Przydatne informacje dotyczące serwera DNS Named/Bind / Named/Bind / Usługi systemowe / Dokumentacja

CONTENT

CHANGES

Szukaj

#top RFC 1918 response from Internet¶

Powyższe komunikaty pojawiające się w logu /var/log/named/named.log (lub /var/log/named/security-debug.log w zależności od konfiguracji logowania logging) serwera Named:

30-May-2016 09:21:19.256 security: warning: client 10.41.0.58#43554: view internal: RFC 1918 response from Internet for 1.0.169.10.in-addr.arpa
30-May-2016 09:29:33.448 security: warning: client 10.41.0.58#52754: view internal: RFC 1918 response from Internet for 1.0.16.172.in-addr.arpa
30-May-2016 09:32:58.094 security: warning: client 10.41.0.58#53205: view internal: RFC 1918 response from Internet for 1.0.168.192.in-addr.arpa

Treść komunikatu RFC 1918 response from Internet w tłumaczeniu niemal dosłownym oznacza odebrano odpowiedź z serwera DNS (Internetu) dla zapytania o adres IP znajdujący się w podsieci zdefiniowanej w RFC 1918 (Address Allocation for Private Internets). Zgodnie z dokumentem RFC 1918 pula adresów prywatnych (Private Address Space) zdefiniowana jest następująco:

3. Private Address Space

The Internet Assigned Numbers Authority (IANA) has reserved the following three blocks of the IP address space for private internets:
10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

Built-in Empty Zones (v9.9) | Built-in Empty Zones (v9.8.2)
Zapytania o nazwy domenowe nie powinny być wysyłane do serwerów DNS dostępnych w Internecie. Serwer Named/Bind powinien sam rozwiązywać adresy IP z puli prywatnej na nazwy domenowe. W tym celu należy włączyć (dla widoku wewnętrznego) opcję empty-zones-enable yes lub ustawić opcję disable-empty-zone ".";
W przypadku definicji widoku wewnętrznego view "internal" znajdującej się w pliku /etc/named/named.conf konfiguracja będzie przedstawiać się następująco:

view "internal" {
        match-clients { localhost; 127.0.0.0/8; 10.5.5.0/28; 10.41.0.0/16; 10.0.0.0/16; };
        recursion yes;
        allow-recursion { localhost; 127.0.0.0/8; 10.5.5.0/28; 10.41.0.0/16; 10.0.0.0/16;  };
[...]
        empty-zones-enable yes;
        disable-empty-zone ".";
[...]
};

Alternatywnie w definicji widoku wewnętrznego view "internal" znajdującej się w pliku /etc/named/named.conf można umieścić explicte definicję stref odwzorowania odwrotnego dla podsieci zdefiniowanych w RFC 1918, po wprowadzeniu deklaracji stref konfiguracja będzie przedstawiać się następująco:

view "internal" {
        match-clients { localhost; 127.0.0.0/8; 10.5.5.0/28; 10.41.0.0/16; 10.0.0.0/16; };
        recursion yes;
        allow-recursion { localhost; 127.0.0.0/8; 10.5.5.0/28; 10.41.0.0/16; 10.0.0.0/16; };
[...]
        zone "10.in-addr.arpa"      { type master; file "/etc/named/db/named.zero"; allow-update { none; }; };
        zone "16.172.in-addr.arpa"  { type master; file "/etc/named/db/named.zero"; allow-update { none; }; };
        zone "17.172.in-addr.arpa"  { type master; file "/etc/named/db/named.zero"; allow-update { none; }; };
        zone "18.172.in-addr.arpa"  { type master; file "/etc/named/db/named.zero"; allow-update { none; }; };
        zone "19.172.in-addr.arpa"  { type master; file "/etc/named/db/named.zero"; allow-update { none; }; };
        zone "20.172.in-addr.arpa"  { type master; file "/etc/named/db/named.zero"; allow-update { none; }; };
        zone "21.172.in-addr.arpa"  { type master; file "/etc/named/db/named.zero"; allow-update { none; }; };
        zone "22.172.in-addr.arpa"  { type master; file "/etc/named/db/named.zero"; allow-update { none; }; };
        zone "23.172.in-addr.arpa"  { type master; file "/etc/named/db/named.zero"; allow-update { none; }; };
        zone "24.172.in-addr.arpa"  { type master; file "/etc/named/db/named.zero"; allow-update { none; }; };
        zone "25.172.in-addr.arpa"  { type master; file "/etc/named/db/named.zero"; allow-update { none; }; };
        zone "26.172.in-addr.arpa"  { type master; file "/etc/named/db/named.zero"; allow-update { none; }; };
        zone "27.172.in-addr.arpa"  { type master; file "/etc/named/db/named.zero"; allow-update { none; }; };
        zone "28.172.in-addr.arpa"  { type master; file "/etc/named/db/named.zero"; allow-update { none; }; };
        zone "29.172.in-addr.arpa"  { type master; file "/etc/named/db/named.zero"; allow-update { none; }; };
        zone "30.172.in-addr.arpa"  { type master; file "/etc/named/db/named.zero"; allow-update { none; }; };
        zone "31.172.in-addr.arpa"  { type master; file "/etc/named/db/named.zero"; allow-update { none; }; };
        zone "168.192.in-addr.arpa" { type master; file "/etc/named/db/named.zero"; allow-update { none; }; };
        zone "254.169.in-addr.arpa" { type master; file "/etc/named/db/named.zero"; allow-update { none; }; };
[...]
};

Plik /etc/named/db/named.zero definiujący strefy zdefiniowane w RFC 1918 powinien zawierać wpisy tylko i wyłącznie serwerów nazw (Name Server, wpisy NS), analogicznie jak przedstawiono to poniżej:

$TTL    86400
@               IN SOA localhost.    root.localhost. (
                                     42              ; serial (d. adams)
                                     3H              ; refresh
                                     15M             ; retry
                                     1W              ; expiry
                                     1D )            ; minimum
        IN      NS     localhost.

Zmodyfikowany ostatnio: 2016/05/31 12:27:27 (8 lat temu), textsize: 18,7 kB, htmlsize: 11,2 kB

Zapraszam do komentowania, zgłaszania sugestii, propozycji, własnych przykładów, ...

Dodaj komentarzKomentarze użytkowników