Jump to content
Local
lemosh

Обратная зона DNS

Recommended Posts

Настроил свой ДНС сервер (bind). настроил обратную зону для блока своих IP-адресов (BGP. /24 сеть). Все работает. А как теперь передать "всем остальным" ДНС-серверам PTR-записи с моего DNS сервера? 

Share this post


Link to post
Share on other sites

Всем спасибо! Суть понятна, буду делать ;)

Share this post


Link to post
Share on other sites

Адреса в аренде, ответ от арендодателя пришел такой:

К сожалению, согласно внутренней политике нашей организации мы не передаем управление DNS. 
В том числе, для того, чтобы избежать злоупотребления со стороны клиента из-за отсутсвия опыта или какой-либо другой причины.

Для того, чтобы делегировать управление обратными зонами на ваш ДНС мне необходимо, чтобы вы прислали минимум 2 ДНС сервера в 
формате FQDN, настроенных на прием обратных зон. Оба DNS сервера должны отвечать на запросы из-вне по TCP.

Поднял 2 сервера с bind: master и slave. Локально все работает.

С мира вижу открыты порты TCP/53 и UDP/53

 

Не могу немного понять параметры в настройках bind:

        allow-query     { localhost; А.В.С.0/24;};
        allow-transfer { any; };

allow-query - это кому можно отвечать по порту UDP/53?
allow-transfer - тут прописываю кому можно отдавать мою зону?
 
А.В.С.0/24 - моя белая сетка. Хочу чтобы на запросы ДНС сервер отвечал только моих клиентам, для других сетей был недоступен. А зоны мог бы отдать всем желающим. Правильно ли я сделал настройки этих параметров в bind? 
 

Share this post


Link to post
Share on other sites

 

Адреса в аренде, ответ от арендодателя пришел такой:

К сожалению, согласно внутренней политике нашей организации мы не передаем управление DNS. 
В том числе, для того, чтобы избежать злоупотребления со стороны клиента из-за отсутсвия опыта или какой-либо другой причины.

Для того, чтобы делегировать управление обратными зонами на ваш ДНС мне необходимо, чтобы вы прислали минимум 2 ДНС сервера в 
формате FQDN, настроенных на прием обратных зон. Оба DNS сервера должны отвечать на запросы из-вне по TCP.

Поднял 2 сервера с bind: master и slave. Локально все работает.

С мира вижу открыты порты TCP/53 и UDP/53

 

Не могу немного понять параметры в настройках bind:

        allow-query     { localhost; А.В.С.0/24;};
        allow-transfer { any; };

allow-query - это кому можно отвечать по порту UDP/53?
allow-transfer - тут прописываю кому можно отдавать мою зону?
 
А.В.С.0/24 - моя белая сетка. Хочу чтобы на запросы ДНС сервер отвечал только моих клиентам, для других сетей был недоступен. А зоны мог бы отдать всем желающим. Правильно ли я сделал настройки этих параметров в bind? 
 

 

 allow-query { any; }; - Отвечать нужно всем
 allow-transfer { xxx.xxx.xxx.xxx; yyy.yyy.yyy.yyy; }; - Тут IP адреса ваших слейвов.
Edited by Ромка

Share this post


Link to post
Share on other sites

Для глобальной конфигурации allow-query указали правильно.

Параметр allow-transfer - неверно. Здесь укажите IP, с которого slave будет коннектиться к master.

 

В описании домена параметр allow-query установите в значение any. Записи домена будем всем "отдавать" :)

Share this post


Link to post
Share on other sites

 

 

Адреса в аренде, ответ от арендодателя пришел такой:

К сожалению, согласно внутренней политике нашей организации мы не передаем управление DNS. 
В том числе, для того, чтобы избежать злоупотребления со стороны клиента из-за отсутсвия опыта или какой-либо другой причины.

Для того, чтобы делегировать управление обратными зонами на ваш ДНС мне необходимо, чтобы вы прислали минимум 2 ДНС сервера в 
формате FQDN, настроенных на прием обратных зон. Оба DNS сервера должны отвечать на запросы из-вне по TCP.

