As consultas da zona DNS RPZ estão sendo "recusadas"

1

Estou testando o recurso Zona da Política de Resposta BIND em nosso servidor DNS de laboratório. Nós rodamos um servidor RHEL 6 com o BIND 9.8.2. Eu segui as instruções aqui mas não consigo fazê-lo funcionar. Aqui está o que eu sei:

1) O servidor DNS responde a consultas de hosts encontrados em outras zonas

2) Minha zona RPZ é carregada com sucesso, como pode ser visto aqui:

Jan 28 12:00:13 labdns named[26564]: zone rpz/IN: loaded serial 2015012816

Mas aqui está o que eu vejo em / var / log / messages quando procuro por um domínio encontrado na zona RPZ:

Jan 28 11:52:54 labdns named[26060]: client 192.168.254.202#38524: query (cache) 'x99moyu.net/A/IN' denied

Eu já vi esse comportamento antes, mas apenas quando você tem recursão desativada e consulta um host que não é encontrado em um arquivo de zona. Aqui está o meu arquivo db da zona RPZ:

$TTL 86400
@       IN SOA   localhost. root.localhost. (

                            2015012816      ; serial
                                    3600    ; refresh
                                    1800    ; retry
                                    604800  ; expire
                                    86400   ; minimum
)

@                               IN      NS        lab.testdns.net.

; Response Policy for x99moyu.net
x99moyu.net                 IN      A       127.0.0.1
                            IN      AAAA    ::1
; Response Policy for ix99moyu.net
ix99moyu.net                IN      A       127.0.0.1
                            IN      AAAA    ::1
; Response Policy for duobao369.com
duobao369.com               IN      A       127.0.0.1
                            IN      AAAA    ::1

Eu tentei colocar pontos na frente e atrás dos nomes de domínio, mas isso não ajudou e as instruções dizem para não usar pontos de qualquer maneira.

Aqui está o meu arquivo /etc/named.conf:

//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND    named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver   only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration     files.
//

options {
    listen-on port 53 { 192.168.155.128; }; #Master DNS Servers IP
    listen-on-v6 port 53 { ::1; };
    directory       "/var/named";
    dump-file       "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named.stats";
    memstatistics-file "/var/named/data/named_mem_stats.txt";
    allow-query     { localhost; 192.168.155.0/24; 192.168.254.0/23;    192.168.160.0/24; }; # IP range of hosts
    allow-transfer  { localhost; 192.168.254.202; }; # Slave DNS     server
    recursion no;

    dnssec-enable yes;
    dnssec-validation yes;
    dnssec-lookaside auto;
    zone-statistics yes;

    /* Path to ISC DLV key */
    bindkeys-file "/etc/named.iscdlv.key";

    managed-keys-directory "/var/named/dynamic";

    response-policy { zone "rpz"; };
};

logging {
    channel default_debug {
            file "data/named.run";
            severity dynamic;
    };
    channel rpz-queries {
    file "/var/log/bind/rpz.log" versions 10 size 50m;
    severity info;
};
    category rpz {
    rpz-queries;
    };
};

zone"rpz" IN {
type master;
file "/var/named/db.rpz";
notify yes;
allow-update { none; };
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

Não sei como avançar ou como depurar isso ainda mais. Qualquer ajuda é apreciada.

EDIT - Aqui está a saída de um comando dig. É aqui que vejo a mensagem "recusada"

dig @192.168.155.128 x99moyu.net

; <<>> DiG 9.10.3-P2-RedHat-9.10.3-7.P2.fc22 <<>> @192.168.155.128   x99moyu.net
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 51880
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;x99moyu.net.           IN  A

;; Query time: 1 msec
;; SERVER: 192.168.155.128#53(192.168.155.128)
;; WHEN: Thu Jan 28 12:30:08 CST 2016
;; MSG SIZE  rcvd: 40
    
por user53029 28.01.2016 / 19:27

1 resposta

2

Pelo que eu posso dizer, o problema não parece envolver RPZ, mas sim que você tem uma configuração que depende de recursão (isto é, parece que você espera processar consultas por nomes que não são em qualquer uma das suas próprias zonas?) mas você tem a recursão desativada em sua configuração.

recursion no;

Agora, tecnicamente, a pesquisa do nome específico na consulta teria sido cancelada por meio de sua configuração RPZ, mas a consulta é recusada antes disso, pois a recursão está desativada e a parte do nome consultado de uma das suas zonas.

    
por 28.01.2016 / 19:59