Rating@Mail.ru
IPB
Etersoft - from Windows to Linux
Etersoft
решения для перехода
с Windows на Linux
Дружественные сайты: alv.me и Rus-Linux.net

Здравствуйте, гость ( Вход | Регистрация ) Поиск · 

 
Reply to this topic Start new topic
> Трансфер зон BIND9
v1k3ng
bookmark
gyfbbdvkffmrljmmmwd
Dec 16 2016, в 15:47
Сообщение #1


Интересующийся новичок
Иконка группы

Сообщений: 57

Вставить имя   :   Цитата

ОС: centos/ubuntu
Город: tyumen

Группа: Участники

Автор темы
Здравствуйте.
Имеется купленное доменное имя. DNS-сервис свой собственный.
Т.е. регистратор доменных имен предоставляет только доменное имя, первичный для него DNS находится у меня, а вторичные - уже у регистратора доменных имен.
В процессе разбора что тут осталось от прошлого админа наткнулся на сервис http://mxtoolbox.com/
Есть там интересная кнопочка - Find Problems.
Он списком выдает все найденные по его мнению проблемы.
Решено все, кроме одной проблемы - https://mxtoolbox.com/problem/dns/dns-open-zone-transfer
Погуглил, наткнулся на сервис https://hackertarget.com/zone-transfer/
При указании своего домена эта штука показала мне полностью весь конфиг зоны. Все ресурсные записи, которые имеются, включая верификацию гугла, субдомены. В общем, все.
Как-то это не нормально на мой взгляд.
named.conf имеет вид:
user@host

options {
directory "/var/named";
allow-query { any; };
version "1.2.3.4";
query-source address * port 53;
allow-transfer { список серверов1 };
notify yes;
also-notify { список серверов2 };
allow-recursion { none; };
recursion no;
};

В списке серверов1 указаны вторичные DNS-сервера регистратора доменных имен.
В списке серверов2 указаны DNS-сервера регистратора доменных имен на которые он у них на сайте просит слать notify.

Их сервера так и должны отдавать ВСЮ информацию обо мне?
Go to the top of the page
 
+Quote Post
HorekRediskovich
bookmark
gyfbbdvkffmrljmmmwd
Dec 16 2016, в 18:30
Сообщение #2


Продвинутый участник
Иконка группы

Сообщений: 125

Вставить имя   :   Цитата

Группа: Участники

Цитата(v1k3ng @ Dec 16 2016, в 14:47) *
Есть там интересная кнопочка - Find Problems.

А можно ссылку где эта кнопка ибо изначально её тупо нет

З.ы. нашел после того как протестил домен
Go to the top of the page
 
+Quote Post
HorekRediskovich
bookmark
gyfbbdvkffmrljmmmwd
Dec 16 2016, в 19:54
Сообщение #3


Продвинутый участник
Иконка группы

Сообщений: 125

Вставить имя   :   Цитата

Группа: Участники

Нет не должен.
Go to the top of the page
 
+Quote Post
v1k3ng
bookmark
gyfbbdvkffmrljmmmwd
Dec 19 2016, в 13:01
Сообщение #4


Интересующийся новичок
Иконка группы

Сообщений: 57

Вставить имя   :   Цитата

ОС: centos/ubuntu
Город: tyumen

Группа: Участники

Автор темы
Цитата(HorekRediskovich @ 16th December 2016 - в 21:30) *
А можно ссылку где эта кнопка ибо изначально её тупо нет

З.ы. нашел после того как протестил домен


Да, она там. Не сразу появляется.
Цитата(HorekRediskovich @ 16th December 2016 - в 22:54) *
Нет не должен.


Порекомендуете, что можно сделать? Гугл не помог.
Go to the top of the page
 
+Quote Post
HorekRediskovich
bookmark
gyfbbdvkffmrljmmmwd
Dec 19 2016, в 13:21
Сообщение #5


Продвинутый участник
Иконка группы

Сообщений: 125

Вставить имя   :   Цитата

Группа: Участники

Цитата(v1k3ng @ Dec 19 2016, в 12:01) *
Порекомендуете, что можно сделать? Гугл не помог.

У меня те же самые настройки только у меня нет
Код
notify yes;
also-notify { список серверов2 };
Go to the top of the page
 
+Quote Post
ieleja
bookmark
gyfbbdvkffmrljmmmwd
Dec 19 2016, в 13:41
Сообщение #6


Постоялец
Иконка группы

Сообщений: 154

Вставить имя   :   Цитата

ОС: macOS, Linux, Windows
Город: Рига

Группа: Участники

http://www.linuxrsp.ru/artic/dns-sec.html



--------------------
ad infinitum


Спасибо сказали:
Go to the top of the page
 
+Quote Post
v1k3ng
bookmark
gyfbbdvkffmrljmmmwd
Dec 23 2016, в 07:20
Сообщение #7


Интересующийся новичок
Иконка группы

Сообщений: 57

Вставить имя   :   Цитата

ОС: centos/ubuntu
Город: tyumen

Группа: Участники

Автор темы
Цитата(ieleja @ 19th December 2016 - в 16:41) *

Статью читал. Настроено все, кроме TSIG. В остальном же, насколько я понимаю - проблема не столько с моим DNS, сколько с DNS РД(регистратора домена). Ведь это их DNS сервер отдает всю инфу обо мне.

