LINUX.ORG.RU
ФорумAdmin

где найти allow-recursion в bind?

 


0

1

Смотрел пару уроков , там везде есть allow-recursion {}. А в моём файле я его не вижу. Я конечно могу сам его добавить ,но правильно ли это ?

//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
// See the BIND Administrator's Reference Manual (ARM) for details about the
// configuration located in /usr/share/doc/bind-{version}/Bv9ARM.html

options {
	listen-on port 53 { 127.0.0.1; };
	listen-on-v6 port 53 { ::1; };
	directory 	"/var/named";
	dump-file 	"/var/named/data/cache_dump.db";
	statistics-file "/var/named/data/named_stats.txt";
	memstatistics-file "/var/named/data/named_mem_stats.txt";
	recursing-file  "/var/named/data/named.recursing";
	secroots-file   "/var/named/data/named.secroots";
	allow-query     { localhost; };

	/* 
	 - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
	 - If you are building a RECURSIVE (caching) DNS server, you need to enable 
	   recursion. 
	 - If your recursive DNS server has a public IP address, you MUST enable access 
	   control to limit queries to your legitimate users. Failing to do so will
	   cause your server to become part of large scale DNS amplification 
	   attacks. Implementing BCP38 within your network would greatly
	   reduce such attack surface 
	*/
	recursion yes;

	dnssec-enable yes;
	dnssec-validation yes;

	/* Path to ISC DLV key */
	bindkeys-file "/etc/named.root.key";

	managed-keys-directory "/var/named/dynamic";

	pid-file "/run/named/named.pid";
	session-keyfile "/run/named/session.key";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
	type hint;
	file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";


А в моём файле я его не вижу. Я конечно могу сам его добавить, но правильно ли это ?

Мало ли, чего тут нет. Тут и rate-limit тоже нет. Если надо, то добавляй.

AS ★★★★★ ()

В этом примере используется recursion yes в секции options - соответственно можно поставить «no».

Такой вариант как правило более практичен и предпочтителен когда у вас используется split dns (два набора правил - для внутренних клинетов и для внешних). Это позволяет избежать двойного указания объектов acl в allow-recursion и view.

Если у вас не используется split dns - укажите свой allow-recursion внутри options (man named.conf)

Но это крайне странная хотелка - как правило, рекурсивный DNS обслуживает всех кому разрешен к нему доступ, а значит и allow-query + recursion yes полностью покрывают этот стандартный случай.

Nastishka ★★★★★ ()