Lemat, strona domowa Say NO to Microsoft Office broken standard

Konfiguracja Binda

Przed chwilą spotkałem się z sytuacją, kiedy to właściciel serwera DNS skarżył się na ogromną ilość logów generowaną w krótkim okresie czasu, co doprowadza do niestabilnego działania Binda. Moim podejrzeniem jest, że jego serwer jest używany jako cache dns dla przypadkowych klientów. Poniżej postaram się przedstawić konfigurację serwera DNS (bind 9) obsługującego zarówno domeny (lemat.priv.pl) jak i cache dla sieci lokalnej (za NATem).

Pierwsza rzecz jaką robimy to tworzymy dwa widoki w named.conf - sieć lokalna "internal" i cała reszta "external":

view "internal" {
 match-clients { 192.168.0.0/24; 127.0.0.0/8; };
 allow-query { 192.168.0.0/24; 127.0.0.0/8; };
 allow-transfer { none; };
 allow-notify { none; };
 allow-recursion { 192.168.0.0/24; 127.0.0.0/8; };
 recursion yes;
 
zone "." {
 type hint;
 file "named.ca";
 };
 
zone "0.0.127.in-addr.arpa" {
 type master;
 file "named.local";
 };
 
zone "0.168.192.in-addr.arpa" {
 type master;
 file "named.192.168.0";
 };
 
zone "lemat.priv.pl" {
 notify no;
 type master;
 file "intern.lemat.priv.pl";
 };
};

view "external" {
 match-clients { any; };
 recursion no;
 allow-query { none; };
 allow-transfer { key "ns1-ns3"; };
 allow-notify { key "ns1-ns3"; };
 
zone "lemat.priv.pl" {
 type master;
 notify yes;
 file "extern.lemat.priv.pl";
 allow-query { any; };
 };
};

Czemu to robimy - chodzi o to, aby sieć wewnętrzna - tu na przykładzie 192.168.0.0/24 oraz sam serwer 127.0.0.1:

  • miała większe uprawnienia niż sieć zewnętrzna
  • miała inną konfigurację stref oraz miała ich więcej

Ważna jest kolejność, najpierw "internal", potem "external" - bo zakres IP w opcji match-clients dla internal jest podzbiorem tej samej opcji w external. Można oczywiście zamienić miejscami i w external wykluczyć (match-clients { !192.168.0.0/24; any; };) sieć wewnętrzną.

A teraz kilka słów wytłumaczenia:

  • match-clients zawiera zakresy IP, które dokonują podziału na sieć wewnętrzną i resztę świata.
  • allow-query w tym przypadku "internal" identyczne jak match-clients definiuje kto uzyska odpowiedź na swoje pytania. W przypadku "external" najpierw jest "none" a potem w definicji konkretnej strefy jest "all". Od binda 9.4.2 w górę ma to znaczenie.
  • allow-transfer i allow-notify zawiera adresy IP albo klucze dla secondary DNSa (o tym napiszę później).
  • allow-recursion i recursion yes/no definiuje zachowanie serwera DNS jeżeli nie znajdzie w keszu odpowiedzi. Przy włączonym recursion serwer sam jej poszuka. Przy wyłączonym powie tylko gdzie klient powinien poszukać - zwalenie roboty na inny serwer oczywiście odciąży nasz i ma znaczenie dla bezpieczeństwa naszego serwera.

Strefy w danych widokach - jak widać w internal jest ich więcej, przede wszystkim jest tam strefa typu hint ".", co pozwoli klientowi znaleźć główne serwery DNS jeżeli nasz nie będzie mu wystarczał. Następnie są tam domeny odwrotne dla sieci lokalnych i localhosta - to nie powinno być widoczne z seci zewnętrznych prawda? Na końcu jest strefa domeny lemat.priv.pl - zauważcie, że wprawdzie w external też jest ta domena, ale różni się ona nazwa pliku strefy.

