Dúvida sobre BIND DNS

Postado Janeiro 31, 2016 em 14:22 Jan 31, 2016

Bom dia!

Estou com uma dúvida na configuração do Bind DNS.

O que devo colocar nos parametros allow-transfer, allow-query, allow-notify e allow-recursion?

Estou com receio de deixar o servidor DNS aberto demais ou fechado demais e ocorrer erros na propagação. Alguém teria alguma dica sobre isso:

Atualmente meu named.conf está assim:

//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

controls {
inet 127.0.0.1 allow { localhost; } keys { rndc-key; };
};

acl "trusted" { 127.0.0.1; };

options {
	listen-on port 53 { any; };
	#listen-on-v6 port 53 { any; };
	listen-on-v6 { none; };
	directory 	"/var/named";
	dump-file 	"/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
	recursion yes;

	dnssec-enable yes;
	dnssec-validation yes;
	dnssec-lookaside auto;

	/* Path to ISC DLV key */
	bindkeys-file "/etc/named.iscdlv.key";

	managed-keys-directory "/var/named/dynamic";

	allow-recursion { trusted; };
	allow-notify { trusted; };
	allow-transfer {
		any;
		};
	forwarders { 127.0.0.1; };
	also-notify {
		};
	version "None";
	allow-query {
		any;
		};
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
	type hint;
	file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
include "/etc/rndc.key";

zone "domain1.com.br" {
	type master;
	file "/var/named/domain1.com.br.hosts";
	allow-transfer {
		127.0.0.1;
		localnets;
		};
	allow-query {
		any;
		};
	};
zone "domain2.com.br" {
	type master;
	file "/var/named/domain2.com.br.hosts";
	allow-transfer {
		127.0.0.1;
		localnets;
		};
	allow-query {
		any;
		};
	};

Citar

Postado Janeiro 31, 2016 em 14:43 Jan 31, 2016

allow-query e allow-recursion: apenas 127.0.0.1. No momento está aberto para o mundo e você é um potencial amplificador de ataques.

allow-notify, allow-transfer e also-notify: apenas 127.0.0.1 e o IP do servidor secundário.

Citar

Postado Janeiro 31, 2016 em 16:33 Jan 31, 2016

Autor

Ficaria assim? Você mudaria algo a mais ai? Para aumentar a segurança? Ou está ótimo assim?

#EDIT

Eu testei com essas configurações e as ferramentas de Checagem de DNS, exemplo da PingDom não funcionaram. Ai eu tive que colocar o parâmetro allow-query { any; }; para funcionar, por que? E também aparece esse erro:

Citar

The name server failed to answer queries sent over TCP. This is probably due to the name server not correctly set up or due to misconfgured filtering in a firewall. It is a rather common misconception that DNS does not need TCP unless they provide zone transfers - perhaps the name server administrator is not aware that TCP usually is a requirement.

//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

controls {
inet 127.0.0.1 allow { localhost; } keys { rndc-key; };
};

acl "trusted" { 127.0.0.1;  };

options {
	listen-on port 53 { any; };
	#listen-on-v6 port 53 { any; };
	listen-on-v6 { none; };
	directory 	"/var/named";
	dump-file 	"/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
	recursion yes;

	dnssec-enable yes;
	dnssec-validation yes;
	dnssec-lookaside auto;

	/* Path to ISC DLV key */
	bindkeys-file "/etc/named.iscdlv.key";

	managed-keys-directory "/var/named/dynamic";

	allow-recursion { 127.0.0.1; };
	allow-query { 127.0.0.1; };
	allow-notify { 127.0.0.1; 201.131.144.20; };
	allow-transfer { 127.0.0.1; 201.131.144.20; };
	also-notify { 127.0.0.1; 201.131.144.20; };
	forwarders { 127.0.0.1; };
	version "None";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
	type hint;
	file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
include "/etc/rndc.key";

zone "domain1.com.br" {
	type master;
	file "/var/named/domain1.com.br.hosts";
	allow-transfer {
		127.0.0.1;
		localnets;
		201.131.144.20;
		};
	};
zone "domain2.com.br" {
	type master;
	file "/var/named/domain2.com.br.hosts";
	allow-transfer {
		127.0.0.1;
		localnets;
		201.131.144.20;
		};
	};

Citar

Postado Janeiro 31, 2016 em 22:49 Jan 31, 2016

Forwarders não é para ter nada.

O allow-query eu tinha eu confundido com o allow-query-cache, que está faltando na sua configuração.

allow-query-cache { trusted } ;

allow-query { any } ;

Citar

Postado Fevereiro 1, 2016 em 00:48 Fev 1, 2016

Autor

Vou adicionar isso então.

Em mais algum lugar eu uso o 'trusted' ou só ai?

Obrigado pela ajuda.