Поднял 2 сервера с bind: master и slave. Локально все работает.

С мира вижу открыты порты TCP/53 и UDP/53

 

Не могу немного понять параметры в настройках bind:

        allow-query     { localhost; А.В.С.0/24;};
        allow-transfer { any; };

allow-query - это кому можно отвечать по порту UDP/53?
allow-transfer - тут прописываю кому можно отдавать мою зону?
 
А.В.С.0/24 - моя белая сетка. Хочу чтобы на запросы ДНС сервер отвечал только моих клиентам, для других сетей был недоступен. А зоны мог бы отдать всем желающим. Правильно ли я сделал настройки этих параметров в bind? 
 

 

 allow-query { any; }; - Отвечать нужно всем
 allow-transfer { xxx.xxx.xxx.xxx; yyy.yyy.yyy.yyy; }; - Тут IP адреса ваших слейвов.

 

 

Если в глобальной конфигурации укажем allow-query { any; } - получим Open Resolver, который через короткое время начнут использовать для проведения DDoS...

Edited by muff

Share this post


Link to post
Share on other sites

Не путайте allow-query  и   allow-recursion   !!  Если у вас поднята зона , то allow-query { any } ;

Share this post


Link to post
Share on other sites

 

 

 

Адреса в аренде, ответ от арендодателя пришел такой:

К сожалению, согласно внутренней политике нашей организации мы не передаем управление DNS. 
В том числе, для того, чтобы избежать злоупотребления со стороны клиента из-за отсутсвия опыта или какой-либо другой причины.

Для того, чтобы делегировать управление обратными зонами на ваш ДНС мне необходимо, чтобы вы прислали минимум 2 ДНС сервера в 
формате FQDN, настроенных на прием обратных зон. Оба DNS сервера должны отвечать на запросы из-вне по TCP.

Поднял 2 сервера с bind: master и slave. Локально все работает.

С мира вижу открыты порты TCP/53 и UDP/53

 

Не могу немного понять параметры в настройках bind:

        allow-query     { localhost; А.В.С.0/24;};
        allow-transfer { any; };

allow-query - это кому можно отвечать по порту UDP/53?
allow-transfer - тут прописываю кому можно отдавать мою зону?
 
А.В.С.0/24 - моя белая сетка. Хочу чтобы на запросы ДНС сервер отвечал только моих клиентам, для других сетей был недоступен. А зоны мог бы отдать всем желающим. Правильно ли я сделал настройки этих параметров в bind? 
 

 

 allow-query { any; }; - Отвечать нужно всем
 allow-transfer { xxx.xxx.xxx.xxx; yyy.yyy.yyy.yyy; }; - Тут IP адреса ваших слейвов.

 

 

Если в глобальной конфигурации укажем allow-query { any; } - получим Open Resolver, который через короткое время начнут использовать для проведения DDoS...

 

Я имел ввиду именно в описании зоны.

/etc/bind$ cat named.conf.options
acl my_network {
        aaa.bbb.ccc.0/24;
        10.0.0.0/8;
        172.16.0.0/12;
        192.168.0.0/16;
        127.0.0.0/8;
        };

acl my_secondary {
        aaa.bbb.ccc.ddd;
        };

acl ripe_ncc {
        193.0.19.193/32;
        };

options {
    directory "/var/cache/bind";
    auth-nxdomain no;
    listen-on-v6 { none; };
    allow-transfer { my_secondary; };
    allow-query { my_network; ripe_ncc;  };
    allow-query-cache { my_network; ripe_ncc; };
};

cat named.conf.local
//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";


zone "zzz.yyy.xxx.in-addr.arpa" {
        type master;
        file "/var/lib/bind/zzz.yyy.xxx.rev";
        allow-query { any; };
        allow-transfer { my_secondary; ripe_ncc; };
        notify yes;
        };


Edited by Ромка

Share this post


Link to post
Share on other sites

Тут судя по всему ошибка в конфиге.

