bind9 configuração de recursão apropriada

Question

bind9 configuração de recursão apropriada

#1 resposta do (3 votos)

5

Se eu remover a recursão, não consigo resolver domínios externos, mas ainda posso resolver domínios que estão no servidor DNS.

Qual é a maneira correta de configurar a recursão corretamente para que os domínios externos ainda possam ser resolvidos sem deixar o servidor DNS aberto?

named.conf.options

options {
    version "One does not simply get my version";

    directory "/var/cache/bind";

    // If there is a firewall between you and nameservers you want
    // to talk to, you may need to fix the firewall to allow multiple
    // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

    // If your ISP provided one or more IP addresses for stable
    // nameservers, you probably want to use them as forwarders.
    // Uncomment the following block, and insert the addresses replacing
    // the all-0's placeholder.

    // forwarders {
    //      0.0.0.0;
    // };

    //========================================================================
    // If BIND logs error messages about the root key being expired,
    // you will need to update your keys.  See https://www.isc.org/bind-keys
    //========================================================================
    dnssec-validation yes;

    auth-nxdomain no;
    listen-on-v6 { any; };
    allow-recursion { any; };
    allow-query {
            any;
            };
    allow-query-cache { any; };
    notify yes;
    dnssec-enable yes;
    dnssec-lookaside . trust-anchor dlv.isc.org.;
    also-notify {
            };
};

Eu também adicionei em sub-redes internas para permitir recursão {sub-rede / xx; }; mas ainda incapazes de resolver domínios externos.

bind linux domain-name-system ubuntu

por Tsukasa 08.10.2014 / 22:13

1 resposta

Tags bind linux domain-name-system ubuntu

Linux: É possível saber com quais opções uma instalação foi configurada e compilada? Cisco 877 como um servidor VPN?

score 3 · Accepted Answer

Filtre quem pode consultar DNS recursivamente e quem não está com ACLs.

acl my_net { 
    192.168.1.0/24;
};

acl my_other_net {
    10.0.0.0/8;
};

options {

    [ ... ]


    recursion yes;

    allow-recursion { my_net; };
    blackhole { my_other_net; };

};

Além disso, configure a filtragem de ingressos ( BCP 84 ) / de saída em seu gateway para evitar que pacotes UDP falsificados cheguem até você. rede e gerar tráfego inesperado ou envenenamento. Peças não confiáveis da Blackhole de sua infra-estrutura local.