bind
をテンプレートにして作成
[
トップ
] [
タイトル一覧
|
ページ一覧
|
新規
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
* ISC Bind [#oc081faa]
** Tips
*** vs DDOS アタック [#q4aa3812]
- iptables で denied の返答を返さないようにする.
-- 5=REFUSED のレスポンスを DROPする
-- /etc/sysconfig/iptables
--- -A OUTPUT -p udp -m udp --sport 53 -m u32 --u32 "0>>2...
*** chroot
- named-chroot を動かすと /etc にある設定ファイルを /var/...
** 設定
*** オープンリゾルバにならないようにする方法
**** 機能を分ける
- 外向け用の DNS(権威DNS)と,うち向け用DNS(キャッシュD...
**** 接続許可で制御
- 再帰検索は許可する
- デファルトのアクセスを allow-query で制限する.(内部向...
- 外部に公開するゾーンのみ,アクセスを allow-query で再定...
- 例
<pre>
options {
directory "/var/named";
auth-nxdomain no;
allow-query{
127.0.0.0/8;
10.0.0.0/8;
172.16.0.0/12;
192.168.0.0/16;
202.26.144.0/20;
};
allow-transfer { none ;};
//listen-on-v6 { any; };
forwarders{ 202.26.144.11;};
forward first;
};
.....
.....
// NSL
zone "nsl.tuis.ac.jp" IN {
type master;
file "nsl.zone";
allow-query { any ;};
};
.....
.....
</pre>
**** 再帰検索を制限
- 再帰検索を allow-recursion と acl で内部のノードにのみ...
- 例
<pre>
acl tuisnet{
127.0.0.0/8;
10.0.0.0/8;
172.16.0.0/12;
192.168.0.0/16;
202.26.144.0/20;
};
options {
directory "/var/named";
auth-nxdomain no;
allow-query{ any; };
// listen-on-v6 { any; };
// recursion no;
allow-transfer { none; };
allow-recursion { tuisnet; };
additional-from-cache no;
forwarders{ 202.26.144.12;};
forward first;
};
.....
.....
// NSL
zone "nsl.tuis.ac.jp" IN {
type master;
file "nsl.zone";
};
</pre>
終了行:
* ISC Bind [#oc081faa]
** Tips
*** vs DDOS アタック [#q4aa3812]
- iptables で denied の返答を返さないようにする.
-- 5=REFUSED のレスポンスを DROPする
-- /etc/sysconfig/iptables
--- -A OUTPUT -p udp -m udp --sport 53 -m u32 --u32 "0>>2...
*** chroot
- named-chroot を動かすと /etc にある設定ファイルを /var/...
** 設定
*** オープンリゾルバにならないようにする方法
**** 機能を分ける
- 外向け用の DNS(権威DNS)と,うち向け用DNS(キャッシュD...
**** 接続許可で制御
- 再帰検索は許可する
- デファルトのアクセスを allow-query で制限する.(内部向...
- 外部に公開するゾーンのみ,アクセスを allow-query で再定...
- 例
<pre>
options {
directory "/var/named";
auth-nxdomain no;
allow-query{
127.0.0.0/8;
10.0.0.0/8;
172.16.0.0/12;
192.168.0.0/16;
202.26.144.0/20;
};
allow-transfer { none ;};
//listen-on-v6 { any; };
forwarders{ 202.26.144.11;};
forward first;
};
.....
.....
// NSL
zone "nsl.tuis.ac.jp" IN {
type master;
file "nsl.zone";
allow-query { any ;};
};
.....
.....
</pre>
**** 再帰検索を制限
- 再帰検索を allow-recursion と acl で内部のノードにのみ...
- 例
<pre>
acl tuisnet{
127.0.0.0/8;
10.0.0.0/8;
172.16.0.0/12;
192.168.0.0/16;
202.26.144.0/20;
};
options {
directory "/var/named";
auth-nxdomain no;
allow-query{ any; };
// listen-on-v6 { any; };
// recursion no;
allow-transfer { none; };
allow-recursion { tuisnet; };
additional-from-cache no;
forwarders{ 202.26.144.12;};
forward first;
};
.....
.....
// NSL
zone "nsl.tuis.ac.jp" IN {
type master;
file "nsl.zone";
};
</pre>
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
