Форум русскоязычного сообщества Ubuntu

Пожалуйста, войдите или зарегистрируйтесь.

Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

« предыдущая тема следующая тема »
Страницы: [1]   Вниз

Автор Тема: Как запретить DNS-у (bind) обрабатывать запросы на "серые" адреса  (Прочитано 2435 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн GreatFoolDad

  • Автор темы
  • Активист
  • *
  • Сообщений: 292
    • Просмотр профиля
Как запретить DNS-у (bind) обрабатывать запросы на "серые" адреса
« : 21 Октября 2010, 11:40:37 »
Добрый день всем.
Есть сервер. bind. он держит несколько доменов. к нему обращаются клиенты. У сервера паблик-адрес, у клиентов тоже. У клиентов есть свои сетки с серыми адресами. Так вот, логи сервера завалены такого рода записями:
Oct 12 04:40:24 ns1 named[14479]: client xx.xx.xx.190#1033: query: 37.0.168.192.in-addr.arpa IN PTR +
Oct 12 04:40:24 ns1 named[14479]: client xx.xx.xx.190#1033: query: 6.0.168.192.in-addr.arpa IN PTR +
Oct 12 04:40:36 ns1 named[14479]: client xx.xx.xx.190#1033: query: 55.0.168.192.in-addr.arpa IN PTR +
Oct 12 04:40:38 ns1 named[14479]: client xx.xx.xx.190#1033: query: 55.0.168.192.in-addr.arpa IN PTR +
Oct 12 04:40:38 ns1 named[14479]: client xx.xx.xx.190#1033: query: 55.0.168.192.in-addr.arpa IN PTR +
Oct 12 04:40:38 ns1 named[14479]: client xx.xx.xx.190#1033: query: 55.0.168.192.in-addr.arpa IN PTR +
Oct 12 04:40:40 ns1 named[14479]: client xx.xx.xx.190#1033: query: 55.0.168.192.in-addr.arpa IN PTR +
Oct 12 04:40:40 ns1 named[14479]: client xx.xx.xx.190#1033: query: 55.0.168.192.in-addr.arpa IN PTR +
Oct 12 04:40:42 ns1 named[14479]: client xx.xx.xx.190#1033: query: 55.0.168.192.in-addr.arpa IN PTR +
Oct 12 04:40:42 ns1 named[14479]: client xx.xx.xx.190#1033: query: 55.0.168.192.in-addr.arpa IN PTR +
Oct 12 04:41:21 ns1 named[14479]: client xx.xx.xx.190#1033: query: 206.0.168.192.in-addr.arpa IN PTR +
Oct 12 04:41:24 ns1 named[14479]: client xx.xx.xx.190#1033: query: 6.0.168.192.in-addr.arpa IN PTR +
Oct 12 04:41:26 ns1 named[14479]: client xx.xx.xx.190#1033: query: 206.0.168.192.in-addr.arpa IN PTR +
Oct 12 04:41:37 ns1 named[14479]: client xx.xx.xx.182#4626: query: 2.0.168.192.in-addr.arpa IN PTR +
Oct 12 04:41:37 ns1 named[14479]: client xx.xx.xx.182#4626: query: 2.0.168.192.in-addr.arpa IN PTR +
Oct 12 04:42:24 ns1 named[14479]: client xx.xx.xx.6#63446: query: 51.0.168.192.in-addr.arpa IN PTR +
Oct 12 04:42:24 ns1 named[14479]: client xx.xx.xx.6#63446: query: db._dns-sd._udp.0.0.168.192.in-addr.arpa IN PTR +
Oct 12 04:42:24 ns1 named[14479]: client xx.xx.xx.190#1033: query: 6.0.168.192.in-addr.arpa IN PTR +
Oct 12 04:42:26 ns1 named[14479]: client xx.xx.xx.182#4626: query: 2.0.168.192.in-addr.arpa IN PTR +
Oct 12 04:42:27 ns1 named[14479]: client xx.xx.xx.182#4626: query: 2.0.168.192.in-addr.arpa IN PTR +

хх.хх.хх. - нормальный паблик адрес. 190-й адрес сюда попал случайно - в смысле, что весь лог не только про него, таких любителей серых адресов штук сорок. Т.е. в другом куске лога будет преобладать какой-нить другой адрес.

Такого рода записями завален лог. Они составляют, определенно, бОльшую часть запросов.
Вопрос такой - как можно bind-у запретить обрабатывать эти запросы?
Т.е. запросы на 192.168.0.0/16

З.Ы. Пока писал вопрос, родилась мысль - может как-нить через iptables - по фрагменту пакета, где IP-адрес, который надо резолвить?
не важно, из какого места растут золотые руки

