Strona 1 z 1

BIND i serwer nazw

: 30 lipca 2013, 11:26
autor: makman
Witam.

Niedawno zainstalowałem Debiana 7.1 i pomyślałem, że dobrze by było uruchomić buforujący serwer nazw. Zainstalowałem BINDA wraz z domyślną konfiguracją i działał poprawnie, buforował zapytania itp.

Ostatnio mam jednak problem bo wygląda na to, że jest podatny: na:

Kod: Zaznacz cały

cache poisoning

W logach mam non stop:

Kod: Zaznacz cały

Jul 28 07:35:11 server named[2360]: client 127.0.0.1#49836: RFC 1918 response from Internet for 104.x.168.192.in-addr.arpa
Jul 28 07:35:16 server named[2360]: client 127.0.0.1#59410: RFC 1918 response from Internet for 105.x.168.192.in-addr.arpa
Jul 28 07:35:21 server named[2360]: client 127.0.0.1#55143: RFC 1918 response from Internet for 102.x.168.192.in-addr.arpa
A po ustawieniu /etc/bind/named.conf.options:
allow-recursion { 192.168.x.0/24;};

Kod: Zaznacz cały

Jul 29 12:55:47 server named[30628]: client 127.0.0.1#53530: query (cache) '122.x.168.192.in-addr.arpa/PTR/IN' denied
Jul 29 12:55:52 server named[30628]: client 127.0.0.1#34685: query (cache) '51.x.168.192.in-addr.arpa/PTR/IN' denied
Jul 29 12:55:57 server named[30628]: client 127.0.0.1#57556: query (cache) '191.x.168.192.in-addr.arpa/PTR/IN' denied
Kiedyś miałem już podobny problem ale dało się to zablokować przez iptables, ale tym razem nic nie daje.

Edycja:
Witam.

Użyłem środowiska chroot dla binda według tego skryptu:

Kod: Zaznacz cały

#!/bin/bash
# Author: Omar AKHAM ([email protected]) 2012
## Install a chrooted Bind9 on Debian (Squeeze tested) script
## Source : [URL]http://wiki.debian.org/Bind9#Bind_Chroot[/URL]

#install bind9
apt-get install bind9 bind9utils &&

#Stop bind service
/etc/init.d/bind9 stop

#Switch Bind9 to use the chroot
sed -i 's/OPTIONS="-u bind"/OPTIONS="-u bind -t \/var\/bind9\/chroot"/g' /etc/default/bind9

#Create chroot
mkdir -p /var/bind9/chroot/{etc,dev,var/cache/bind,var/run/bind/run}
chown -R bind:bind /var/bind9/chroot/var/*
mknod /var/bind9/chroot/dev/null c 1 3
mknod /var/bind9/chroot/dev/random c 1 8
chmod 660 /var/bind9/chroot/dev/{null,random}

#Move config file to chroot
mv /etc/bind /var/bind9/chroot/etc
ln -s /var/bind9/chroot/etc/bind /etc/bind

chown -R bind:bind /etc/bind/*

#Set correct PIDFILE
sed -i 's/PIDFILE=\/var\/run\/named\/named.pid/PIDFILE=\/var\/bind9\/chroot\/var\/run\/named\/named.pid/g'  /etc/init.d/bind9

#Tell rsyslog to listen to the bind logs in the correct place
echo "\$AddUnixListenSocket /var/bind9/chroot/dev/log" > /etc/rsyslog.d/bind-chroot.conf

#Start services
/etc/init.d/rsyslog restart;
/etc/init.d/bind9 start

Wiem, że powinienem to zrobić na samym początku.

Poszło bez błędów tylko nie wiem jak sprawdzić, czy działa teraz w wydzielonym środowisku.

Chyba po jego uruchomieniu powinienem mieć w "/etc/default/bind9" coś jak:

Kod: Zaznacz cały

-u bind -t \/var\/bind9\/chroot
a jest dalej tak jak było.

Ale w logach dalej mam:

Kod: Zaznacz cały

30-Jul-2013 11:08:48.252 client 127.0.0.1#39562: query (cache) '109.x.168.192.in-addr.arpa/PTR/IN' denied
30-Jul-2013 11:08:53.433 client 127.0.0.1#35385: query (cache) '51.x.168.192.in-addr.arpa/PTR/IN' denied
30-Jul-2013 11:08:58.458 client 127.0.0.1#37911: query (cache) '1.x.168.192.in-addr.arpa/PTR/IN' denied