Попробуйте так:

zone "zzz.yyy.xxx.in-addr.arpa" {
        type master;
        file "/var/lib/bind/zzz.yyy.xxx.rev";
                options {
                        allow-query { any; };
                        allow-transfer { my_secondary; ripe_ncc; };
                        notify yes;
                };
        };

Share this post


Link to post
Share on other sites

 

Тут судя по всему ошибка в конфиге.

Попробуйте так:

zone "zzz.yyy.xxx.in-addr.arpa" {
        type master;
        file "/var/lib/bind/zzz.yyy.xxx.rev";
                options {
                        allow-query { any; };
                        allow-transfer { my_secondary; ripe_ncc; };
                        notify yes;
                };
        };

Слито с работающего DNS сервера

Share this post


Link to post
Share on other sites

в описании зоны все понятно. В глобальных настройках.

Вот мой текущий конфиг:

//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
// See the BIND Administrator's Reference Manual (ARM) for details about the
// configuration located in /usr/share/doc/bind-{version}/Bv9ARM.html

options {
        listen-on port 53 { 95.46.76.5; };
        forwarders { 8.8.8.8; 4.2.2.4; 8.8.4.4; 4.2.2.1; 208.67.222.222;};
        listen-on-v6 port 53 { none; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { localhost; 95.46.76.0/24;};
        allow-transfer { any; };

        /*
         - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
         - If you are building a RECURSIVE (caching) DNS server, you need to enable
           recursion.
         - If your recursive DNS server has a public IP address, you MUST enable access
           control to limit queries to your legitimate users. Failing to do so will
           cause your server to become part of large scale DNS amplification
           attacks. Implementing BCP38 within your network would greatly
           reduce such attack surface
        */
        recursion yes;

        dnssec-enable yes;
        dnssec-validation yes;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";

        pid-file "/run/named/named.pid";
        session-keyfile "/run/named/session.key";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };

zone "nasha.net.ua" {
        type master;
        file "nasha.net.ua";
        allow-transfer { 95.46.76.2; };
        allow-update { none; };
};
zone "76.46.95.in-addr.arpa" {
    type master;
    allow-transfer { 95.46.76.2; };
    file "76.46.95.nasha.net.ua";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

на втором сервере для зон соответственно прописано что слейв и получает от мастера конфигурацию зон

 

задача:

разрешить доступ к ДНС серверу по UDP/53 только моим клиентам, а к порту TCP/53 - райпу ну или всем желающим (???) для получения информации о моих зонах

Может этой фаирволом делать нужно? Или я что-то неправильно понимаю в этом всем?

Share this post


Link to post
Share on other sites

или достаточно разрешить доступ к зонам для трансфера для моего секондари сервера и 193.0.19.193/32; как в примере выше?

Share this post


Link to post
Share on other sites

Для глобальной конфигурации allow-query указали правильно.

Параметр allow-transfer - неверно. Здесь укажите IP, с которого slave будет коннектиться к master.

 

В описании домена параметр allow-query установите в значение any. Записи домена будем всем "отдавать" :)

 

 

выше мой полный конфиг, я так понял нужно сделать так:

//        allow-transfer { any; }; -- просто комментирую эту строку или изменить на none в глобальной конфигурации ???


zone "nasha.net.ua" {
        type master;
        file "nasha.net.ua";
        allow-transfer { 95.46.76.2; };
        allow-update { none; };
        allow-query { any;};
};
zone "76.46.95.in-addr.arpa" {
    type master;
    allow-transfer { 95.46.76.2; };
    file "76.46.95.nasha.net.ua";
    allow-query { any;};
};

а со слейвом что делать тогда?

также добавить в настройки зон  allow-query { any;};?

Share this post


Link to post
Share on other sites

Слейвы перечисляем в allow-transfer.

Share this post


Link to post
Share on other sites

Слейвы перечисляем в allow-transfer.

