URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 24317
[ Назад ]

Исходное сообщение
"Безопастность ДНС "
Отправлено globus , 20-Дек-02 12:51

привет всем !
хочу обезопасить свой ДНС (пересылка зон только "своим", ответ на запрос только "своим" и тд)
для этого делаю так, правлю файл /etc/namedb/named.conf
acl "trust" {
             a.b.c.d/27; --моя подсеть
             127.0.0.1
           };
acl "prov"  {
             a.b.f.g;--- первый ДНС прова
             a.b.g.e;--- второй ДНС прова
           };
options {
          <skip>
         allow-query {trust;};
         allow-transfer {trust; prov;};
           };
потом по SSH захожу на тачку друга, который находиться в ДРУГОЙ ПОДСЕТИ (реальной) и спокойно nslookups-ом забираю свои зоны :(
что не так в настройках ???
пробовал allow-query {trust;};  allow-transfer {trust; prov;};
прописывать в зонных параметрах, всеравно ничего ...
(в логах ошибок нет )
Подскажите ??? где ошибка

Содержание

RE: Безопастность ДНС ,lavr, 13:14 , 20-Дек-02
- RE: Безопастность ДНС ,globus, 10:13 , 23-Дек-02
  - RE: Безопастность ДНС ,globus, 10:27 , 23-Дек-02
RE: БезопаСНость ДНС :),trin, 10:25 , 23-Дек-02
- RE: БезопаСНость ДНС :),globus, 10:43 , 23-Дек-02

Сообщения в этом обсуждении

"RE: Безопастность ДНС "
Отправлено lavr , 20-Дек-02 13:14

>привет всем !
>хочу обезопасить свой ДНС (пересылка зон только "своим", ответ на запрос только
>"своим" и тд)
>
>для этого делаю так, правлю файл /etc/namedb/named.conf
>acl "trust" {
>
> a.b.c.d/27; --моя подсеть
>
> 127.0.0.1
>           };
>
>acl "prov"  {
>
> a.b.f.g;--- первый ДНС прова
>
> a.b.g.e;--- второй ДНС прова
>           };
>
>options {
>          <skip>
>         allow-query {trust;};
>         allow-transfer {trust; prov;};
>
>           };
>
>
>потом по SSH захожу на тачку друга, который находиться в ДРУГОЙ ПОДСЕТИ
>(реальной) и спокойно nslookups-ом забираю свои зоны :(
>
>что не так в настройках ???
>
>пробовал allow-query {trust;};  allow-transfer {trust; prov;};
>прописывать в зонных параметрах, всеравно ничего ...
>(в логах ошибок нет )
>Подскажите ??? где ошибка
почему ответ на запрос только своим!? за свою зону не будешь отвечать?
http://www.cymru.com/Documents/secure-bind-template.html

"RE: Безопастность ДНС "
Отправлено globus , 23-Дек-02 10:13

>>привет всем !
>>хочу обезопасить свой ДНС (пересылка зон только "своим", ответ на запрос только
>>"своим" и тд)
>>
>>для этого делаю так, правлю файл /etc/namedb/named.conf
>>acl "trust" {
>>
>> a.b.c.d/27; --моя подсеть
>>
>> 127.0.0.1
>>           };
>>
>>acl "prov"  {
>>
>> a.b.f.g;--- первый ДНС прова
>>
>> a.b.g.e;--- второй ДНС прова
>>           };
>>
>>options {
>>          <skip>
>>         allow-query {trust;};
>>         allow-transfer {trust; prov;};
>>
>>           };
>>
>>
>>потом по SSH захожу на тачку друга, который находиться в ДРУГОЙ ПОДСЕТИ
>>(реальной) и спокойно nslookups-ом забираю свои зоны :(
>>
>>что не так в настройках ???
>>
>>пробовал allow-query {trust;};  allow-transfer {trust; prov;};
>>прописывать в зонных параметрах, всеравно ничего ...
>>(в логах ошибок нет )
>>Подскажите ??? где ошибка
>
>почему ответ на запрос только своим!? за свою зону не будешь отвечать?
>
>
>http://www.cymru.com/Documents/secure-bind-template.html
да действительно при такой конфигурации письма перестали ходить

"RE: Безопастность ДНС "
Отправлено globus , 23-Дек-02 10:27

кому можно разрешит allow-query ?? кроме локальной сети и провайдеров ?
Или это делается так
--- в option пишется allow-query доверенным лицам
--- в описании зоны всем ?
--- в описании зоны трансфер запретить ??

"RE: БезопаСНость ДНС :)"
Отправлено trin , 23-Дек-02 10:25

>привет всем !
>хочу обезопасить свой ДНС (пересылка зон только "своим", ответ на запрос только
>"своим" и тд)
>
>для этого делаю так, правлю файл /etc/namedb/named.conf
>acl "trust" {
>
> a.b.c.d/27; --моя подсеть
>
> 127.0.0.1
>           };
>
>acl "prov"  {
>
> a.b.f.g;--- первый ДНС прова
>
> a.b.g.e;--- второй ДНС прова
>           };
>
>options {
>          <skip>
>         allow-query {trust;};
>         allow-transfer {trust; prov;};
>
>           };
>
>
>потом по SSH захожу на тачку друга, который находиться в ДРУГОЙ ПОДСЕТИ
>(реальной) и спокойно nslookups-ом забираю свои зоны :(
>
>что не так в настройках ???
>
>пробовал allow-query {trust;};  allow-transfer {trust; prov;};
>прописывать в зонных параметрах, всеравно ничего ...
>(в логах ошибок нет )
>Подскажите ??? где ошибка
1 - Какая версия BIND?
2 - Конфиг точно так приведен, как в реальности (cut-paste?)
3 - Что говорит named-checkconf и named-checkzone?
Подробно и точно. А лучше прочитать, как и посоветовал lavr ;))

"RE: БезопаСНость ДНС :)"
Отправлено globus , 23-Дек-02 10:43

>>привет всем !
>>хочу обезопасить свой ДНС (пересылка зон только "своим", ответ на запрос только
>>"своим" и тд)
>>
>>для этого делаю так, правлю файл /etc/namedb/named.conf
>>acl "trust" {
>>
>> a.b.c.d/27; --моя подсеть
>>
>> 127.0.0.1
>>           };
>>
>>acl "prov"  {
>>
>> a.b.f.g;--- первый ДНС прова
>>
>> a.b.g.e;--- второй ДНС прова
>>           };
>>
>>options {
>>          <skip>
>>         allow-query {trust;};
>>         allow-transfer {trust; prov;};
>>
>>           };
>>
>>
>>потом по SSH захожу на тачку друга, который находиться в ДРУГОЙ ПОДСЕТИ
>>(реальной) и спокойно nslookups-ом забираю свои зоны :(
>>
>>что не так в настройках ???
>>
>>пробовал allow-query {trust;};  allow-transfer {trust; prov;};
>>прописывать в зонных параметрах, всеравно ничего ...
>>(в логах ошибок нет )
>>Подскажите ??? где ошибка
>
>1 - Какая версия BIND?
верси 9.2.1
>2 - Конфиг точно так приведен, как в реальности (cut-paste?)
конфиг как в начале ...
>3 - Что говорит named-checkconf и named-checkzone?
ничего не говорят, ошибок не показывают ...
>
>Подробно и точно. А лучше прочитать, как и посоветовал lavr ;))
Доку я почитал ... вопросы уже по доке (там на английском, что немного не удобно для меня ...)