Como verificar se os hosts estão tendo acesso negado ao servidor de nomes?

tag-icon tag-icon dns bind
Como verificar se os hosts estão tendo acesso negado ao servidor de nomes? 
[root@workshop1 /]# ifconfig
eth0      Link encap:Ethernet  HWaddr 08:00:27:AF:A3:28  
          inet addr:10.0.2.15  Bcast:10.0.2.255  Mask:255.255.255.0
          inet6 addr: fe80::a00:27ff:feaf:a328/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:35311 errors:0 dropped:0 overruns:0 frame:0
          TX packets:20174 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:50544153 (48.2 MiB)  TX bytes:1108333 (1.0 MiB)

eth1      Link encap:Ethernet  HWaddr 08:00:27:C4:A8:B6  
          inet addr:192.168.56.101  Bcast:192.168.56.255  Mask:255.255.255.0
          inet6 addr: fe80::a00:27ff:fec4:a8b6/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3634 errors:0 dropped:0 overruns:0 frame:0
          TX packets:213 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:498977 (487.2 KiB)  TX bytes:32394 (31.6 KiB)

eth2      Link encap:Ethernet  HWaddr 08:00:27:DB:B6:AB  
          inet addr:10.0.4.16  Bcast:10.0.4.255  Mask:255.255.255.0
          inet6 addr: fe80::a00:27ff:fedb:b6ab/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:28 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 b)  TX bytes:4147 (4.0 KiB)

No meu /etc/named.conf, quero configurar uma ACL para proibir o acesso à rede 10.0.4.0/24 ao meu servidor de nomes BIND.

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/3/html/Reference_Guide/s1-bind-namedconf.html

Como posso verificar se os hosts de 10.0.4.0/24 não conseguem acessar o servidor de nomes usando ferramentas de rede? Como ainda deixarei o servidor de nomes do Google em /etc/named.conf, presumo que, se eles não puderem usar o servidor de nomes BIND, usarão 8.8.8.8 para resolução de nomes.

Responder1

Supondo que 10.0.2.15 seja o seu DNS, de qualquer um dos servidores da rede 10.0.4.0/24, use o seguinte comando para verificar isso:

cavar www.google.com @10.0.2.15

Este comando tentará resolver google.com (ou qualquer nome de host que você queira tentar) usando o servidor de nomes 10.0.2.15. Se o servidor dentro da rede 10.0.4.0/24 não conseguir resolver o nome do host com este comando, significa que eles estão impedidos de usar este servidor de nomes específico.

PS: Na saída do dig, a ANSWER SECTIONseção estará vazia ou a ANSWER SECTIONprópria não será vista na saída se 10.0.4.0/24 não tiver permissão para usar esse servidor de nomes.

informação relacionada