Цитата(HorekRediskovich @ 19th December 2016 - в 16:21) *
У меня те же самые настройки только у меня нет
Код
notify yes;
also-notify { список серверов2 };

notify yes - при изменении серийного номера зоны посылать уведомления всем серверам allow-transfer
also-notify { список серверов2 } - так же послыать уведомления серверам из этого списка.

HorekRediskovich , инфу по вашему DNS, я так понял, этот чудо-хакерский сервис не выдает? (https://hackertarget.com/zone-transfer/)

Кроме того, написал в техподдержку с тем же вопросом и описанием. Вот такой овтет получен:
Цитата
Это стандартная процедура работы с DNS серверами, изменить её не представляется возможным. Посредством использования утилиты dig можно получить всю информацию из файла зоны DNS домена, которая, по сути, является открытой информацией и используется для обеспечения работы доменного имени с сервисами в сети.

Go to the top of the page
 
+Quote Post
Bizdelnick
bookmark
gyfbbdvkffmrljmmmwd
Dec 23 2016, в 10:34
Сообщение #8


grammatikführer
Иконка группы

Сообщений: 12168

Вставить имя   :   Цитата

ОС: Debian GNU/Linux
Город: Санкт-Петербург

Группа: Модераторы разделов

Цитата(v1k3ng @ 23rd December 2016 - в 07:20) *
Это стандартная процедура работы с DNS серверами, изменить её не представляется возможным.

Брехня. Информация хоть и является по сути открытой, но изменить поведение можно.


--------------------
Пишите правильно:
в консоли
в общем
вообще
в течение (часа)
команда
новичок
пожалуйста
приемлемо
проблема
пробовать
репозиторий
трафик
Go to the top of the page
 
+Quote Post
v1k3ng
bookmark
gyfbbdvkffmrljmmmwd
Dec 23 2016, в 10:38
Сообщение #9


Интересующийся новичок
Иконка группы

Сообщений: 57

Вставить имя   :   Цитата

ОС: centos/ubuntu
Город: tyumen

Группа: Участники

Автор темы
Я еще тут подумал. Может, я зря сыр-бор тут развел.
В первом посте я не упомянул, что DNS-сервер у меня этот, так сказать, внешний. Есть еще и внутренний, соответственно, он наружу вообще никак не смотрит, а служит только для ориентирования внутри сети.
Внешний же разруливает пул IP-адресов от провайдера. Показывает, где у меня MAIL-сервер, где FTP, верификацию гугла, DMARC, SPF и т.д.
Это как-то меняет суть?
Go to the top of the page
 
+Quote Post
HorekRediskovich
bookmark
gyfbbdvkffmrljmmmwd
Dec 23 2016, в 16:23
Сообщение #10


Продвинутый участник
Иконка группы

Сообщений: 125

Вставить имя   :   Цитата

Группа: Участники

Цитата(v1k3ng @ Dec 23 2016, в 06:20) *
HorekRediskovich , инфу по вашему DNS, я так понял, этот чудо-хакерский сервис не выдает? (https://hackertarget.com/zone-transfer/)

Да не показывает
Цитата(v1k3ng @ Dec 23 2016, в 09:38) *
Я еще тут подумал. Может, я зря сыр-бор тут развел.
В первом посте я не упомянул, что DNS-сервер у меня этот, так сказать, внешний. Есть еще и внутренний, соответственно, он наружу вообще никак не смотрит, а служит только для ориентирования внутри сети.
Внешний же разруливает пул IP-адресов от провайдера. Показывает, где у меня MAIL-сервер, где FTP, верификацию гугла, DMARC, SPF и т.д.
Это как-то меняет суть?

У меня в сети тоже 2 ДНС, Мой сервак обслуживает внешние подключения к доменам фирмы, и внутренние подключения к этим же доменам внутри фирмы (2-ве вьюхи)
А вторым рулит напарник так как это ДНС для AD
Go to the top of the page
 
+Quote Post
Bizdelnick
bookmark
gyfbbdvkffmrljmmmwd
Dec 23 2016, в 16:28
Сообщение #11


grammatikführer
Иконка группы

Сообщений: 12168

Вставить имя   :   Цитата

ОС: Debian GNU/Linux
Город: Санкт-Петербург

Группа: Модераторы разделов

Цитата(v1k3ng @ 23rd December 2016 - в 10:38) *
Это как-то меняет суть?

Нет.


--------------------
Пишите правильно:
в консоли
в общем
вообще
в течение (часа)
команда
новичок
пожалуйста
приемлемо
проблема
пробовать
репозиторий
трафик


Спасибо сказали:
Go to the top of the page
 
+Quote Post
v1k3ng
bookmark
gyfbbdvkffmrljmmmwd
Jan 19 2017, в 10:30
Сообщение #12


Интересующийся новичок
Иконка группы

Сообщений: 57

Вставить имя   :   Цитата

ОС: centos/ubuntu
Город: tyumen

Группа: Участники

Автор темы
В общем, вопрос решился.
Как и оказалось, прошлый админ не сильно заморочился, а я об этой функции просто не знал smile.gif
В настройках домена, в кабинете у nic.ru было указано, чтоб их DNS-сервера отдавали все данные по запросу на любой IP. Переключил на "Отдавать только указанным IP" и оставил список пустым. Все работает как положено. Техподдержка одобрила такое решение.
Go to the top of the page
 
+Quote Post

 Reply to this topic Start new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



RSS Текстовая версия Сейчас: 1st March 2017 - в 20:44




Rating@Mail.ru