это понятно

на сервере в котором тип зоны указан слейв также нужно указать  allow-query { any;}; в параметрах зоны?

Share this post


Link to post
Share on other sites

Нашел вот такой ресурс: https://www.reg.ru/nettools/dig

указываю свой домен и адрес своего ДНС сервера - получаю ответ.

также получаю ответ от своего ДНС сервера через этот сайт на запрос 2.76.46.95.in-addr.arpa

На другие запросы с мира мой ДНС не отвечает, локально все работает. Судя по всему настроил все как и хотел

 

От RIPE приходит такое:

Modify FAILED: [domain] 76.46.95.in-addr.arpa

domain:         76.46.95.in-addr.arpa
descr:          **************************
nserver:        nss1.nasha.net.ua
nserver:        nss2.nasha.net.ua
admin-c:        ***************************
tech-c:        ************************
zone-c:         *************************
mnt-by:        **************************
source:         RIPE

***Error:   No common nameserver IP addresses between child () and parent
           (95.46.76.2; 95.46.76.5).

***Error:   Parent has nameserver(s) not listed at the child (nss1.nasha.net.ua;
           nss2.nasha.net.ua).

***Error:   None of the nameservers listed at the parent are listed at the
           child.

Не могу понять что они от меня хотят ;)

Share this post


Link to post
Share on other sites

так ваши nss обраткой не той светят :)

нужно сделать обратную зону для IP неймсерверов 95.46.76.5 - nss1.nasha.net.ua и 95.46.76.2 - nss1.nasha.net.ua. По-другому дела не будет?

Share this post


Link to post
Share on other sites

нужно сделать обратную зону для IP неймсерверов 95.46.76.5 - nss1.nasha.net.ua и 95.46.76.2 - nss1.nasha.net.ua. По-другому дела не будет?

Если экономите адреса, впишите ns'ы как mail.nasha.net.ua и www.nasha.net.ua соответственно.

Share this post


Link to post
Share on other sites

Вот у вас что нсы возвращают:

 

76.46.95.in-addr.arpa. 3600 IN SOA nss1.nasha.net.ua. admin.nasha.net.ua.76.46.95.in-addr.arpa. 201710248 3600 900 3600000 3600

2.76.46.95.in-addr.arpa. 3600 IN PTR nss2.nasha.net.ua.

76.46.95.in-addr.arpa. 3600 IN NS localhost.

 

Какая-то белеберда в SOA, должно быть без зачеркнутого. Потом NS должно быть две записи и указывать на реальные нсы зоны, а не на локалхост, тоже не то. После изменений не забывайте инкрементить серийный номер на единичку.

 

Еще TTL везде до 60 секунд опустите, а то запаритесь с обновлением записей. Т.е. вместо 3600 везде 60 и вместо 3600 900 3600000 3600 тоже 60 60 60 60.

Edited by ttttt

Share this post


Link to post
Share on other sites

Вот у вас что нсы возвращают:

 

76.46.95.in-addr.arpa. 3600 IN SOA nss1.nasha.net.ua. admin.nasha.net.ua.76.46.95.in-addr.arpa. 201710248 3600 900 3600000 3600

2.76.46.95.in-addr.arpa. 3600 IN PTR nss2.nasha.net.ua.

76.46.95.in-addr.arpa. 3600 IN NS localhost.

 

Какая-то белеберда в SOA, должно быть без зачеркнутого. Потом NS должно быть две записи и указывать на реальные нсы зоны, а не на локалхост, тоже не то. После изменений не забывайте инкрементить серийный номер на единичку.

 

Еще TTL везде до 60 секунд опустите, а то запаритесь с обновлением записей. Т.е. вместо 3600 везде 60 и вместо 3600 900 3600000 3600 тоже 60 60 60 60.

исправил....

 

 

А может RIPE ругаться еще из-за того что для домена nasha.net.ua неймсервер указан не мой сервер, а другой?? Домен старый, а сервер ДНС только сейчас решил поднять....

