Bind9 zakazanie requestov mimo zony

Uz sa par hodin trapim s tym ako nakonfigurovat BIND 9.6-ESV-R4. Ide o to, ze ho neustale flooduje rozne IP cez udp, co im az tak nevadi, horsie je, ze nasledne na to flooduje tento ns server ine nska a robi zbytocn traffic do zahranicia. 1Mb udp dsn flood dokaze pri open nsku vytvorit az 20Mb outgoing traffic.
Problem je, ze ked zakazem v named.conf.options, ci uz cez komentovanie allow-query { any; }; alebo dam none, alebo pridam recursion no; dostanem potom hlasku pri requeste na domenu v zone refused. Pritom domeny mam v named.conf.local povolene vsetky cez allow-transfer {}; a allow-query { any; };. Pre kazdu domenu zvlast.
Aby som aspon ciastocne zamedzil udp floodu hlavne z mojej strany potreboval by som, aby Bind9 akceptoval len requesty na domeny, ktore ma vo svojich db suboroch (je to master server pre vsekty z nich).

Předmět	Autor	Datum
- do (globálních) options dáš allow-query, allow-update, allow-transfer na none (tím vypneš caching)… touchwood 30.03.2013 17:10	touchwood	30.03.2013 17:10
Lenze tak to mam. named.conf.options je includovany v named.conf a je tam allow-query-cache { none;… fleg 30.03.2013 17:27	fleg	30.03.2013 17:27
mně to funguje.. nějak jsem se ztratil, kde je tedy aktuálně problém? > brmbomoto.sk Server: ns1.n4… touchwood 30.03.2013 20:06	touchwood	30.03.2013 20:06
V hlaseni mojich XP *** Nelze najˇt n zev serveru pro adresu 92.240.244.22: Query refused fleg 31.03.2013 12:22	fleg	31.03.2013 12:22
sorry, ale nejsi směroplatný.. :-) C:\>nslookup brmbomoto.sk ns1.n4all.net Server: UnKnown Address:… touchwood 31.03.2013 15:43	touchwood	31.03.2013 15:43
UDP flood som nakoniec vyriesil obmedzenim poctu spojeni. # Requests per second RQS="15" # Reques… poslední fleg 31.03.2013 18:39	fleg	31.03.2013 18:39

- do (globálních) options dáš allow-query, allow-update, allow-transfer na none (tím vypneš caching)
- do jednotlivých primárních zón pak dáš allow-query any, allow-update none (nebo vynecháš) a allow-transfer pouze na své sekundáry.

Lenze tak to mam.
named.conf.options je includovany v named.conf a je tam
allow-query-cache { none; };
allow-query { none; };

Potom mam named.conf.local, ten je tiez includovany v named.conf a tam mam samotnu domenu.
zone "brmbomoto.sk" {
type slave;
masters { 92.240.244.23; };
file "/etc/bind/db.brmbomoto.sk";
allow-transfer {};
allow-query { any; };
};

Ano az teraz som si vsimol, ze som sa poplietol a ide len o sekundarne nsko, ale to nemeni nic na fakte, ze ked dam request odpoved je zamietnuta.
C:\Documents and Settings\fleg>nslookup brmbomoto.sk ns1.n4all.net
*** Nelze najˇt n zev serveru pro adresu 92.240.244.22: Query refused Server: UnKnown Address: 92.240.244.22 N zev: brmbomoto.sk Address: 92.240.244.23 Vlastne teraz som to skusil z linux servera a tam odpoved v pohode dostanem...som z toho jelen.

mně to funguje.. nějak jsem se ztratil, kde je tedy aktuálně problém?

> brmbomoto.sk
Server:  ns1.n4all.net
Address:  92.240.244.22

Nazev:   brmbomoto.sk
Address:  92.240.244.23

V hlaseni mojich XP *** Nelze najˇt n zev serveru pro adresu 92.240.244.22: Query refused

sorry, ale nejsi směroplatný..

C:\>nslookup brmbomoto.sk ns1.n4all.net
Server:  UnKnown
Address:  92.240.244.22

Nazev:   brmbomoto.sk
Address:  92.240.244.23

UDP flood som nakoniec vyriesil obmedzenim poctu spojeni.

# Requests per second
RQS="15"
# Requests per 7 seconds
RQH="35"
iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --set --name DNSQF --rsource
iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --update --seconds 1 --hitcount ${RQS} --name DNSQF --rsource -j DROP
iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --set --name DNSHF --rsource
iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --update --seconds 7 --hitcount ${RQH} --name DNSHF --rsource -j DROP

Zpět do poradny Odpovědět na původní otázku Nahoru