Tag Archives: BIND

BIND 設定筆記

首先訂出 DNS 服務的對象, 由於 primary or secondary server 要提供 domain 的資訊
供外界查詢, 以下這個設定是必要的
allow-query { any; };

當 DNS server 收到非自有 domain 查詢時, 例如 client 查詢 www.google.com, 依據
設定會有兩種處理方式
1. recursion yes
server 會先問 root server, 找到 TLD .com, 在找到 google.com 的 dns server 後,
問出 www.google.com 的資料, 回覆 client 後放一份在 cache 供後續查詢, 如果這種
查詢服務沒有設定服務對象, 就是所謂的 open resolver, 會消耗網路頻寬等資源, 甚至
成為 DNS Amplification Attacks 的工具, 限制服務對象設定如下
acl mynet { 192.168.1.0/24; };
options {
allow-recursion { mynet; };
};
2. recursion no
server 回覆一個查詢點, 由 client 作業系統從這個點往下查, 直到取得答案

server cache 的資料可以加速查詢及節省頻寬, 但是如果對外開放不設限, 仍然可能被誤
用, 可以用以下設定限制
allow-query-cache { mynet; };

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

DNS zone transfer access control

DNS 系统通常包含一個 primary server 及數個 secondary server 以確保 availability, primary server 維護 domain 的 DNS record, secondary server 不一定要自己架, 可以用 ISP 或 DNS provider 提供的, secondary server 會利用 zone transfer 機制向 primary server 取得一份 domain 明細, 包括設定及主機清單

所以 zone transfer 機制很明顯只需要開放給 secondary server 就好, BIND 是最普遍的 DNS server 軟體, 控制 zone transfer 設定範例如下

zone “<my domain>” {

allow-transfer { <my 1st secondary server ip>; <my 2nd secondary serverip>; };

};

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...