[FUG-BR] DNS queries blocked
Cristina Fernandes Silva
cristinafs.listas em gmail.com
Quarta Agosto 6 11:38:31 BRT 2008
Não existe a possibilidade de vc tirar o DNS interno e implementar
em outra maquina ?
Fiz isso aqui na empresa.. assim creio que não terei problemas
com recursividade para minha rede interna.
Deixei somente o meus DNS autoritativo e sua recursividade liberada
para alguns ips externo.
2008/8/6 marcos marinho <mmarinho2006 em gmail.com>:
> Pessoal,
>
>
> Quando implementei , tanto bloqueios de recursividade apenas quanto
> restrição ao meu range de ip´s eu obtive das mensagens enviadas ao meu
> servidor de e.mail que havia um erro temporário no dns e que não era
> possível encontrar o servidor mx para o dominio.
>
> Como tenho um servidor de dns que responde tanto para meus usuários internos
> quanto para a Internet; pelo que entendi de dns: quando se manda um e.mail o
> dns do servidor de e.mail do remetente pergunta ao meu dns as informações
> necessárias e o meu servidor de dns responde autoritativamente, estou certo
> ?
>
> Acredito então que devo criar então duas views : uma para pesquisas internas
> ( com permissão de recursidade ) e outra externa ( com recursividade
> bloqueada, e não permitindo pesquisas armazenadas em cache) .
>
> Este raciocinio é correto ?
>
>
> 2008/8/4 marcos marinho <mmarinho2006 em gmail.com>
>
>> Prezados gurus da lista,
>>
>> Quando foram instalados os serviços de e.mail e dns da Compania a qual
>> trabalho, foram escolhidos a distribuição Freebsd 6.0 e o bind 9.
>>
>> Com esta onda de "envenenamento de DNS" que assola a web atualmente foi me
>> colocado a atividade de melhorar a segurança do nosso DNS.
>>
>> Com isto colocado, tentei primeiramente reduzir a nossa esposição fechando
>> as queries recursivas em nosso servidor, já que segundo o link
>> www.zyftrax.com/books/dns/ch2/index.html#queries
>>
>> Tentei primeiramente colocar as seguintes linhas:
>> acl ips-recursion-acl {
>> 200.x.x.x/27;
>> 200.x.x.x/27;
>> 201.x.x.x/28;};
>> options {
>> recursion yes;
>> allow-recursion {ips-recursion-acl;};
>>
>> Quando isto foi colocado as mensagens de e.mail pararam de entrar/sair;
>> pois as queries de dns estavam bloqueadas.
>> Então modifiquei o arquivo, adicionando a permissão de queries a todos e
>> também uma clausula de proteção quanto a versão do Bind, ficando assim:
>>
>> acl ips-recursion-acl {
>> 200.x.x.x/27;
>> 200.x.x.x/27;
>> 201.x.x.x/28;
>> };
>>
>> options {
>> recursion yes;
>> version "DNS";
>> allow-query {any; };
>> allow-recursion {ips-recursion-acl;};
>>
>> Mesmo assim as consultas estão sendo bloquedas, alguma dica sobre o que
>> esta faltando colocar ou remover ?
>>
>> Desde já agradeço a atenção de todos.
>>
>
>
>
> --
> Marcos Marinho
> 19-8183-6038
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd