Bind Nameserver nur eigene Domains auflösen lassen, aber wie?

[Fallaxia]

Hi Leute,

einfache Frage denke ich, aber ich konnte bislang keine Antwort finden daher seid jetzt Ihr dran ;-)

Wie erreiche ich es, dass ein Bind Nameserver (Linux) nur auf die eigenen Domainzonen antwortet.

Also z.B. ist die Domain abcdefg.xxx eingetragen - für diese soll der Server auch alle Anfragen beantworten, aber für die Domain xyz.abc eben nicht, also nur für die "eigenen".

Da der Nameserver vom Internet aus erreichbar ist soll verhindert werden dass er als "Public DNS" genutzt wird oder aber für DNS Reflection Attacks mißbraucht wird.

Jemand eine Idee?
Die Standardconfig ist ja offenbar so, dass Bind die ISC Root-Server fragt sofern keine Weiterleitung eingetragen ist. Aber genau das soll er eben nicht tun, sondern einfach keine Antwort geben, bzw. verweigern.

Grüße
Fallaxia

 

[mensch183]

Wer den Nameserver etwas fragen darf und auf welche Fragen der Nameserver antwortet sind verschiedene Dinge.

Du hast also eigene Zonen, die auch Leute draussen in der Welt auflösen können sollen, aber dazu ihre Nameserver fragen sollen, die dann wiederum bei deinem (authoritativen) Server anfragen. Wer einen "Public DNS" sucht, den er auf seiner Windowskiste als DNS einträgt, brauch einen Server, der rekursive Anfragen beantwortet. Dieses Feature bietest du nicht aller Welt sondern nur deinen lokalen Kisten. Im Bind macht die Option "allow-recursion" den Unterschied. Keine rekursiven Anfragen von außen zulassen sieht etwa so aus:

acl "meinzoo" {
localhost;
1.1.1.0/24;
};

options {
...
recursion yes;
allow-recursion { meinzoo; };
};

Ich denke schon, daß in der Standardkonfig von bind sowas bereits drinsteht. Mußt halt nur deine Netze in die ACL eintragen. Fall der Server gar keine rekursiven Anfragen beantworten soll, du also für deine lokalen Kisten einen anderen DNS hast, kannst du das alles weglassen. Voreinstellung ist "nix rekursiv".