bind no funcionaría a menos que allow-query sea "any"

13

Tengo esto en /etc/named.conf, comenté los valores predeterminados y configuré los propios debajo. Mi dominio no se cargará en el navegador a menos que establezca allow-query en "any", ¿está bien? ¿Qué debo editar? Si es localhosto el 127.0.0.1; 10.0.1.0/24;dominio no se cargaría. Probé la cosa 127 ... porque lo mencionó aquí: http://wiki.mandriva.com/en/Testing:Bind

La versión de Bind es 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 OS es CentOS 6.0.

options {
        // listen-on port 53 { 127.0.0.1; };
        listen-on port 53 { any; };
        //listen-on-v6 port 53 { ::1; };
        listen-on-v6 port 53 { any; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        //allow-query     { localhost; };
        allow-query     { any; };

        recursion yes;

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";
};
adrianTNT
fuente

Respuestas:

13

Cuando escuche 127.0.0.1 o localhost o :: 1, y / o permita la consulta solo de localhost, bind responderá solo a las consultas que se originen en la misma computadora que ejecuta bind. (Se estableció de esta manera en "pruebas" probablemente porque probablemente solo tenían la intención de probar que el enlace funciona sin abrirlo al exterior por razones de seguridad).

Es normal establecerlos en "cualquiera" para que sea accesible desde el exterior.

Sandman4
fuente
Algunos artículos en línea mencionaron que podría estar expuesto a ataques de DOS si "alguno". Si entendí correctamente.
adrianTNT
1
Bueno, incluso si eso es cierto, sin "ninguno" no funcionará;)
Sandman4
1
Por cierto, ¿cuál es el propósito de su servidor? ¿Es solo autoritario para algunos de su zona? ¿Quién debería poder acceder a su servidor?
Sandman4
Es un sitio de alojamiento de imágenes, alojará múltiples dominios en la misma IP. El dominio está en godaddy, donde configuré dos "hosts" ns1.domain ns2.domain y asocié estos NS con la IP de mi servidor.
adrianTNT
1
Ok, entonces debería ser accesible desde afuera. Por lo tanto, debe ser "cualquiera". Y es mejor que establezca "recursividad no" si tiene miedo de los ataques. ¿Pero no te proporciona godaddy servidores de nombres?
Sandman4
3

Si su servidor DNS es un servidor de almacenamiento en caché local, configure

allow-query { <your subnet>; }; 

en opciones Y, en cada zona:

allow-query { any; };

Si no lo está utilizando como servidor de almacenamiento en caché, configúrelo en las opciones en ninguno;

allow-query { none; };

Básicamente, no desea que su servidor responda a dominios que no tiene autoridad.

rsd
fuente
-3

Tenga cuidado, esto no es cierto:

Si no lo está utilizando como servidor de almacenamiento en caché, configúrelo en las opciones en ninguno;

allow-query { none; };

Tal servidor no responde a ningún paquete, incluso para dominios para los que tiene autoridad.

Dalibor Straka
fuente