il bind non funzionerebbe a meno che allow-query sia "any"

13

Ho questo in /etc/named.conf, ho commentato i valori predefiniti e impostato il mio sotto di esso. Il mio dominio non verrebbe caricato nel browser a meno che non imposti allow-query su "any", va bene, cosa devo modificare? If is localhosto 127.0.0.1; 10.0.1.0/24;domain non si carica. Ho provato la cosa 127 .. perché l'ha menzionata qui: http://wiki.mandriva.com/en/Testing:Bind

La versione di bind è 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 Il sistema operativo è CentOS 6.0.

options {
        // listen-on port 53 { 127.0.0.1; };
        listen-on port 53 { any; };
        //listen-on-v6 port 53 { ::1; };
        listen-on-v6 port 53 { any; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        //allow-query     { localhost; };
        allow-query     { any; };

        recursion yes;

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";
};
bind  query 
Adriantnt
fonte

Risposte:

13

Quando ascolti 127.0.0.1 o localhost o :: 1 e / o consenti query solo da localhost, il bind risponderà solo alle query provenienti dallo stesso computer che esegue il bind. (In questo modo "testare" probabilmente perché probabilmente intendevano solo testare quel legame funziona senza aprirlo all'esterno per motivi di sicurezza.)

È normale impostarli su "qualsiasi" in modo che sia accessibile dall'esterno.

Sandman4
fonte
Alcuni articoli online menzionano che potrebbe essere esposto ad attacchi DOS se "qualsiasi". Se ho capito bene.
adrianTNT,
1
Bene, anche se è vero, senza "alcuno" non funzionerà;)
Sandman4
1
A proposito, qual è il tuo scopo del server? È solo autorevole per alcune zone? Chi dovrebbe essere in grado di accedere al tuo server?
Sandman4,
È un sito di hosting di immagini, ospiterà più domini sullo stesso IP. Domain è su godaddy dove ho impostato due "host" ns1.domain ns2.domain e ho associato questi NS al mio IP server.
adrianTNT,
1
Ok, quindi dovrebbe essere accessibile dall'esterno. Quindi deve essere "qualsiasi". E è meglio impostare "no ricorsione" se si ha paura degli attacchi. Ma Godaddy non ti fornisce i nameserver?
Sandman4,
3

Se il server DNS è un server di memorizzazione nella cache locale, impostare

allow-query { <your subnet>; };

nelle opzioni. E, in ciascuna zona:

allow-query { any; };

Se non lo si utilizza come server di memorizzazione nella cache, impostarlo su nessuna opzione;

allow-query { none; };

Fondamentalmente, non vuoi che il tuo server risponda a domini che non sei autorevole.

RSD
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.