Трансфер зон BIND9

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.

Модератор: SLEDopit

v1k3ng
Сообщения: 98
ОС: centos/ubuntu

Трансфер зон BIND9

Сообщение v1k3ng »

Здравствуйте.
Имеется купленное доменное имя. DNS-сервис свой собственный.
Т.е. регистратор доменных имен предоставляет только доменное имя, первичный для него DNS находится у меня, а вторичные - уже у регистратора доменных имен.
В процессе разбора что тут осталось от прошлого админа наткнулся на сервис http://mxtoolbox.com/
Есть там интересная кнопочка - Find Problems.
Он списком выдает все найденные по его мнению проблемы.
Решено все, кроме одной проблемы - https://mxtoolbox.com/problem/dns/dns-open-zone-transfer
Погуглил, наткнулся на сервис https://hackertarget.com/zone-transfer/
При указании своего домена эта штука показала мне полностью весь конфиг зоны. Все ресурсные записи, которые имеются, включая верификацию гугла, субдомены. В общем, все.
Как-то это не нормально на мой взгляд.
named.conf имеет вид:

user@host

options { directory "/var/named"; allow-query { any; }; version "1.2.3.4"; query-source address * port 53; allow-transfer { список серверов1 }; notify yes; also-notify { список серверов2 }; allow-recursion { none; }; recursion no; };


В списке серверов1 указаны вторичные DNS-сервера регистратора доменных имен.
В списке серверов2 указаны DNS-сервера регистратора доменных имен на которые он у них на сайте просит слать notify.

Их сервера так и должны отдавать ВСЮ информацию обо мне?
Спасибо сказали:

HorekRediskovich
Сообщения: 125

Re: Трансфер зон BIND9

Сообщение HorekRediskovich »

v1k3ng писал(а):
16.12.2016 15:47
Есть там интересная кнопочка - Find Problems.

А можно ссылку где эта кнопка ибо изначально её тупо нет

З.ы. нашел после того как протестил домен
Спасибо сказали:

HorekRediskovich
Сообщения: 125

Re: Трансфер зон BIND9

Сообщение HorekRediskovich »

Нет не должен.
Спасибо сказали:

v1k3ng
Сообщения: 98
ОС: centos/ubuntu

Re: Трансфер зон BIND9

Сообщение v1k3ng »

HorekRediskovich писал(а):
16.12.2016 18:30
А можно ссылку где эта кнопка ибо изначально её тупо нет

З.ы. нашел после того как протестил домен


Да, она там. Не сразу появляется.
HorekRediskovich писал(а):
16.12.2016 19:54
Нет не должен.


Порекомендуете, что можно сделать? Гугл не помог.
Спасибо сказали:

HorekRediskovich
Сообщения: 125

Re: Трансфер зон BIND9

Сообщение HorekRediskovich »

v1k3ng писал(а):
19.12.2016 13:01
Порекомендуете, что можно сделать? Гугл не помог.

У меня те же самые настройки только у меня нет

Код: Выделить всё

notify yes;
also-notify { список серверов2 };
Спасибо сказали:

Аватара пользователя
ieleja
Сообщения: 307
ОС: Debian 9, macOS, Windows

Re: Трансфер зон BIND9

Сообщение ieleja »

ad infinitum
Спасибо сказали:

v1k3ng
Сообщения: 98
ОС: centos/ubuntu

Re: Трансфер зон BIND9

Сообщение v1k3ng »


Статью читал. Настроено все, кроме TSIG. В остальном же, насколько я понимаю - проблема не столько с моим DNS, сколько с DNS РД(регистратора домена). Ведь это их DNS сервер отдает всю инфу обо мне.

HorekRediskovich писал(а):
19.12.2016 13:21
У меня те же самые настройки только у меня нет
Код
notify yes;
also-notify { список серверов2 };

notify yes - при изменении серийного номера зоны посылать уведомления всем серверам allow-transfer
also-notify { список серверов2 } - так же послыать уведомления серверам из этого списка.

HorekRediskovich , инфу по вашему DNS, я так понял, этот чудо-хакерский сервис не выдает? (https://hackertarget.com/zone-transfer/)

Кроме того, написал в техподдержку с тем же вопросом и описанием. Вот такой овтет получен:
Это стандартная процедура работы с DNS серверами, изменить её не представляется возможным. Посредством использования утилиты dig можно получить всю информацию из файла зоны DNS домена, которая, по сути, является открытой информацией и используется для обеспечения работы доменного имени с сервисами в сети.

Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 17911
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Трансфер зон BIND9

Сообщение Bizdelnick »

v1k3ng писал(а):
23.12.2016 07:20
Это стандартная процедура работы с DNS серверами, изменить её не представляется возможным.

Брехня. Информация хоть и является по сути открытой, но изменить поведение можно.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

v1k3ng
Сообщения: 98
ОС: centos/ubuntu

Re: Трансфер зон BIND9

Сообщение v1k3ng »

Я еще тут подумал. Может, я зря сыр-бор тут развел.
В первом посте я не упомянул, что DNS-сервер у меня этот, так сказать, внешний. Есть еще и внутренний, соответственно, он наружу вообще никак не смотрит, а служит только для ориентирования внутри сети.
Внешний же разруливает пул IP-адресов от провайдера. Показывает, где у меня MAIL-сервер, где FTP, верификацию гугла, DMARC, SPF и т.д.
Это как-то меняет суть?
Спасибо сказали:

HorekRediskovich
Сообщения: 125

Re: Трансфер зон BIND9

Сообщение HorekRediskovich »

v1k3ng писал(а):
23.12.2016 07:20
HorekRediskovich , инфу по вашему DNS, я так понял, этот чудо-хакерский сервис не выдает? (https://hackertarget.com/zone-transfer/)

Да не показывает
v1k3ng писал(а):
23.12.2016 10:38
Я еще тут подумал. Может, я зря сыр-бор тут развел.
В первом посте я не упомянул, что DNS-сервер у меня этот, так сказать, внешний. Есть еще и внутренний, соответственно, он наружу вообще никак не смотрит, а служит только для ориентирования внутри сети.
Внешний же разруливает пул IP-адресов от провайдера. Показывает, где у меня MAIL-сервер, где FTP, верификацию гугла, DMARC, SPF и т.д.
Это как-то меняет суть?

У меня в сети тоже 2 ДНС, Мой сервак обслуживает внешние подключения к доменам фирмы, и внутренние подключения к этим же доменам внутри фирмы (2-ве вьюхи)
А вторым рулит напарник так как это ДНС для AD
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 17911
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Трансфер зон BIND9

Сообщение Bizdelnick »

v1k3ng писал(а):
23.12.2016 10:38
Это как-то меняет суть?

Нет.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

v1k3ng
Сообщения: 98
ОС: centos/ubuntu

Re: Трансфер зон BIND9

Сообщение v1k3ng »

В общем, вопрос решился.
Как и оказалось, прошлый админ не сильно заморочился, а я об этой функции просто не знал :)
В настройках домена, в кабинете у nic.ru было указано, чтоб их DNS-сервера отдавали все данные по запросу на любой IP. Переключил на "Отдавать только указанным IP" и оставил список пустым. Все работает как положено. Техподдержка одобрила такое решение.
Спасибо сказали: