DNS reverso sem classe com recursão - BIND

1

Estou executando o BIND 9.8.2rc1-RedHat-9.8.2-0.30.rc1.el6 no CentOS 6.6. A única zona é para o DNS reverso sem classe, que foi delegado.

Não sou um especialista em DNS ou BIND, mas pelo que entendi, o DNS reverso sem classe requer recursão.

Com a recursão definida como "qualquer", o servidor retorna registros PTR corretos, mas também funciona como um servidor DNS aberto, o que não é desejado. Com a recursão definida como localhost, todas as consultas são negadas.

Recursão de qualquer:

64.19.199.56

Server: slcdns1.redacted.com Address: 64.19.199.55 Aliases: 55.199.19.64.in-addr.arpa

Non-authoritative answer: 56.199.19.64.in-addr.arpa canonical name = 56.0-127.199.19.64.in-addr.arpa

56.0-127.199.19.64.in-addr.arpa name = slcdns2.redacted.com

0-127.199.19.64.in-addr.arpa nameserver = slcdns1.redacted.com 0-127.199.19.64.in-addr.arpa nameserver = slcdns2.redacted.com slcdns1.redacted.com internet address = 64.19.199.55 slcdns2.redacted.com internet address = 64.19.199.56

Host local de recursão:

64.19.199.56

Server: slcdns1.redacted.com Address: 64.19.199.55 Aliases: 55.199.19.64.in-addr.arpa

*** slcdns1.redacted.com can't find 56.199.19.64.in-addr.arpa.: Query refused[/CODE]

Alguma ideia de como posso conseguir isso para responder a consultas para a zona reversa sem funcionar como um servidor aberto? Além disso, o comportamento correto da primeira consulta é não autoritativo?

named.conf:
options {
    listen-on port 53 { 10.10.1.55; };
    directory       "/var/named";
    dump-file       "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named_stats.txt";
    memstatistics-file "/var/named/data/named_mem_stats.txt";
    bindkeys-file "/etc/named.iscdlv.key";
    managed-keys-directory "/var/named/dynamic";
};

logging {
    channel default_debug {
            file "data/named.run";
            severity debug;
    };
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

view "outsiderev" {
empty-zones-enable no;
allow-recursion { 127.0.0.1; };
allow-query { none; };
additional-from-auth no;
additional-from-cache no;

zone "0-127.199.19.64.in-addr.arpa" {
    type master;
    file "/var/named/64.19.199.rev";
    allow-update {
            10.10.1.56;
            };
    allow-query {
            any;
            };
    allow-transfer {
            10.10.1.56;
            };
    notify yes;
    };

    zone "." IN {
    type hint;
    file "named.ca";
    };

zone "redacted.com" {
    type master;
    file "/var/named/redacted.com.hosts";
    allow-update {
            10.10.1.56;
            };
    allow-query {
            any;
            };
    notify yes;
    allow-transfer {
            10.10.1.56;
            };
    };

zone "0.0.127.in-addr.arpa" {
    type master;
    file "/var/named/127.0.0.rev";
    allow-update {
            none;
            };
    allow-query {
            none;
            };
    };

zone "localhost" in{
type master;
file "master.localhost";
   };

};

Arquivo de zona:

$ORIGIN 0-127.199.19.64.IN-ADDR.ARPA.

@ IN SOA slcdns1.redacted.com. administrator.redacted.com. (

                   1379648159

                   10800

                   3600

                   604800

                   38400 )

@ IN NS slcdns1.redacted.com.

@ IN NS slcdns2.redacted.com.

55 IN PTR slcdns1.redacted.com.

56 IN PTR slcdns2.redacted.com.

... ... ...

    
por sbmechanics 14.11.2014 / 00:13

1 resposta

0

Seu servidor já está se comportando exatamente como você deseja, mas você não está consultando o host local. Use 127.0.0.1 ou localhost para o servidor de nomes que você consulta. Se você usou localhost, ele diria localhost, e não slcdns1.redacted.com na saída.

Além disso, ao fazer perguntas sobre o DNS, é frustrante quando o questionador tenta mascarar os domínios e / ou IPs. Você sempre pode voltar mais tarde e editar os nomes de domínio reais.

Ninguém aqui saberia automaticamente que você substituiu o diamedic.net pelo redacted.com, já que o redacted.com é um site real e qualquer teste que as pessoas aqui tentem fazer falhará. A maioria das pessoas não se incomodará em ajudar se você tornar desnecessariamente difícil.

Se você insistir em mascará-lo, existem nomes de domínio bem definidos em RFC 2606 e endereços IP em RFC 5737 que deve ser usado.

Editar: você não precisa de recursão para seus registros PTR. Você precisa de recursão se quiser que seu servidor de nomes retorne resultados de outros servidores de nomes.

    
por 14.11.2014 / 02:09

Tags