liên kết sẽ không hoạt động trừ khi truy vấn cho phép là bất kỳ


13

Tôi có cái này trong /etc/named.conf, tôi đã nhận xét các giá trị mặc định và đặt giá trị của riêng mình theo nó. Tên miền của tôi sẽ không tải trong trình duyệt trừ khi tôi đặt truy vấn cho phép thành "bất kỳ", điều này có ổn không, tôi nên chỉnh sửa gì? Nếu là localhosthoặc 127.0.0.1; 10.0.1.0/24;tên miền sẽ không tải. Tôi đã thử 127 .. điều đó vì nó đã đề cập ở đây: http://wiki.mandriva.com/en/Testing:Bind

Phiên bản ràng buộc là 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 Hệ điều hành là CentOS 6.0.

options {
        // listen-on port 53 { 127.0.0.1; };
        listen-on port 53 { any; };
        //listen-on-v6 port 53 { ::1; };
        listen-on-v6 port 53 { any; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        //allow-query     { localhost; };
        allow-query     { any; };

        recursion yes;

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";
};

Câu trả lời:


13

Khi bạn nghe trên 127.0.0.1 hoặc localhost hoặc :: 1 và / hoặc chỉ cho phép truy vấn từ localhost, liên kết sẽ chỉ trả lời các truy vấn có nguồn gốc từ cùng một máy tính chạy liên kết. (Nó đặt cách này trong "thử nghiệm" có lẽ bởi vì có lẽ họ chỉ muốn kiểm tra ràng buộc đó hoạt động mà không mở ra bên ngoài vì lý do bảo mật.)

Việc đặt chúng thành "bất kỳ" là điều bình thường để có thể truy cập được từ bên ngoài.


Một số bài báo trực tuyến đề cập rằng nó có thể bị phơi bày trước các cuộc tấn công của DOS nếu "có". Nếu tôi hiểu không lầm thì.
adrianTNT

1
Chà, ngay cả khi đó là sự thật, nếu không có "bất kỳ" thì nó sẽ không hoạt động;)
Sandman4

1
Btw, mục đích máy chủ của bạn là gì? Có phải nó chỉ có thẩm quyền cho một số khu vực của bạn? Ai sẽ có thể truy cập máy chủ của bạn?
Sandman4

Nó là một trang web lưu trữ hình ảnh, nó sẽ lưu trữ nhiều tên miền trên cùng một IP. Tên miền tại godaddy nơi tôi đặt hai "máy chủ" ns1.domain ns2.domain và liên kết các NS này với IP máy chủ của tôi.
adrianTNT

1
Ok, vì vậy nó nên được truy cập từ bên ngoài. Do đó, nó phải là "bất kỳ". Và tốt hơn hết bạn nên đặt "đệ quy không" nếu bạn sợ các cuộc tấn công. Nhưng không Godaddy cung cấp máy chủ tên cho bạn?
Sandman4

3

Nếu máy chủ DNS của bạn là máy chủ bộ đệm ẩn cục bộ, hãy đặt

allow-query { <your subnet>; }; 

trong các tùy chọn. Và, trong mỗi khu vực:

allow-query { any; };

Nếu bạn không sử dụng nó làm máy chủ bộ đệm, hãy đặt nó vào tùy chọn thành không;

allow-query { none; };

Về cơ bản, bạn không muốn máy chủ của mình trả lời các tên miền mà bạn không có thẩm quyền.


Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.