[FUG-BR] DNS queries blocked

marcos marinho mmarinho2006 em gmail.com
Quarta Agosto 6 11:34:15 BRT 2008 

Pessoal,


Quando implementei , tanto bloqueios de recursividade apenas quanto
restrição ao meu range de ip´s eu obtive das mensagens enviadas ao meu
servidor de e.mail que havia um erro temporário no dns e que não era
possível encontrar o servidor mx para o dominio.

Como tenho um servidor de dns que responde tanto para meus usuários internos
quanto para a Internet; pelo que entendi de dns: quando se manda um e.mail o
dns do servidor de e.mail do remetente pergunta ao meu dns as informações
necessárias e o meu servidor de dns responde autoritativamente, estou certo
?

Acredito então que devo criar então duas views : uma para pesquisas internas
( com permissão de recursidade ) e outra externa ( com recursividade
bloqueada, e não permitindo pesquisas armazenadas em cache) .

Este raciocinio é correto ?


2008/8/4 marcos marinho <mmarinho2006 em gmail.com>

> Prezados gurus da lista,
>
> Quando foram instalados os serviços de e.mail e dns da Compania a qual
> trabalho, foram escolhidos a distribuição Freebsd 6.0 e o bind 9.
>
> Com esta onda de "envenenamento de DNS" que assola a web atualmente foi me
> colocado a atividade de melhorar a segurança do nosso DNS.
>
> Com isto colocado, tentei primeiramente reduzir a nossa esposição fechando
> as queries recursivas em nosso servidor, já que segundo o link
> www.zyftrax.com/books/dns/ch2/index.html#queries
>
> Tentei primeiramente colocar as seguintes linhas:
> acl ips-recursion-acl {
>         200.x.x.x/27;
>         200.x.x.x/27;
>         201.x.x.x/28;};
> options {
>         recursion yes;
>         allow-recursion {ips-recursion-acl;};
>
> Quando isto foi colocado as mensagens de e.mail pararam de entrar/sair;
> pois as queries de dns estavam bloqueadas.
> Então modifiquei o arquivo, adicionando a permissão de queries a todos e
> também uma clausula de proteção quanto a versão do Bind, ficando assim:
>
> acl ips-recursion-acl {
>         200.x.x.x/27;
>         200.x.x.x/27;
>         201.x.x.x/28;
> };
>
> options {
>         recursion yes;
>         version "DNS";
>         allow-query     {any;   };
>         allow-recursion {ips-recursion-acl;};
>
> Mesmo assim as consultas estão sendo bloquedas, alguma dica sobre o que
> esta faltando colocar ou remover ?
>
> Desde já agradeço a atenção de todos.
>



-- 
Marcos Marinho
19-8183-6038

Mais detalhes sobre a lista de discussão freebsd