Rootserver-Serie III: bind einschränken

Man kann sicherlich darüber streiten, aber ich denke nicht, dass autorative Nameserver für Gott und die Welt auch andere Domains auflösen sollen.

Daher soll bind so eingerichtet werden, dass er zwar für den Server selber Domains rekursiv auflöst aber sonst nur Anfragen über autorative Zonen beantworten soll.

Zusätzlich soll nicht jeder alle Zonen transferieren können. Ich erlaube nur dem sekundären Nameserver den Zonentransfer.

Um dies zu erreichn wird zuerst das ISPconfig Konfigurationstemplate unter /root/ispconfig/isp/conf/customized_templates/named.conf.master angepasst:
acl trusted {
127.0.0.1/8;
// main IP
1.2.3.4;
// Additional subnet
2.3.4.5/29;
};
options {
pid-file "/var/named/chroot/var/run/named/named.pid";
directory "{BINDDIR}";
auth-nxdomain no;
/*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND 8.1 uses an unprivileged
* port by default.
*/
// query-source address * port 53;
// secondary ns
allow-transfer { 3.4.5.6; };
allow-recursion { trusted; };
};
//
// a caching only nameserver config
//
// ...

Nach dem Ändern der DNS-Konfiguration mittels ISPconfig wird dieses Template angewendet und bind ein wenig restriktiver als vorher.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *