Я использую бесплатный уровень Amazon с RHEL 7 и настраиваю главный и подчиненный DNS-серверы. С мастером все в порядке, но с ведомым я не нашел результата. Также я хотел бы знать, как я могу защитить свой DNS-сервер.
На подчиненном сервере файл /etc/ named.conf:
options {
listen-on port 53 { 127.0.0.1; 52.34.228.106; 0.0.0.0/0; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { localhost; 0.0.0.0/0; };
/*
- If you are building an AUTHORITATIVE DNS server, do NOT enable recurs ion.
- If you are building a RECURSIVE (caching) DNS server, you need to ena ble
recursion.
- If your recursive DNS server has a public IP address, you MUST enable access
control to limit queries to your legitimate users. Failing to do so w ill
cause your server to become part of large scale DNS amplification
attacks. Implementing BCP38 within your network would greatly
reduce such attack surface
*/
#options{
recursion yes;
# allow-recursion { trusted;};
#};
dnssec-enable yes;
dnssec-validation yes;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
и файл /etc/rfc1912.zones:
zone "iftibd.com" IN {
type slave;
file "slaves/seobd.fz";
masters { 52.37.252.202;};
allow-notify {52.37.252.202; };
};
zone "228.34.52.in-addr.arpa" IN {
type slave;
file "slaves/seobd.rz";
masters { 52.37.252.202;};
allow-notify {52.37.252.202;};
};
[root@ip-172-31-17-202 slaves]# nslookup iftibd.com
Server: 52.34.228.106
Address: 52.34.228.106#53
Name: iftibd.com
Address: 52.37.252.202
Name: iftibd.com
Address: 52.34.228.106
[root@ip-172-31-17-202 slaves]# nslookup 52.34.228.106
Server: 52.34.228.106
Address: 52.34.228.106#53
** server can't find 106.228.34.52.in-addr.arpa: SERVFAIL
Я обнаружил, что только seobd.fz создана, но не создана обратная зона.
Я нашел его с помощью DNS = 52.37.252.202 на моем компьютере.
C:\Users\USER>nslookup 52.37.252.202
Server: www.iftibd.com
Address: 52.37.252.202
Name: www.iftibd.com
Address: 52.37.252.202
C:\Users\USER>nslookup 52.34.228.106
Server: ns1.iftibd.com
Address: 52.37.252.202
Name: ec2-52-34-228-106.us-west-2.compute.amazonaws.com
Address: 52.34.228.106
, и я нашел его с помощью DNS = 52.34.228.106 на моем компьютере.
C:\Users\USER>nslookup 52.34.228.106
Server: UnKnown
Address: 52.34.228.106
*** UnKnown can't find 52.34.228.106: Server failed
C:\Users\USER>nslookup 52.37.252.202
Server: UnKnown
Address: 52.34.228.106
Name: ec2-52-37-252-202.us-west-2.compute.amazonaws.com
Address: 52.37.252.202
Также проверьте правильность моей конфигурации?
Теперь вы владеете своей обратной зоной - например, 228.34.52.in-addr.arpa, Amazon является владельцем, поэтому вы можете настроить только зону прямого DNS, а не обратную зону.
whois 52.34.228.106
NetRange: 52.32.0.0 - 52.63.255.255
Organization: Amazon Technologies Inc. (AT-88-Z)
Вы также можете найти его выполняющим dig
или nslookup
:
Authoritative answers can be found from:
34.52.in-addr.arpa
origin = dns-external-master.amazon.com
mail addr = root.amazon.com
serial = 1218
refresh = 3600
retry = 900
expire = 604800
minimum = 900
Насколько мне известно, в прошлом вы могли уйти, объявив зоны, которые вам не принадлежат, в настоящее время BIND более умен в этом, даже не привнося DNSSEC в картину.
DNSSEC также подписывает зоны и не позволяет людям «выдавать себя за них». У вас также есть DNSSEC