днс.

Не может такого быть. В юниксах NS на localhost - необычное явление. Операционная система предоставляет интерфейс для запросов, какие NS этот интерфейс спрашивает - в FreeBSD указывается в /etc/resolv.conf