Powiązanie nie działałoby, chyba że zapytanie „allow” jest

13

Mam to w /etc/named.conf, skomentowałem wartości domyślne i ustawiłem pod nimi własne. Moja domena nie ładowałaby się w przeglądarce, chyba że ustawię „allow-query” na „any”, czy to OK, co powinienem edytować? Jeśli jest localhostlub 127.0.0.1; 10.0.1.0/24;domena nie ładuje się. Próbowałem 127 .. rzecz, ponieważ wspomniałem o tym tutaj: http://wiki.mandriva.com/en/Testing:Bind

Wersja powiązania to 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 System operacyjny to CentOS 6.0.

options {
        // listen-on port 53 { 127.0.0.1; };
        listen-on port 53 { any; };
        //listen-on-v6 port 53 { ::1; };
        listen-on-v6 port 53 { any; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        //allow-query     { localhost; };
        allow-query     { any; };

        recursion yes;

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";
};
bind query adrianTNT
źródło

Odpowiedzi:

13

Gdy nasłuchujesz 127.0.0.1 lub localhost lub :: 1 i / lub zezwalasz tylko na zapytania z localhost, bind będzie odpowiadać tylko na zapytania pochodzące z tego samego komputera, na którym działa bind. (Ustawiono to w „testowaniu” prawdopodobnie dlatego, że prawdopodobnie po prostu zamierzali przetestować, czy wiązanie działa bez otwierania go na zewnątrz ze względów bezpieczeństwa.)

Ustawienie ich na „dowolne” jest normalne, aby było dostępne z zewnątrz.

Sandman4
źródło
Niektóre artykuły online wspomniały, że może być narażone na ataki DOS, jeśli „jakiekolwiek”. Jeśli dobrze zrozumiałem.
adrianTNT
1
Cóż, nawet jeśli to prawda, bez „żadnego” to nie zadziała;)
Sandman4,
1
Btw, jaki jest twój cel serwera? Czy jest to autorytatywne tylko dla niektórych twoich stref? Kto powinien mieć dostęp do twojego serwera?
Sandman4,
Jest to witryna hostująca obrazy, która będzie hostować wiele domen pod tym samym adresem IP. Domena jest na chrzestnym, gdzie ustawiłem dwa „hosty” ns1.domain ns2.domain i powiązałem te NS z adresem IP mojego serwera.
adrianTNT
1
Ok, więc powinien być dostępny z zewnątrz. Zatem musi być „dowolny”. I lepiej ustawić „rekursję nie”, jeśli boisz się ataków. Ale czy chrzestny nie zapewnia dla ciebie serwerów nazw?
Sandman4,
3

Jeśli Twój serwer DNS jest lokalnym serwerem buforowania, ustaw

allow-query { <your subnet>; };

w opcjach. I w każdej strefie:

allow-query { any; };

Jeśli nie używasz go jako serwera buforującego, ustaw opcję na none;

allow-query { none; };

Zasadniczo nie chcesz, aby serwer odpowiadał na domeny, które nie są wiarygodne.

rsd
źródło
-3

Uważaj - to nieprawda:

Jeśli nie używasz go jako serwera buforującego, ustaw opcję na none;

allow-query { none; };

Taki serwer nie odpowiada na żaden pakiet, nawet w przypadku domen, dla których jest autorytatywny.

Dalibor Straka
źródło
RTFM zytrax.com/books/dns/ch7/queries.html#allow-query-cache
Jacob Evans