DNS. Bind. Content Filtering

Все остальное

DNS. Bind. Content Filtering

Сообщение Андрей » 08 ноя 2012, 11:14

Привет всем. Проблема вот какого плата. Хотел запретить отвечать днс-серверу при запросе определенных сайтов, а он падает. :(
Делаю вот что:
Код: Выделить всё
deny-answer-aliases { "example.net"; };


Вначале писала что:
Код: Выделить всё
/etc/namedb/named.conf:24: unknown option 'deny-answer-aliases'

Параметр вписан в секцию options.

Установлен bind99.

В итоге дошел до того, что она съела этот параметр, но(!), она отвечает на запросы. К примеру:
Код: Выделить всё
deny-answer-aliases { "ya.ru"; };

Код: Выделить всё
$ nslookup ya.ru 10.10.254.128
Server:      10.10.254.128
Address:   10.10.254.128#53

Non-authoritative answer:
Name:   ya.ru
Address: 213.180.204.3
Name:   ya.ru
Address: 213.180.193.3
Name:   ya.ru
Address: 77.88.21.3
Name:   ya.ru
Address: 93.158.134.3
Name:   ya.ru
Address: 87.250.250.3
Name:   ya.ru
Address: 87.250.250.203
Name:   ya.ru
Address: 93.158.134.203
Name:   ya.ru
Address: 87.250.251.3


Как быть?
Заранее благодарен за ответ.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: DNS. Bind. Content Filtering

Сообщение root » 08 ноя 2012, 12:36

Андрей писал(а):Параметр вписан в секцию options.

Он там и должен быть.

Андрей писал(а):но(!), она отвечает на запросы. К пример

а ты после изменения конфига рестартил named ?
кеш сбрасывал ?

в студию:
Код: Выделить всё
# named -v

и
Код: Выделить всё
cat named.conf
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: DNS. Bind. Content Filtering

Сообщение Андрей » 08 ноя 2012, 22:47

Код: Выделить всё
# named -v
BIND 9.9.2


Код: Выделить всё
# cat named.conf
// $FreeBSD: src/etc/namedb/named.conf,v 1.21.2.1 2005/09/10 08:27:27 dougb Exp $

options {
   directory   "/etc/namedb";
   pid-file   "/var/run/named/pid";
   dump-file   "/var/named/etc/namedb/named_dump.db";
   statistics-file   "/var/named/etc/namedb/named.stats";

   forwarders    { 62.165.32.250;
           62.165.33.250;
           8.8.8.8;
         };
         
   listen-on   { 192.168.1.242;
           10.10.254.128;
           127.0.0.1;
         };

   version "DNS Server";
   
   deny-answer-aliases { "ya.ru"; };
   

};

acl "trusted-dns" { 127.0.0.1; };

zone "." {
   type hint;
   file "named.root";
};

zone "0.0.127.IN-ADDR.ARPA" {
   type master;
   file "/etc/namedb/master/localhost.rev";
};

// RFC 3152
zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA" {
   type master;
   file "/etc/namedb/master/localhost-v6.rev";
};

zone "localhost"{
        type master;
        file "/etc/namedb/master/localhost-forward.db";
};

zone "127.in-addr.arpa" {
        type master;
   file "/etc/namedb/master/localhost-reverse.db";
};

zone "255.in-addr.arpa" {
   type master;
   file "/etc/namedb/master/empty.db";
};


key "rndc-key" {
   algorithm hmac-md5;
   secret "i3seLUNQFZWhAWPjuLdF0w==";
};

controls {
   inet 127.0.0.1 port 953
   allow { 127.0.0.1; } keys { "rndc-key"; };
};


Да, кэш сброшен, named перезапускался.

Продолжает отвечать на запросы.

ЗЫ. Может в очередной раз какой-то трабл с содержимым самой ОС? А то будет, как с mpd + radclient, что она COA не понимала.
На 2х сервераз стоит:
freebsd 7.0 sparc64 и freebsd 7.0 i386
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: DNS. Bind. Content Filtering

Сообщение Андрей » 12 ноя 2012, 19:29

Сегодня пробовал в:
Код: Выделить всё
cpu# uname -a
FreeBSD cpu.localhost 9.0-RELEASE FreeBSD 9.0-RELEASE #0: Tue Jan  3 07:15:25 UTC 2012     root@obrian.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC  i386
cpu# named -v
BIND 9.8.1-P1

Опция не работает. Проблем в конфиге не вижу, т.к. это не правило firewall'а, чтобы иметь очередность.
Куда дальше копать - не знаю.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: DNS. Bind. Content Filtering

Сообщение root » 13 ноя 2012, 08:26

судя по описанию опции должна работать
попробовать самому пока руки не доходят, работы вагон

а в логах что нить есть на эту тему ?
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: DNS. Bind. Content Filtering

Сообщение Андрей » 13 ноя 2012, 09:26

root писал(а):а в логах что нить есть на эту тему ?

