Forum Debian Users Gang

psiezul · 2011-05-13 09:14:53

Witam,
Mam taki problemik a raczej niedogodność. Ktoś (chyba go znam), ustawił w swoim dns-ie przekierowanie na mój dns (prawdopodobnie jako zapasowy?), w każdym razie dostaję w logach masę zapytań o konkretną domenę, której nie obsługuję.

log z named.log

Kod:

13-May-2011 09:05:44.614 queries: info: client x.x.x.x#59763: query: y.y.org IN A -

log z messages

Kod:

May 13 09:05:44 localhost named[6293]: security: client x.x.x.x#59763: query (cache) 'y.y.org/A/IN' denied

Rozmumiem, że log w messages mówi mi, że zapytanie jest ubite? :)

Dla natrętów z jednego ip mógłbym skonfigurować allow-query. Teraz mam ustawione na any, ale problem w tym, że odpytują różne kompy a ja chcę zablokować odpytywanie konkretnej nazwy aby mi nie zapychały logów odmowną odpowiedzią da się?

Pzdr

Jacekalex · 2011-05-13 09:42:31

Wyłączyć przekazywanie zapytań do innych serwerów?
Ze względów bezpieczeństwa binda nie zostawia sie równocześnie jako cache dns i primary/secondary dns.

Czyli wywalić/zakomentować sekcję

Kod:

forwarders {
........
};

w named.conf

Ja bym tak zrobił, a pacjent nie odczyta z Twojego binda informacji, której ten bind nie ma skąd zdobyć.

I się oduczy korzystania z cudzego serwera :D

Ostatnio edytowany przez Jacekalex (2011-05-13 09:43:05)

psiezul · 2011-05-13 10:13:55

dzięki za info.
Nie mam sekcji forwarders :) w named.conf
Facet nie odpytuje więc mu to pewnie wisi ale inni ludzie którzy szukają domeny a on najpewniej ma ustawione jakies przekierowanie na mój serwer dns, więc jak ktoś szuka tej domeny to odpytują mój serwer (chłopak tu pracował więc sobie wykorzystywał ten serwer dla własnych celów najpewniej). Moje pytanie czy jest taka możliwość zablokowania odpytywania na konkretną nazwę bo nie spotkałem się z takim rozwiązaniem.

allow-recursion mam ustawione na moje sieci wewnętrzne, więc z zewnątrz nikt z tego dns-a do wyszukiwania innych nazw niż umieszczone w moich strefach nie odczyta. Jego ustawienie po prostu zawala mi logi zapytaniami o domenę nie z mojej sieci i chcę się tego pozbyć w kulturalny sposób :)

pzdr

Jacekalex · 2011-05-13 12:06:57

A firewallem leszcza nie da rady?

Jeśli to jeden adres IP lub kilka z maską np /24, to w czym problem?

Ostatnio edytowany przez Jacekalex (2011-05-13 12:08:06)

psiezul · 2011-05-13 14:21:59

Chyba się nie rozumiemy :),
Zapytania przychodzą z wielu adresów to co podałem był tylko wycinkiem z logów. Wydaje mi się, że po prostu gość ma ustawione w swoim dns-ie że jesli chcą adres x to niech szukają u mnie a u mnie nie znajdują. Dostaję coś takiego z wielu adresów ip

Kod:

May 13 14:12:49 localhost named[6293]: security: client 217.74.65.135#48425: query (cache) 'y.y.org/A/IN' denied
May 13 14:12:50 localhost named[6293]: security: client 89.228.7.226#17344: query (cache) 'y.y.org/A/IN' denied
May 13 14:12:50 localhost named[6293]: security: client 217.172.224.165#54807: query (cache) 'y.y.org/A/IN' denied
.....

Trudno zablokować ip bo jest ich wiele i myślałem o sposobie który blokuje po wyszukiwanej nazwie domeny 'y.y.org' da się?
Nie da się tego zrobić chyba na firewallu bo trzeba by filtrować zawartość pakietu na port 53. Myślałem, że może jest jakiś mechanizm odnośnie samego Binda. Mógłbym załatwić to skryptem awt który czyści logi z tych wpisów ale myślałem o czymś bezpośrednim :)

pzdr

Forum Debian Users Gang

Ogłoszenie

#1 2011-05-13 09:14:53

psiezul - Użytkownik

bind - jak zablokować odpytywanie serwera na konkretną nazwe domeny

Kod:

Kod:

#2 2011-05-13 09:42:31

Jacekalex - Podobno człowiek...;)

Re: bind - jak zablokować odpytywanie serwera na konkretną nazwe domeny

Kod:

#3 2011-05-13 10:13:55

psiezul - Użytkownik

Re: bind - jak zablokować odpytywanie serwera na konkretną nazwe domeny

#4 2011-05-13 12:06:57

Jacekalex - Podobno człowiek...;)

Re: bind - jak zablokować odpytywanie serwera na konkretną nazwe domeny

#5 2011-05-13 14:21:59

psiezul - Użytkownik

Re: bind - jak zablokować odpytywanie serwera na konkretną nazwe domeny

Kod:

Stopka forum