Оффлайн Unreg

  • Активист
  • *
  • Сообщений: 751
  • Ubuntu 8.04 / Acer Aspire One 110 > Debian 5.04
    • Просмотр профиля
    • LJ
Re: Как запретить DNS-у (bind) обрабатывать запросы на "серые" адреса
« Ответ #1 : 21 Октября 2010, 12:08:38 »
Цитировать
$ cat /etc/bind/zones.rfc1918
zone "10.in-addr.arpa"      { type master; file "/etc/bind/db.empty"; };

zone "16.172.in-addr.arpa"  { type master; file "/etc/bind/db.empty"; };
zone "17.172.in-addr.arpa"  { type master; file "/etc/bind/db.empty"; };
zone "18.172.in-addr.arpa"  { type master; file "/etc/bind/db.empty"; };
zone "19.172.in-addr.arpa"  { type master; file "/etc/bind/db.empty"; };
zone "20.172.in-addr.arpa"  { type master; file "/etc/bind/db.empty"; };
zone "21.172.in-addr.arpa"  { type master; file "/etc/bind/db.empty"; };
zone "22.172.in-addr.arpa"  { type master; file "/etc/bind/db.empty"; };
zone "23.172.in-addr.arpa"  { type master; file "/etc/bind/db.empty"; };
zone "24.172.in-addr.arpa"  { type master; file "/etc/bind/db.empty"; };
zone "25.172.in-addr.arpa"  { type master; file "/etc/bind/db.empty"; };
zone "26.172.in-addr.arpa"  { type master; file "/etc/bind/db.empty"; };
zone "27.172.in-addr.arpa"  { type master; file "/etc/bind/db.empty"; };
zone "28.172.in-addr.arpa"  { type master; file "/etc/bind/db.empty"; };
zone "29.172.in-addr.arpa"  { type master; file "/etc/bind/db.empty"; };
zone "30.172.in-addr.arpa"  { type master; file "/etc/bind/db.empty"; };
zone "31.172.in-addr.arpa"  { type master; file "/etc/bind/db.empty"; };

zone "168.192.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };


$ cat /etc/bind/db.empty
Цитировать
; BIND reverse data file for empty rfc1918 zone
;
; DO NOT EDIT THIS FILE - it is used for multiple zones.
; Instead, copy it, edit named.conf, and use that copy.
;
$TTL    86400
@       IN      SOA     localhost. root.localhost. (
                              1         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                          86400 )       ; Negative Cache TTL
;
@       IN      NS      localhost.

$ sudo nano /etc/bind/named.conf.local
Цитировать
...
include "/etc/bind/zones.rfc1918";
...

Оффлайн GreatFoolDad

  • Автор темы
  • Активист
  • *
  • Сообщений: 292
    • Просмотр профиля
Re: Как запретить DNS-у (bind) обрабатывать запросы на "серые" адреса
« Ответ #2 : 21 Октября 2010, 13:18:46 »
нет! ничего не изменилось в логах! те же записи в логах, что и были. хотя зоны загрузились, судя по логам:
Код: [Выделить]
Oct 21 15:06:01 ns2 named[7717]: zone 10.in-addr.arpa/IN: loaded serial 1
Oct 21 15:06:01 ns2 named[7717]: zone 0.0.127.in-addr.arpa/IN: loaded serial 5
Oct 21 15:06:01 ns2 named[7717]: zone 16.172.in-addr.arpa/IN: loaded serial 1
Oct 21 15:06:01 ns2 named[7717]: zone 17.172.in-addr.arpa/IN: loaded serial 1
Oct 21 15:06:01 ns2 named[7717]: zone 18.172.in-addr.arpa/IN: loaded serial 1
Oct 21 15:06:01 ns2 named[7717]: zone 19.172.in-addr.arpa/IN: loaded serial 1
Oct 21 15:06:01 ns2 named[7717]: zone 20.172.in-addr.arpa/IN: loaded serial 1
Oct 21 15:06:01 ns2 named[7717]: zone 21.172.in-addr.arpa/IN: loaded serial 1
Oct 21 15:06:01 ns2 named[7717]: zone 22.172.in-addr.arpa/IN: loaded serial 1
Oct 21 15:06:01 ns2 named[7717]: zone 23.172.in-addr.arpa/IN: loaded serial 1
Oct 21 15:06:01 ns2 named[7717]: zone 24.172.in-addr.arpa/IN: loaded serial 1
Oct 21 15:06:01 ns2 named[7717]: zone 25.172.in-addr.arpa/IN: loaded serial 1
Oct 21 15:06:01 ns2 named[7717]: zone 26.172.in-addr.arpa/IN: loaded serial 1
Oct 21 15:06:01 ns2 named[7717]: zone 27.172.in-addr.arpa/IN: loaded serial 1
Oct 21 15:06:01 ns2 named[7717]: zone 28.172.in-addr.arpa/IN: loaded serial 1
Oct 21 15:06:01 ns2 named[7717]: zone 29.172.in-addr.arpa/IN: loaded serial 1
Oct 21 15:06:01 ns2 named[7717]: zone 30.172.in-addr.arpa/IN: loaded serial 1
Oct 21 15:06:01 ns2 named[7717]: zone 31.172.in-addr.arpa/IN: loaded serial 1
Oct 21 15:06:01 ns2 named[7717]: zone 168.192.in-addr.arpa/IN: loaded serial 1
« Последнее редактирование: 21 Октября 2010, 13:42:36 от GreatFoolDad »
не важно, из какого места растут золотые руки
Страницы: [1]   Вверх
« предыдущая тема следующая тема »
 

Страница сгенерирована за 0.017 секунд. Запросов: 20.

© 2012 Ubuntu-ru — Русскоязычное сообщество Ubuntu Linux.
© 2012 Canonical Ltd. Ubuntu и Canonical являются зарегистрированными торговыми знаками Canonical Ltd.