bind не працює, якщо запит дозволу "будь-який"

13

У мене це є в /etc/named.conf, я прокоментував значення за замовчуванням і встановив свої власні під ним. Мій домен не завантажуватиметься у веб-переглядачі, якщо я не встановлю допуск-запит на "будь-який", це нормально, що я повинен редагувати? Якщо є localhostабо 127.0.0.1; 10.0.1.0/24;домен не завантажуватиметься. Я спробував 127 .. річ, тому що вона згадувала тут: http://wiki.mandriva.com/en/Testing:Зв’язати

Версія прив’язки - 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 ОС - це CentOS 6.0.

options {
        // listen-on port 53 { 127.0.0.1; };
        listen-on port 53 { any; };
        //listen-on-v6 port 53 { ::1; };
        listen-on-v6 port 53 { any; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        //allow-query     { localhost; };
        allow-query     { any; };

        recursion yes;

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";
};
bind  query 
adrianTNT
джерело

Відповіді:

13

Коли ви слухаєте 127.0.0.1 або localhost або :: 1 та / або дозволяєте запит лише від localhost, bind відповість лише на запити, що надходять з того самого комп’ютера, на якому працює bind. (Це встановлено таким чином у "тестуванні", ймовірно, тому, що вони, ймовірно, просто мали намір перевірити, що зв'язування працює, не відкриваючи його назовні з міркувань безпеки.)

Нормально встановити їх на "будь-яке", щоб воно було доступне ззовні.

Пісочник4
джерело
Деякі статті в Інтернеті згадували, що він може зазнати атак DOS, якщо "є". Якщо я правильно зрозумів.
adrianTNT
1
Ну, навіть якщо це правда, без "жодного" це не вийде;)
Sandman4
1
До речі, яка мета вашого сервера? Це авторитетно лише для вашої зони? Хто повинен мати доступ до вашого сервера?
Sandman4
Це веб-сайт хостингу зображень, він буде розміщувати кілька доменів на одному IP. Домен знаходиться в godaddy, де я встановив два "хости" ns1.domain ns2.domain і пов'язав ці NS з моїм IP-сервером.
adrianTNT
1
Гаразд, тому воно повинно бути доступне ззовні. Таким чином, він повинен бути "будь-яким". І вам краще встановити "рекурсію ні", якщо ви боїтесь атак. Але хіба godaddy не надає серверів імен для вас?
Sandman4
3

Якщо ваш DNS-сервер є локальним сервером кешування, встановіть

allow-query { <your subnet>; };

у варіантах. І в кожній зоні:

allow-query { any; };

Якщо ви не використовуєте його як кешування-сервер, встановіть його в опціях не;

allow-query { none; };

В основному, ви не хочете, щоб ваш сервер відповідав на домени, які ви не авторитетні.

rsd
джерело
-3

Будьте уважні - це неправда:

Якщо ви не використовуєте його як кешування-сервер, встановіть його в опціях не;

allow-query { none; };

Такий сервер не відповідає жодному пакету, навіть для доменів, для яких він є авторитетним.

Далібор Страка
джерело
Якоб Еванс
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.