Bind a odesilani nekterych dotazu pres primarni IP

Filip Huška filip.huska at coolhousing.net
Thu Oct 1 11:50:57 CEST 2009 

Filip Huška
filip.huska at coolhousing.net



On Oct 1, 2009, at 11:28 AM, Dan Lukes wrote:

> Filip Huška napsal/wrote, On 10/01/09 10:16:
>> DNS ma 2 ip adresy : primarni a aliasy, dejme tomu A, B jako alias.
>> Na prvnim aliasu bezi BIND v chrootu, ze zakladni instalace.
>>   listen-on { 127.0.0.1; B; };
> ...
>> query-source address B port 53;
>
> Je na okraj, "fixni port" byl nedavno napaden jako konfigurace  
> zvysujici sanci uspesneho podvrzeni odpovedi.
Ja vim, to uz byla posledni sance jak to dohledat. Jinak je v konfigu  
na port *.
>
>
>> Co me trapi, ze kdyz na primaru DNS povolim ipcko B, pak se  
>> sesyncrhonizuji jen nektere zony z IPv6 {cely prenos mezi nimi je  
>> na IPv4}.
>> Kdyz na primarnim DNS povolim A i B, sesynchronizuji se vsechny zony.

> Ty zony se v necem proste lisi. Bohuzel, peclivou snahou  
> anonymizovat, abychom se nahodou nedozvedeli neco citliveho, se  
> nemuzeme podivat ani na ty veci, ktere by z nasi strany snadno  
> zjistitelne byly. Tudiz ej to ciste na tobe.
>
> Vem proste zonu, ze ktere to jde a zonu, ze ktere to nejde, vem  
> konfigurace z obou stran a k tomu to, jak jsou tyto zony  
> nadelegovane v nadrazene zone a hledej rozdil. Az ho najdes, mas  
> odpoved.
>
> Je to tak trocha obdoba toho, co jsem psal pred chvili. Ty  
> nameservery jsou, podle vseho, zcela verejne delegovane. Komunikuji  
> s celym svetem. Neptas se nas an nic bezpecnostne citliveho. Tak  
> nechapu, proc mas potrebu komplikovat nam "moznost poradit" tim, ze  
> tajis, co se da. Nevim, co by to kdokoliv z nas tady mohl provest  
> horsiho, nez ti budou mnohokrat denne provadet zcela rutinne  
> probihajici utocici procesy spustene na mnoha pocitacich celeho sveta.
Mno Ok, ja jen nechtel vystavovat zbytecne IPcka v konferach.  Mam 3  
nameservery, 2 linux, treti F-BSD. Jen F-BSD to dela.

Zony  - nebudu je vypisovat vsechny, IPv6 se zreplikuje, IPv4 ne ...  
konfig dle meho stejny :

zone "2.0.0.0.0.f.5.0.1.0.a.2.ip6.arpa" {
         type slave;
         masters {
                 87.236.192.5;
         };
         file "/etc/namedb/slaves/db.2a01.05f0.0002";
};

zone "143.187.89.in-addr.arpa" {
         type slave;
         masters {
                 87.236.192.5;
         };
         file "/etc/namedb/slaves/db.89.187.143";
};

named.conf.options :

acl bogusnet { 0.0.0.0/8; 1.0.0.0/8; 2.0.0.0/8; 10.0.0.0/8;  
172.16.0.0/12; 192.168.0.0/16; 192.0.2.0/24; 224.0.0.0/3; };
acl tento_pocitac { 127.0.0.0/24; 193.86.2.211; };

options {
         directory       "/etc/namedb";
         pid-file        "/var/run/named/pid";
         dump-file       "/var/dump/named_dump.db";
         statistics-file "/var/stats/named.stats";

         listen-on {
         127.0.0.1;
         193.86.2.211;
         };
         allow-recursion { tento_pocitac; };
         blackhole { bogusnet; };
         query-source address 193.86.2.211 port *;
         auth-nxdomain no;    # conform to RFC1035
         };


Sit ...
sk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu  
1500
	options=b<RXCSUM,TXCSUM,VLAN_MTU>
	ether 00:0a:5e:5c:a5:e3
	inet6 fe80::20a:5eff:fe5c:a5e3%sk0 prefixlen 64 scopeid 0x1
	inet 193.86.2.210 netmask 0xfffffff0 broadcast 193.86.2.223
	inet 193.86.2.211 netmask 0xfffffff0 broadcast 193.86.2.223
        .....

Problem : dotazy na Master na 87.236.192.5 odchazeji z 193.86.2.211 i  
z 193.86.2.210. Kdyz povolim jen 211, tak se zreplikuje jen cast IPv6  
zaznamu.
Kdyz povolim obe IP na DNS1 primaru, tak se zreplikuji vsechny.

f.

>
> 				Dan
>
> -- 
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
>

More information about the Users-l mailing list