Есть вот тазик. На нем стоит nserver. Создает аномальный траффик. За каким-то фигом разные zuka. постоянно спрашивают у него, как пройти на buka. , хотя ни zuka ни buka не имеют к тазику и его сетке никакого отношения. Есдь два вопроса : Один философский : откуда эти диверсанты узнали, что вааще есть такой ns, и с чего они решили, что спрашивать, как пройти на microsoft.com надо именно у меня :) Второй - практический : а как бы это прописать, чтобы allow-query для всех, кроме trusted nets, было открыто только на запросы про сетку тазика, а прочие запросы про посторонние адреса тихо дропались и не дергали моих forwarders ? -- AY7-UANIC || AY15-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Alexander Yeremenko wrote:
Есть вот тазик. На нем стоит nserver. Создает аномальный траффик. За каким-то фигом разные zuka. постоянно спрашивают у него, как пройти на buka. , хотя ни zuka ни buka не имеют к тазику и его сетке никакого отношения. Есдь два вопроса : Один философский : откуда эти диверсанты узнали, что вааще есть такой ns, и с чего они решили, что спрашивать, как пройти на microsoft.com надо именно у меня :) Второй - практический : а как бы это прописать, чтобы allow-query для всех, кроме trusted nets, было открыто только на запросы про сетку тазика, а прочие запросы про посторонние адреса тихо дропались и не дергали моих forwarders ?
acl "trusted" { localhost; my_cool_net/kosuha }; options { directory "/etc/namedb"; forward only; allow-query { trusted; }; forwarders { ip_of_my_isp_ns; }; }; -- VVS56-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hello, Alexander Yeremenko! On Fri, Jul 11, 2003 at 11:16:47AM +0300 ay@sita.kiev.ua wrote about "[uanog] bind Q":
Есть вот тазик. На нем стоит nserver. Создает аномальный траффик. За каким-то фигом разные zuka. постоянно спрашивают у него, как пройти на buka. , хотя ни zuka ни buka не имеют к тазику и его сетке никакого отношения. Есдь два вопроса : Один философский : откуда эти диверсанты узнали, что вааще есть такой ns, и с чего они решили, что спрашивать, как пройти на microsoft.com надо именно у меня :)
Скан?
Второй - практический : а как бы это прописать, чтобы allow-query для всех, кроме trusted nets, было открыто только на запросы про сетку тазика, а прочие запросы про посторонние адреса тихо дропались и не дергали моих forwarders ?
Смотри в сторону allow-recursion & acl у BIND. -- Laa =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Fri, Jul 11, 2003 at 11:16:47, ay wrote about "[uanog] bind Q":
Есть вот тазик. На нем стоит nserver. Создает аномальный траффик. За каким-то фигом разные zuka. постоянно спрашивают у него, как пройти на buka. , хотя ни zuka ни buka не имеют к тазику и его сетке никакого отношения. Есдь два вопроса : Один философский : откуда эти диверсанты узнали, что вааще есть такой ns, и с чего они решили, что спрашивать, как пройти на microsoft.com надо именно у меня :)
Если именно на microsoft.com - то на этом адресе сидел у кого-то NS. А вообще, смотри источник и пиши комплейны в соответствующую сеть. (Хотя ситуация бывает хитрее. Например, был как-то случай, когда шли запросы с IP, который раньше был у некоторой организации; они IP сменили, а на некоторых хостах остался старый.)
Второй - практический : а как бы это прописать, чтобы allow-query для всех, кроме trusted nets, было открыто только на запросы про сетку тазика, а прочие запросы про посторонние адреса тихо дропались и не дергали моих forwarders ?
Сделай allow-recursion только для своих. Остальные будут получать ответы, но в пределах знаний кэша твоего намеда и никого звать он не будет. В 9-м можно более тонко управлять. В поздних 8-х, кажется, тоже. -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Fri, Jul 11, 2003 at 11:25:32, vladimir.sharun wrote about "[uanog] Re: bind Q":
acl "trusted" { localhost; my_cool_net/kosuha };
options { directory "/etc/namedb"; forward only; allow-query { trusted; }; forwarders { ip_of_my_isp_ns; }; };
Это не то. По постановке вопроса, намед должен отвечать всем про те зоны, что он держит. Вроде бы начиная с 8.3.5 работает такое, если дополнительно сказать, к тому, что ты написал, zone "xxx" { ... allow-query { any; }; }; До 8.3.4 это точно не работало, общий allow-query из options перекрывал специфический для зоны. -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Valentin Nechayev wrote:
Это не то. По постановке вопроса, намед должен отвечать всем про те зоны, что он держит.
Это как раз запрет рекурсии. Ничто не мешает в каждой зоне сказать allow-query { any; }; -- VVS56-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Fri, Jul 11, 2003 at 11:34:10, vladimir.sharun wrote about "[uanog] Re: bind Q":
Это не то. По постановке вопроса, намед должен отвечать всем про те зоны, что он держит. Это как раз запрет рекурсии. Ничто не мешает в каждой зоне сказать allow-query { any; };
Ты или путаешь allow-query и allow-recursion, или слишком странно выражаешься. Для ответа своими зонами нужен allow-query any, а allow-recursion на это не влияет совершенно. -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (4)
-
Alexander Yeremenko -
Oleksandr Listopad -
Valentin Nechayev -
vladimir.sharun@ukr.net