bind

ISC Bind†[edit]

Tips[edit]

vs DDOS アタック†[edit]

• iptables で denied の返答を返さないようにする．
  • 5=REFUSED のレスポンスを DROPする
  • /etc/sysconfig/iptables
    • -A OUTPUT -p udp -m udp --sport 53 -m u32 --u32 "0>>22&0x3C@8&0x0F=5" -j DROP

chroot[edit]

• named-chroot を動かすと /etc にある設定ファイルを /var/named/chroot/etc にコピーする．

設定[edit]

オープンリゾルバにならないようにする方法[edit]

機能を分ける[edit]

• 外向け用の DNS（権威DNS）と，うち向け用DNS（キャッシュDNS）を別々に立てる

接続許可で制御[edit]

• 再帰検索は許可する
• デファルトのアクセスを allow-query で制限する．（内部向け）
• 外部に公開するゾーンのみ，アクセスを allow-query で再定義する．

• 例

  options {
      directory "/var/named";
  
      auth-nxdomain no;
      allow-query{
          127.0.0.0/8;
          10.0.0.0/8;
          172.16.0.0/12;
          192.168.0.0/16;
          202.26.144.0/20;
      };
      allow-transfer { none ;};
      //listen-on-v6 { any; };
      forwarders{ 202.26.144.11;};
      forward first;
  };
  .....
  .....
  // NSL
  zone "nsl.tuis.ac.jp" IN {
      type master;
      file "nsl.zone";
      allow-query { any ;};
  };
  .....
  .....

再帰検索を制限[edit]

• 再帰検索を allow-recursion と acl で内部のノードにのみ許可する．

• 例

  acl tuisnet{
     127.0.0.0/8;
     10.0.0.0/8;
     172.16.0.0/12;
     192.168.0.0/16;
     202.26.144.0/20;
  };
  
  options {
      directory "/var/named";
  
      auth-nxdomain no;
      allow-query{ any; };
  
  //  listen-on-v6 { any; };
  //  recursion no;
      allow-transfer  { none; };
      allow-recursion { tuisnet; };
      additional-from-cache no;
  
      forwarders{ 202.26.144.12;};
      forward first;
  };
  .....
  .....
  // NSL
  zone "nsl.tuis.ac.jp" IN {
      type master;
      file "nsl.zone";
  };

最新の30件

[edit]