Meu arquivo com zona
Meu/etc/bind/db.piduna.org
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN piduna.org.
@ IN SOA ns1.piduna.org. root.piduna.org. (
2018031701 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns1.piduna.org.
@ IN NS ns2.piduna.org.
@ IN A 192.168.110.15
ns1 IN A 192.168.110.15
ns2 IN A 192.168.110.14
abc100 IN A 192.168.110.1
abc101 IN A 192.168.110.2
abc102 IN A 192.168.110.3
abc103 IN A 192.168.110.4
abc104 IN A 192.168.110.5
abc105 IN A 192.168.110.6
abc106 IN A 192.168.110.7
abc107 IN A 192.168.110.8
abc108 IN A 192.168.110.9
abc109 IN A 192.168.110.10
abc110 IN A 192.168.110.11
abc111 IN A 192.168.110.12
abc112 IN A 192.168.110.13
abc113 IN A 192.168.110.14
abc114 IN A 192.168.110.15
gitlab IN A 192.168.110.14
redmine IN A 192.168.110.14
* IN CNAME piduna.org.
192.168.110.*é claro que não são endereços IP reais. em vez disso, estou usando endereços IP reais de vps-s.
Meu /etc/bind/named.conf.local:
//
// Do any local configuration here
//
// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";
zone "abchosting.org" {
type master;
file "/etc/bind/db.piduna.org";
};
Meu /etc/bind/named.conf.options:
options {
directory "/var/cache/bind";
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
listen-on port 53 {
127.0.0.1;
192.168.110.15;
};
forwarders {
8.8.8.8;
8.8.4.4;
};
//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================
dnssec-validation auto;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { none; };
};
Então, eu testei. Está tudo bem. Funciona. Mas tenho dúvidas sobre minha configuração do /etc/bind/db.piduna.org. Está tudo bem. Talvez alguns conselhos de acordo com a segurança? Estou repetindo, fiz isso para domínio externo. Preciso de:
- 15 registros A para meus vps-s;
- dois registros A para meus serviços, como gitlab e redmine;
- subdomínio ping de 192.168.110.15
Obrigado pela sua compreensão e ajuda.
Responder1
Você diz que testou, então o que você fez exatamente? named-checkzone? Algum tipo de ferramenta de solução de problemas online?
Quais são suas dúvidas? Sua pergunta é muito ampla. De que segurança você fala?
Vejo vários problemas:
- você está usando um registro curinga. Você realmente precisa? Caso contrário, recomendo removê-lo, pois cria muito mais problemas do que soluções
- então você parece ter um servidor de nomes autoritativo, já que define uma zona, mas ele escuta apenas endereços IP locais/internos. Isso significa que não é acessível globalmente (o que seria uma má ideia para um servidor de nomes autoritativo) ou você tem alguma configuração de NAT na frente dele, o que também é uma péssima ideia para um servidor de nomes?
- então você parece ter um servidor de nomes oficial, mas encaminha consultas externamente. Parece que você mistura funções recursivas e autoritativas no mesmo servidor, o que é uma péssima ideia em termos de segurança (e também se poderia dizer que, em qualquer caso, encaminhar para o DNS público do Google não é uma boa ideia em termos de segurança, você deveria ter seu próprio servidor de nomes recursivo local)