bind würde nicht funktionieren, wenn allow-query nicht "any" ist

13

Ich habe dies in /etc/named.conf, habe die Standardwerte kommentiert und meine eigenen darunter gesetzt. Meine Domain würde nicht in den Browser geladen, wenn ich allow-query nicht auf "any" setze. Ist das in Ordnung? Was soll ich bearbeiten? Wenn ist localhostoder 127.0.0.1; 10.0.1.0/24;Domain nicht geladen würde. Ich habe das 127 .. Ding ausprobiert, weil es hier erwähnt wurde: http://wiki.mandriva.com/en/Testing:Bind

Bind-Version ist 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 Betriebssystem ist CentOS 6.0.

options {
        // listen-on port 53 { 127.0.0.1; };
        listen-on port 53 { any; };
        //listen-on-v6 port 53 { ::1; };
        listen-on-v6 port 53 { any; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        //allow-query     { localhost; };
        allow-query     { any; };

        recursion yes;

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";
};
adrianTNT
quelle

Antworten:

13

Wenn Sie 127.0.0.1 oder localhost oder :: 1 abhören und / oder nur die Abfrage von localhost zulassen, wird bind nur auf Abfragen antworten, die von demselben Computer stammen, auf dem bind ausgeführt wird. (Dies wurde beim "Testen" eingestellt, wahrscheinlich, weil sie nur testen wollten, ob das Binden funktioniert, ohne es aus Sicherheitsgründen nach außen zu öffnen.)

Es ist normal, diese auf "any" zu setzen, damit von außen darauf zugegriffen werden kann.

Sandman4
quelle
In einigen Online-Artikeln wurde erwähnt, dass es DOS-Angriffen ausgesetzt sein könnte, wenn "welche". Wenn ich es richtig verstanden habe
adrianTNT
1
Nun, auch wenn das stimmt, ohne "irgendetwas" wird es nicht funktionieren;)
Sandman4
1
Übrigens, was ist Ihr Server-Zweck? Ist es nur für einige Ihrer Zonen maßgebend? Wer sollte auf Ihren Server zugreifen können?
Sandman4
Es handelt sich um eine Image-Hosting-Site, auf der mehrere Domains auf derselben IP-Adresse gehostet werden. Die Domain ist bei godaddy, wo ich zwei "Hosts" ns1.domain ns2.domain festgelegt und diese NS mit meiner Server-IP verknüpft habe.
adrianTNT
1
Ok, so sollte es von außen zugänglich sein. Also muss es "any" sein. Und Sie sollten "Rekursion nein" einstellen, wenn Sie Angst vor Angriffen haben. Aber stellt dir Godaddy keine Nameserver zur Verfügung?
Sandman4
3

Wenn Ihr DNS-Server ein lokaler Caching-Server ist, legen Sie fest

allow-query { <your subnet>; }; 

in Optionen. Und in jeder Zone:

allow-query { any; };

Wenn Sie ihn nicht als Caching-Server verwenden, setzen Sie die Option auf none.

allow-query { none; };

Grundsätzlich möchten Sie nicht, dass Ihr Server auf Domains antwortet, für die Sie nicht autorisiert sind.

rsd
quelle
-3

Sei vorsichtig - das ist nicht wahr:

Wenn Sie ihn nicht als Caching-Server verwenden, setzen Sie die Option auf none.

allow-query { none; };

Ein solcher Server antwortet nicht auf ein Paket, auch nicht für Domänen, für die er autorisiert ist.

Dalibor Straka
quelle