![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2025-12-19T04:59:58+00:00","default:iseki","iseki") #author("2025-12-19T05:00:07+00:00","default:iseki","iseki") * ISC Bind [#oc081faa] ** ETC ** Tips *** vs DDOS アタック [#q4aa3812] - iptables で denied の返答を返さないようにする. -- 5=REFUSED のレスポンスを DROPする -- /etc/sysconfig/iptables --- -A OUTPUT -p udp -m udp --sport 53 -m u32 --u32 "0>>22&0x3C@8&0x0F=5" -j DROP *** chroot - named-chroot を動かすと /etc にある設定ファイルを /var/named/chroot/etc にコピーする. ** 設定 *** オープンリゾルバにならないようにする方法 **** 機能を分ける - 外向け用の DNS(権威DNS)と,うち向け用DNS(キャッシュDNS)を別々に立てる **** 接続許可で制御 - 再帰検索は許可する - デファルトのアクセスを allow-query で制限する.(内部向け) - 外部に公開するゾーンのみ,アクセスを allow-query で再定義する. - 例 <pre> options { directory "/var/named"; auth-nxdomain no; allow-query{ 127.0.0.0/8; 10.0.0.0/8; 172.16.0.0/12; 192.168.0.0/16; 202.26.144.0/20; }; allow-transfer { none ;}; //listen-on-v6 { any; }; forwarders{ 202.26.144.11;}; forward first; }; ..... ..... // NSL zone "nsl.tuis.ac.jp" IN { type master; file "nsl.zone"; allow-query { any ;}; }; ..... ..... </pre> **** 再帰検索を制限 - 再帰検索を allow-recursion と acl で内部のノードにのみ許可する. - 例 <pre> acl tuisnet{ 127.0.0.0/8; 10.0.0.0/8; 172.16.0.0/12; 192.168.0.0/16; 202.26.144.0/20; }; options { directory "/var/named"; auth-nxdomain no; allow-query{ any; }; // listen-on-v6 { any; }; // recursion no; allow-transfer { none; }; allow-recursion { tuisnet; }; additional-from-cache no; forwarders{ 202.26.144.12;}; forward first; }; ..... ..... // NSL zone "nsl.tuis.ac.jp" IN { type master; file "nsl.zone"; }; </pre>