Лог ведет только в консоль:
Код: Выделить всё
Nov 13 12:05:31 Monitor named[34016]: the working directory is not writable
Nov 13 12:05:31 Monitor named[34016]: zone 127.in-addr.arpa/IN: has 0 SOA records
Nov 13 12:05:31 Monitor named[34016]: zone 127.in-addr.arpa/IN: has no NS records
Nov 13 12:05:31 Monitor named[34016]: zone 127.in-addr.arpa/IN: not loaded due to errors.
Nov 13 12:05:31 Monitor named[34016]: zone localhost/IN: has 0 SOA records
Nov 13 12:05:31 Monitor named[34016]: zone localhost/IN: has no NS records
Nov 13 12:05:31 Monitor named[34016]: zone localhost/IN: not loaded due to errors.
Nov 13 12:05:31 Monitor named[34016]: zone 255.in-addr.arpa/IN: has 0 SOA records
Nov 13 12:05:31 Monitor named[34016]: zone 255.in-addr.arpa/IN: has no NS records
Nov 13 12:05:31 Monitor named[34016]: zone 255.in-addr.arpa/IN: not loaded due to errors.

Гуглил на предмет
Код: Выделить всё
Nov 13 12:05:31 Monitor named[34016]: the working directory is not writable
Решений нет, точнее есть, но они бредовые.
Код: Выделить всё
Monitor# ls -la /etc/namedb/
total 4116
drwxr-xr-x  5 root  wheel      512  8 ��� 14:18 .
drwxr-xr-x  3 root  wheel      512 11 ���  2011 ..
-rwxr-xr-x  1 root  wheel      423 11 ���  2011 PROTO.localhost-v6.rev
-rwxr-xr-x  1 root  wheel      423 11 ���  2011 PROTO.localhost.rev
drwxr-xr-x  2 bind  wheel      512 11 ���  2011 dynamic
-rwxr-xr-x  1 root  wheel     1089 11 ���  2011 make-localhost
drwxr-xr-x  2 root  wheel      512 12 ���  2011 master
-rwxr-xr-x  1 root  wheel     1994 13 ��� 12:02 named.conf
-rwxr-xr-x  1 root  wheel     3715 11 ���  2011 named.conf.sample
-rwxr-xr-x  1 root  wheel     2600 11 ���  2011 named.root
-rwxr-xr-x  1 root  wheel     2600 11 ���  2011 named.root.sample
-rwxr-xr-x  1 root  wheel        0 11 ���  2011 named.stats
-rwxr-xr-x  1 root  wheel  4153231 11 ���  2011 named_dump.db
-rwxr-xr-x  1 root  wheel        0 12 ���  2011 namedb.log
-rwxr-xr-x  1 root  wheel      224 11 ���  2011 rndc.conf
-rwxr-xr-x  1 root  wheel     1439  8 ��� 14:18 rndc.conf.sample
drwxr-xr-x  2 bind  wheel      512 11 ���  2011 slave

на � внимание не обращаем.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: DNS. Bind. Content Filtering

Сообщение Андрей » 15 ноя 2012, 06:38

Я, вот, подумал. А не придется ли для каждой deny группы описывать свою зону?

Хотелось бы листингом перечислить, чтобы она отказалась резолвить, но, получается, придется все Bad-зоны описывать персонально.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: DNS. Bind. Content Filtering

Сообщение root » 15 ноя 2012, 11:27

Андрей писал(а):Решений нет

У тя named наверняка запущен от пользователя bind и группы bind, а дира с bind`ом и конфиг файлы принадлежат другому юзеру, что видно по ls-la приведенным тобой же: юзер root группа wheel
Решение есть и оно вполне логичное в соответствии с написанным в логах named`а и выводом ls -la:
Код: Выделить всё
chown -R bind:bind /etc/namedb/


Андрей писал(а):А не придется ли для каждой deny группы описывать свою зону?

и что ты в ней напишешь ? 127.0.0.1 ? Так это можно сделать и без опции deny.
named.conf:
Код: Выделить всё
zone "ya.ru" { type master; file "master/reply_localhost.zone"; };
zone "any-other-domain.ru" { type master; file "master/reply_localhost.zone"; };

reply_localhost.zone:
Код: Выделить всё
$TTL    86400
@       IN      SOA     ns1.yourdomain.ru. root.yourdomain.ru. (
                          2012111501   ; serial number
                          28800   ; refresh  8 hours
                          7200    ; retry    2 hours
                          864000  ; expire  10 days
                          86400 ) ; min ttl  1 day
                NS      ns1.yourdomain.ru.

              IN        A       127.0.0.1
*             IN        A       127.0.0.1

При этом конфиге DNS запрос любого имени в домене ya.ru и any-other-domain.ru будет заканчиваться ответом 127.0.0.1, что посути равносильно deny.
На оба домена указан один и тот же файл зоны и таких доменов м.б. сколько угодно.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: DNS. Bind. Content Filtering

Сообщение Андрей » 19 ноя 2012, 09:04

root писал(а):При этом конфиге DNS запрос любого имени в домене ya.ru и any-other-domain.ru будет заканчиваться ответом 127.0.0.1, что посути равносильно deny.
На оба домена указан один и тот же файл зоны и таких доменов м.б. сколько угодно.

Или указать ip сайта, на котором повесить страницу: "А вам нельзя туда". :)
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область


Вернуться в Разное (networks)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 14

cron