[FUG-BR] Digest freebsd, volume 29, assunto 24
marcos marinho
mmarinho2006 em gmail.com
Quarta Agosto 6 13:31:46 BRT 2008
Cristina,
Coloquei um DNS Server para responder as requisições internas então; e no
dns externo na minha DMZ e colocarei views uma para responder a ip´s
internos ( via NAT ) recursivos e uma view externa para responder a todos as
outras requisições sem permissão de queires recursivas.
Será que estou no caminho certo ? Ou Estou fazendo uma confusão ?
Obrigado pela ajuda
>
>
> 2. Re: DNS queries blocked (Cristina Fernandes Silva)
> Date: Wed, 6 Aug 2008 11:38:31 -0300
> From: "Cristina Fernandes Silva" <cristinafs.listas em gmail.com>
> Subject: Re: [FUG-BR] DNS queries blocked
> To: " Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) "
> <freebsd em fug.com.br>
> Message-ID:
> <35beb8610808060738g507e34c0v3cc7efecca5b11c2 em mail.gmail.com>
> Content-Type: text/plain; charset=ISO-8859-1
>
> Não existe a possibilidade de vc tirar o DNS interno e implementar
> em outra maquina ?
>
> Fiz isso aqui na empresa.. assim creio que não terei problemas
> com recursividade para minha rede interna.
>
> Deixei somente o meus DNS autoritativo e sua recursividade liberada
> para alguns ips externo.
>
> 2008/8/6 marcos marinho <mmarinho2006 em gmail.com>:
> > Pessoal,
> >
> >
> > Quando implementei , tanto bloqueios de recursividade apenas quanto
> > restrição ao meu range de ip´s eu obtive das mensagens enviadas ao meu
> > servidor de e.mail que havia um erro temporário no dns e que não era
> > possível encontrar o servidor mx para o dominio.
> >
> > Como tenho um servidor de dns que responde tanto para meus usuários
> internos
> > quanto para a Internet; pelo que entendi de dns: quando se manda um
> e.mail o
> > dns do servidor de e.mail do remetente pergunta ao meu dns as informações
> > necessárias e o meu servidor de dns responde autoritativamente, estou
> certo
> > ?
> >
> > Acredito então que devo criar então duas views : uma para pesquisas
> internas
> > ( com permissão de recursidade ) e outra externa ( com recursividade
> > bloqueada, e não permitindo pesquisas armazenadas em cache) .
> >
> > Este raciocinio é correto ?
> >
> >
> > 2008/8/4 marcos marinho <mmarinho2006 em gmail.com>
> >
> >> Prezados gurus da lista,
> >>
> >> Quando foram instalados os serviços de e.mail e dns da Compania a qual
> >> trabalho, foram escolhidos a distribuição Freebsd 6.0 e o bind 9.
> >>
> >> Com esta onda de "envenenamento de DNS" que assola a web atualmente foi
> me
> >> colocado a atividade de melhorar a segurança do nosso DNS.
> >>
> >> Com isto colocado, tentei primeiramente reduzir a nossa esposição
> fechando
> >> as queries recursivas em nosso servidor, já que segundo o link
> >> www.zyftrax.com/books/dns/ch2/index.html#queries
> >>
> >> Tentei primeiramente colocar as seguintes linhas:
> >> acl ips-recursion-acl {
> >> 200.x.x.x/27;
> >> 200.x.x.x/27;
> >> 201.x.x.x/28;};
> >> options {
> >> recursion yes;
> >> allow-recursion {ips-recursion-acl;};
> >>
> >> Quando isto foi colocado as mensagens de e.mail pararam de entrar/sair;
> >> pois as queries de dns estavam bloqueadas.
> >> Então modifiquei o arquivo, adicionando a permissão de queries a todos e
> >> também uma clausula de proteção quanto a versão do Bind, ficando assim:
> >>
> >> acl ips-recursion-acl {
> >> 200.x.x.x/27;
> >> 200.x.x.x/27;
> >> 201.x.x.x/28;
> >> };
> >>
> >> options {
> >> recursion yes;
> >> version "DNS";
> >> allow-query {any; };
> >> allow-recursion {ips-recursion-acl;};
> >>
> >> Mesmo assim as consultas estão sendo bloquedas, alguma dica sobre o que
> >> esta faltando colocar ou remover ?
> >>
> >> Desde já agradeço a atenção de todos.
> >>
> >
> >
> >
> > --
> > Marcos Marinho
> > 19-8183-6038
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
> ------------------------------
>
> _______________________________________________
> freebsd mailing list
> freebsd em fug.com.br
> https://www.fug.com.br/mailman/listinfo/freebsd
>
>
> Fim da Digest freebsd, volume 29, assunto 24
> ********************************************
>
--
Marcos Marinho
19-8183-6038
Mais detalhes sobre a lista de discussão freebsd