¿Cómo verificar que a los hosts se les niega el acceso al servidor de nombres?

tag-icon tag-icon dns bind
¿Cómo verificar que a los hosts se les niega el acceso al servidor de nombres? 
[root@workshop1 /]# ifconfig
eth0      Link encap:Ethernet  HWaddr 08:00:27:AF:A3:28  
          inet addr:10.0.2.15  Bcast:10.0.2.255  Mask:255.255.255.0
          inet6 addr: fe80::a00:27ff:feaf:a328/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:35311 errors:0 dropped:0 overruns:0 frame:0
          TX packets:20174 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:50544153 (48.2 MiB)  TX bytes:1108333 (1.0 MiB)

eth1      Link encap:Ethernet  HWaddr 08:00:27:C4:A8:B6  
          inet addr:192.168.56.101  Bcast:192.168.56.255  Mask:255.255.255.0
          inet6 addr: fe80::a00:27ff:fec4:a8b6/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3634 errors:0 dropped:0 overruns:0 frame:0
          TX packets:213 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:498977 (487.2 KiB)  TX bytes:32394 (31.6 KiB)

eth2      Link encap:Ethernet  HWaddr 08:00:27:DB:B6:AB  
          inet addr:10.0.4.16  Bcast:10.0.4.255  Mask:255.255.255.0
          inet6 addr: fe80::a00:27ff:fedb:b6ab/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:28 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 b)  TX bytes:4147 (4.0 KiB)

En mi /etc/named.conf quiero configurar una ACL para no permitir el acceso a la red 10.0.4.0/24 a mi servidor de nombres BIND.

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/3/html/Reference_Guide/s1-bind-namedconf.html

¿Cómo puedo verificar que los hosts de 10.0.4.0/24 no puedan acceder al servidor de nombres mediante herramientas de red? Debido a que todavía dejaré el servidor de nombres de Google en /etc/named.conf, supongo que si no pueden usar el servidor de nombres BIND, usarán 8.8.8.8 para la resolución de nombres.

Respuesta1

Suponiendo que 10.0.2.15 es su DNS, desde cualquiera de los servidores en la red 10.0.4.0/24, use el siguiente comando para verificar esto:

excavar www.google.com @ 10.0.2.15

Este comando intentará resolver google.com (o cualquier nombre de host que desee probar) utilizando el servidor de nombres 10.0.2.15. Si el servidor dentro de la red 10.0.4.0/24 no puede resolver el nombre de host con este comando, significa que no puede usar este servidor de nombres en particular.

PD: en el resultado de dig, la ANSWER SECTIONsección estará vacía o ANSWER SECTIONno se verá en el resultado si 10.0.4.0/24 no puede usar ese servidor de nombres.

información relacionada