Dla internal:

$TTL 86400 ; 1 day
@ IN SOA ns1.lemat.priv.pl. root.lemat.priv.pl. (
  2007010500 ; Serial
  86400 ; Refresh 24h
  3600 ; Retry 1h
  604800 ; Expire 1 week
  86400 ) ; Minimum 1 day
  
  IN NS ns1
  IN A 192.168.0.1
  IN MX 10 mail
  IN TXT "v=spf1 mx -all"
  
ns1 IN A 192.168.0.1
ns2 IN A 83.17.15.82
athlon IN A 192.168.0.1
www CNAME @
mail IN A 192.168.0.1
arch IN A 192.168.0.2
ubuntu IN A 192.168.0.12

Dla external:

$TTL 86400 ; 1 day
@ 86400 IN SOA ns1.lemat.priv.pl. root.lemat.priv.pl. (
 2007011600 ; Serial
 86400 ; Refresh 12h
 900 ; Retry 15min
 604800 ; Expire 1 week
 86400 ) ; Minimum 1 day
 
 604800 IN NS ns1
 604800 IN NS ns2
 IN A 83.19.156.142
 7200 IN MX 10 mail
 604800 IN TXT "v=spf1 mx -all"
 
* 604800 IN TXT "v=spf1 -all"
ns1 604800 IN A 83.19.156.142
ns2 604800 IN A 83.17.15.82
mail 7200 IN A 83.19.156.142
www CNAME @

Jak widać plik dla sieci wewnętrznej zawiera podobne wpisy jak przy external, ale jest ich więcej - dochodzą hosty w sieci lokalnej. Oraz ich rekordy A są lokalne.

Data utworzenia : 2007-01-28, data aktualizacji :2009-01-17
Skomentuj ten tekst
2008-08-28 23:42:49lamer_do_ntej
Konfiguracja Binda
Ja przepraszac. Juz wiedziec. Opis Twoj dotyczy sytuacji jak sa dwie karty sieciowe: siec zewnetrzna i wewnetrzna, a jak jest tylko jeden, to też, ale... i tu jest wlasnie to, co zle zapamietalem, a potem jeszcze gorzej dospiewalem. Jak jest jeden to tworzymy alias do karty sieciowej i juz mamy dwa, a potem jest jak w artykule. Do firewalla zaraz dojde, tylko zakoncze temat DNSa (jak widac juz blisko)i apache'a (to moze troche dalej). Dzieki za odpowiedz. Pozdrawiam
2008-08-28 22:38:14lamer_do_ntej
Konfiguracja Binda
Po pierwsze gratuluje strony. A teraz do rzeczy. Fajnie, ze napisales ten tekst. Wlasnie tego szukalem. Super sprawa jak jest serwer poczty w DMZ i DNS musi odpowiednio odpowiadac na pytania w zaleznosci od tego skad pochodza. Szukam tez innego tematu, a widzac Twoja wiedze i poziom odwiedzajacych zapytam: czy ktos wie o zabezpieczeniu DNSa w ten sposob, by ten przekierowywal 'brzydkie' zapytania na interface sieciowy, za ktorym nic nie ma? Przepraszam, ze tak nieprecyzyjnie pytam, ale raz to uslyszalem i nie zapamietalem o co dokladnie chodzi. Moze za to wiecie o co mi chodzi?
Odp.: hmm, nie wiem o co chodzi i co rozumiesz pod pojęciem "brzydkie zapytania". Jeżeli chodzi o "przekierowywanie" to kojarzy mi się iptables, a jak "brzydkie pakiety" to może o iptables -j TARPIT ?
2007-12-12 21:23:48kordi
bind internal / external
dzieki za ten skromny opis - przydal sie ;-)
Protected by spf
UWAGA lisy roznoszą wściekliznę!
[Nospam-PL.NET]
© Lemat 2004 - ∞ engine:Lemat
info@seminar.pl.ua przedstawicielstwo@tiscali.it