Citar

Postado Fevereiro 1, 2016 em 13:54 Fev 1, 2016

13 hours ago, marcelorp said:

Vou adicionar isso então.

Em mais algum lugar eu uso o 'trusted' ou só ai?

Obrigado pela ajuda.

Eu usaria em todos ao invés de só ali, pois se torna mais simples ter um único lugar só para alterar. trusted não é uma variável default, está definida mais acima:

acl "trusted" { 127.0.0.1; };

Se você mudasse para

acl "trusted" { 127.0.0.1; 201.131.144.20; };

Poderia usar trusted em todos esses lugares ao invés de, se um dia precisar alterar, ter que caçar todas as ocorrências.

201.131.144.20

Citar

Postado Fevereiro 1, 2016 em 15:50 Fev 1, 2016

Autor

Obrigado novamente. Ficou assim:

Agora está correto? Engraçado que quando eu salvo os dados via Virtualmin ele limpa os dados e deixa o 'also-notify' limpo, sem eu pedir isso. Sabe o por que?

//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

controls {
inet 127.0.0.1 allow { localhost; } keys { rndc-key; };
};

acl "trusted" { 127.0.0.1; 201.231.144.19; 201.231.144.20; localnets; };

options {
	listen-on port 53 { any; };
	#listen-on-v6 port 53 { any; };
	listen-on-v6 { none; };
	directory 	"/var/named";
	dump-file 	"/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named_stats.txt";
    memstatistics-file "/var/named/data/named_mem_stats.txt";
	recursion no;

	dnssec-enable yes;
	dnssec-validation yes;
	dnssec-lookaside auto;

	/* Path to ISC DLV key */
	bindkeys-file "/etc/named.iscdlv.key";

	managed-keys-directory "/var/named/dynamic";

	allow-recursion { trusted; };
	allow-query { any; };
	allow-query-cache { trusted; };
	allow-notify { trusted; };
	allow-transfer { trusted; };
	also-notify { trusted; };
	forwarders { };
	version "None";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
	type hint;
	file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
include "/etc/rndc.key";

zone "domain1.com.br" {
	type master;
	file "/var/named/domain1.com.br.hosts";
	allow-transfer { trusted; };
	};
zone "domain2.com.br" {
	type master;
	file "/var/named/domain2.com.br.hosts";
	allow-transfer { trusted; };
	};

Citar

Postado Fevereiro 1, 2016 em 17:17 Fev 1, 2016

1 hour ago, marcelorp said:

Agora está correto? Engraçado que quando eu salvo os dados via Virtualmin ele limpa os dados e deixa o 'also-notify' limpo, sem eu pedir isso. Sabe o por que?

Para mim parece correto. Não uso via painéis então não sei porque ele está implicando...

Citar

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.
Nota: Sua postagem exigirá aprovação do moderador antes de ficar visível.

Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.

Responder

https://portaldohost.com.br/topic/19444-d%C3%BAvida-sobre-bind-dns/

Seguidores

Ir para a lista de tópicos

Nenhum usuário registrado visualizando esta página.

INDICAÇÃO REVENDA DIRECTADMIN
Revendas

INDICAÇÃO REVENDA DIRECTADMIN

Eduardo Charlles · Julho 1, 2025 em 00:14 Jul 1, 2025

Prezados amigos, Hoje tenho uma revenda cpanel, mas com as perdas de cliente, necessito reduzir custos gostaria de indicação de revenda directadmin 150gb. Desde já obrigado
- 2 respostas
- 280 visualizações
Eduardo Charlles

Julho 1, 2025 em 00:14 Jul 1, 2025

Eduardo Charlles

Julho 1, 2025 em 00:45 Jul 1, 2025
Em busca Dedicado Brasil
Servidores Dedicados

Em busca Dedicado Brasil

mfbclick · Junho 25, 2025 em 17:32 Jun 25, 2025

Boa tarde . Qual seria melhor opção hoje sobre tirar dedicados da OVH e migrar para Brasil. Alguém recomenda ou usa HD Brasil, Bhostbrasil, BRS Que tenham preços competitivos com nossa realidade e qualidade nos serviços e suporte! Somente Hospedagem corporativa. Alguma experiencia negativa com algum acima . Ideia é migrar e não se incomodar.
- 7 respostas
- 593 visualizações
mfbclick

