Verhindern Sie, dass PowerDNS open_resolver ist

Verhindern Sie, dass PowerDNS open_resolver ist

Entschuldigen Sie, wenn meine Frage zu lang ist.

Ich habe 4 PowerDNS-Server, wie unten mit Beispiel-IPs. ns1.example.com 1.1.1.1 ns2.example.com 2.2.2.2 rec1.example.com 3.3.3.3 rec2.example.com 4.4.4.4

in meinem Netzwerk sind ns1 und ns2 autoritative Server, die einige Zonen und Reverse_Zones haben. und rec1 und rec2 sind Recursor-DNS-Server. Ich habe rec1 und rec2 so konfiguriert, dass sie mit „forward-zones“ auf powerdns/recursor.conf meine eigenen Zonen von ns1 und ns2 anfordern, was gut funktioniert. und ich konfiguriere „forward-zones-recurse=.=8.8.8.8“, um alle anderen Anfragen an den Google-DNS zu senden, was auch funktioniert. Ich habe so viele Subnetze (Clients) in meinem Netzwerk, die rec1 und rec2 als ihre Haupt-DNS-Server auf ihren Maschinen verwenden. Sie fragen jede beliebige Domäne von rec1 und rec2 ab, je nachdem, welche Domäne rec1 und rec2 diese Anfrage von ns1 und ns2 oder von Google anfordern. Bis jetzt habe ich kein Problem, meine Clients können jede Adresse erfolgreich abfragen.

mein Problem ist, dass meine rec1&rec2 zu "open_resolver" für das Internet geworden sind, d.h. jeder aus dem Internet kann DNS-Anfragen an diese Server senden und sie funktionieren. Ich habe "allow-from=" konfiguriert.meine_Subnetze" in powerdns/recursor.conf, aber es verursacht ein Problem, nämlich dass Internetserver wie Gmail-Server nicht nach meiner Reverse_Zone suchen können. Daher sind alle meine PTR-Einträge im Internet nicht verfügbar. Und wenn ich "allow-from=" in 0.0.0.0/0 ändere, werden sie zu open_resolver für alle IPs und alle Abfragen

Ich frage mich, ob es eine Lösung wie in Bind9 gibt, wo ich für jede Zone in der named.conf.option „allow_query {trusted;}“ verwenden kann. So kann ich den Bind-Server so steuern, dass er zum open_resolver wird und nur meine eigene Reverse_Zone im Internet beantwortet, aber keine anderen Fragen.

Ich würde mich freuen, wenn mir jemand helfen könnte. Danke im Voraus

Antwort1

Abgesehen von dem von Ihnen verwendeten DNS ist es gut, Ihre Resolver-DNS-Server auf Ihre Netzwerkbereiche zu beschränken, was Sie vor den meisten Angriffen schützt. Andererseits ist es gut, Ihre autoritativen Nameserver öffentlich zugänglich zu machen. Ich empfehle, Bind als autoritativen DNS-Server und Unbound als Resolver-Server zu verwenden.

verwandte Informationen