Share this post


Link to post
Share on other sites

 

 

Еще TTL везде до 60 секунд опустите, а то запаритесь с обновлением записей.
 

Шутите? Это ведь обратная зона! ​TTL в 60 секунд приведет к увеличению бесполезной нагрузки на ваш сервер, а если поразмыслить, то отрицательно повлияет и на нагрузку других устройств по всему миру. Берегите ресурсы планеты  :) 
 

Share this post


Link to post
Share on other sites

А может RIPE ругаться еще из-за того что для домена nasha.net.ua неймсервер указан не мой сервер, а другой?? Домен старый, а сервер ДНС только сейчас решил поднять....

Абсолютно всё равно ему.

 

PTR дело сугубо провайдера ответственно за зону.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By Yewhenyi
      Сетевой дисковый накопитель NAS D-Link DNS-320L ShareCenter на два жёстких диска и поддержкой сервиса mydlink.
       
      Рабочие!

      Имеются незначительные косметические изъяны - потёртости, царапинки. На работу не влияют.
       
      Комплектация полная.
       
      Цена 1350 грн./шт.
       
      Пересылка по Украине! Без предоплат! 
      В Киеве есть самовывоз в районе метро Минская.
      Отвечу на ваши вопросы по телефону +380997302055



    • By mangus79
      В процессе настройки UHW по доке нигде не указывается что нужен будет локальный днс сервер. Хотя это подразумевается, в строчке "option domain-name-servers 172.31.0.1;" при конфигурации global.template
      После того как все настроено, пользователь пытаясь открыть вконтактик, пытается отрезольвить доменное имя на 172.31.0.1, получает в ответ балалайку и никуда не редиректится фаерволом. Если попытаться вбить в браузер IP, то все редиректится и прекрасно работает.
      Вот таким образом я пришел к выводу что нужен локальный DNS сервер. Перед тем как осквернять рассово чистую настроенную систему, установкой нигде не документированного bind, прошу совета - вдруг я не прав и есть другой путь?
    • By Tormato
      Здравствуйте, 
      Есть два dns сервера bind с адресами 1.1.1.1 и 2.2.2.2, рабочие основные сервера.
      Нужно обзавестись двумя кэширующими серверами и на первых отключить рекурсию.
       
      Каким образом распланировать топологию серверов?
      Просто добавить два доп кэша с адресами 3.3.3.3 и 4.4.4.4 поменяв клиентам локальной сети DNS'ы или заменить 1.1.1.1 и 2.2.2.2 кэшами (unbound), а авторитарные сервера перенести на 3.3.3.3 и 4.4.4.4.
       
      Посоветуйте решение.
    • By SergZTE
      В продаже есть сетевые накопители б/у ( состояние новых ) :
       
      1. DNS-320L - Облачный сетевой накопитель с 2 отсеками для жестких дисков, 1 портом 10/100/1000Base-T и 1 USB-портом - цена 700 грн
      2. DNS-327L - Облачный сетевой накопитель с 2 отсеками для жестких дисков, 1 портом 10/100/1000Base-T и 1 портом USB 3.0 - цена 900 грн
      3. DNS-340L - Облачный сетевой накопитель с 4 отсеками для жестких дисков, 2 портами 10/100/1000Base-T, 2 портами USB 2.0 и 1 портом USB 3.0 - цена 1400 грн.
      4. DNS-345 - Cетевой накопитель с 4 отсеками для жестких дисков, 2 портами 10/100/1000Base-T и 1 USB-портом - цена 1400 грн.
      5. DSN-1100-10 - Дисковый массив xStack Storage® 4x1GbE iSCSI SAN с 5 отсеками для жестких дисков SATA - цена 2300 грн.
      Связь через ЛС.
    • By a_n_h
      Всем привет!
      По случаю приобрел пару новых ONU STELS, выяснилась интересная проблема - не проходят запросы ДНС, все айпи пингуются. Кто-то уже встречался с данной проблемой?
×