Junho 25, 2025 em 17:32 Jun 25, 2025

Germano Pires Ferreira

Junho 28, 2025 em 03:59 Jun 28, 2025
Procuro VPS no Nordeste
VPS & Cloud

Procuro VPS no Nordeste

thiagomedeiros · Junho 24, 2025 em 03:24 Jun 24, 2025

Prezados, bom dia! Possuo uma VPS Ryzen na Racknerd em Nova York onde rodo um servidor Zabbix de uso pessoal. Essa VPS tem um preço acessível (35 dólares ao ano) e uma boa performance (Yabs Score https://browser.geekbench.com/v6/cpu/12559857). Porém eu venho sofrendo com a latência. Média de 130ms para o nordeste (minha região) e com bastante perda de pacote. Eu peço a ajuda do colegas para me indicarem uma VPS no nordeste a um preço acessível. Gostaria da configuração de 2 núcleos (y
- 12 respostas
- 707 visualizações
thiagomedeiros

Junho 24, 2025 em 03:24 Jun 24, 2025

redenflu

Junho 27, 2025 em 11:53 Jun 27, 2025
Alguém utiliza o Transmite Nota?
Finanças

Alguém utiliza o Transmite Nota?

Junio Cristian · Junho 20, 2025 em 17:11 Jun 20, 2025

Boa tarde!! Pessoal o https://www.transmitenota.com.br/ está com valores bem em conta, gostaria de saber se alguem utiliza e se eles já fornecem o modulo para WHMCS? Se alguem tiver algum feedback para passar, pois preciso automatizar essa emissão, tá tomando muito tempo. Obrigado!!
- 5 respostas
- 336 visualizações
Junio Cristian

Junho 20, 2025 em 17:11 Jun 20, 2025

GustavoAndre

Junho 23, 2025 em 17:52 Jun 23, 2025
[WHMCS] Sincronização automática entre Cliente e Usuário Principal (owner)
Gerenciadores de hospedagem

[WHMCS] Sincronização automática entre Cliente e Usuário Principal (owner)

Jefferson · Junho 17, 2025 em 13:23 Jun 17, 2025

Por padrão, no WHMCS o cliente (tblclients) e o usuário principal (tblusers) podem ter dados divergentes, principalmente o e-mail, pois o login no sistema é feito pelo Usuário, enquanto as notificações do sistema (como faturas, tickets e vencimentos) são enviadas para o e-mail do Cliente. Essa separação pode gerar confusão em ambientes com múltiplos usuários ou mesmo quando o cliente tenta alterar seu e-mail e só parte dos dados cadastrais é atualizada. Para resolver isso, criamos um h
- 2 respostas
- 366 visualizações
Jefferson

Junho 17, 2025 em 13:23 Jun 17, 2025

ianchamba

Junho 23, 2025 em 19:39 Jun 23, 2025
Script Web Rádio Player PWA
Classificados de outros produtos e serviços

Script Web Rádio Player PWA

themestrey · Junho 15, 2025 em 11:07 Jun 15, 2025

Olá, caros! 👋 Aos amigos do streaming: acabei de finalizar meu projeto pessoal (estou estudando programação) e resolvi compartilhar com vocês. 🎧 Desenvolvi um Player PWA totalmente administrável online, focado em rádios web que desejam ter um site moderno, responsivo e que funcione como aplicativo no celular (PWA real). ⚙️ É um sistema em PHP 8.1, com painel protegido, personalização completa, e pensado para rodar em servidores de streaming com suporte a Icecast, Shoutcast, etc.
- 1 resposta
- 291 visualizações
themestrey

Junho 15, 2025 em 11:07 Jun 15, 2025

redenflu

Junho 23, 2025 em 13:27 Jun 23, 2025
ASSISTENTE DE IA DENTRO DO SEU WHMCS?
Design, Desenvolvimento & E-commerce

ASSISTENTE DE IA DENTRO DO SEU WHMCS?

brunow · Junho 14, 2025 em 00:23 Jun 14, 2025

Recentemente tive uma ideia para facilitar a vida do cliente e reduzir a fila de atendimento do suporte, estou construindo um assistente de IA utilizando a API da Groq(Futuramente outras)para isso. Imagina uma IA treinada para ajudar o seu cliente passo a passo? Seria incrível, menos trabalho para os operadores e menos custo para a Empresa. que tal fazer o cliente entrar em contato primeiro com a IA, caso a IA não possa ajudar, ai, sim, criar um chamado para o operador responder. usando a API do
- 13 respostas
- 710 visualizações
brunow

Junho 14, 2025 em 00:23 Jun 14, 2025

brunow

Junho 28, 2025 em 21:14 Jun 28, 2025

Entrar

Dúvida sobre BIND DNS

Featured Replies

Participe da conversa

Quem Está Navegando 0

Tópicos recentes

INDICAÇÃO REVENDA DIRECTADMIN

Em busca Dedicado Brasil

Procuro VPS no Nordeste

Alguém utiliza o Transmite Nota?

[WHMCS] Sincronização automática entre Cliente e Usuário Principal (owner)

Script Web Rádio Player PWA

ASSISTENTE DE IA DENTRO DO SEU WHMCS?

Informação Importante

Account

Navigation

Pesquisar