Comments on: Ferme ton Bind ! http://gcolpart.evolix.net/blog21/ferme-ton-bind/ Labor omnia vincit improbus Mon, 15 Mar 2010 11:31:15 +0000 http://wordpress.org/?v=2.9.1 hourly 1 By: Gregory Colpart http://gcolpart.evolix.net/blog21/ferme-ton-bind/comment-page-1/#comment-29406 Gregory Colpart Tue, 03 Feb 2009 22:45:32 +0000 http://gcolpart.evolix.net/blog21/?p=180#comment-29406 J'avais un compte en fait, mais pas d'image en place. J'ai essayé d'en mettre une... J’avais un compte en fait, mais pas d’image en place. J’ai essayé d’en mettre une…

]]> By: Jérémy Lecour http://gcolpart.evolix.net/blog21/ferme-ton-bind/comment-page-1/#comment-29389 Jérémy Lecour Tue, 03 Feb 2009 08:12:35 +0000 http://gcolpart.evolix.net/blog21/?p=180#comment-29389 AU fait, reg, tu pourrais te faire un gravatar, ça egayerait tes commentaires. http://gravatar.com/. Ça s'ajoute automatiquement en fonction de ton adresse e-mail sur les commentaires de blogs, … AU fait, reg, tu pourrais te faire un gravatar, ça egayerait tes commentaires. http://gravatar.com/. Ça s’ajoute automatiquement en fonction de ton adresse e-mail sur les commentaires de blogs, …

]]> By: Jérémy Lecour http://gcolpart.evolix.net/blog21/ferme-ton-bind/comment-page-1/#comment-29369 Jérémy Lecour Mon, 02 Feb 2009 21:40:16 +0000 http://gcolpart.evolix.net/blog21/?p=180#comment-29369 Merci pour les précisions. Un tuc était pas clair (pour moi) c'est que si on ferme le bind globalement au niveau des requêtes externes, il faut les ouvrir à nouveau pour les domaines qui sont déclarés sur le serveur en question, sinon, ils ne seront plus accessibles. Evidemment en y repensant maintenant, c'est ultra logique. C'est ce qui m'est bêtement arrivé aujourd'hui. J'ai suivi le conseil sans trop chercher et j'avais mes domaines qui ne répondaient plus. Ça n'a pas l'air de m'avoir causé de tort entre les caches, le DNS secondaire, … mais bon, j'aurai dû réfléchir. Là avec le "allow-query { any; };" dans chacunes de mes zones master, ça marche bien mieux ;-) Merci pour les précisions.

Un tuc était pas clair (pour moi) c’est que si on ferme le bind globalement au niveau des requêtes externes, il faut les ouvrir à nouveau pour les domaines qui sont déclarés sur le serveur en question, sinon, ils ne seront plus accessibles. Evidemment en y repensant maintenant, c’est ultra logique.

C’est ce qui m’est bêtement arrivé aujourd’hui. J’ai suivi le conseil sans trop chercher et j’avais mes domaines qui ne répondaient plus. Ça n’a pas l’air de m’avoir causé de tort entre les caches, le DNS secondaire, … mais bon, j’aurai dû réfléchir.

Là avec le “allow-query { any; };” dans chacunes de mes zones master, ça marche bien mieux ;-)

]]> By: sov http://gcolpart.evolix.net/blog21/ferme-ton-bind/comment-page-1/#comment-29360 sov Mon, 02 Feb 2009 18:15:46 +0000 http://gcolpart.evolix.net/blog21/?p=180#comment-29360 Mmm salut et merci pour ce billet, par contre depuis que j'ai bloqué au niveau du pare-feu grâce à l'astuce glissé ici (thx :p), je reçois le même genre de flood sur mon reverse (sur lequel je n'ai pas la main donc y a de toute manière peu de chances que cela soit des requêtes légitimes). Et pareil les IP doivent être falsifié parce que leurs reverses renvoient sur des machines de gros groupes (genre nintendo). Vous avez observé quelque chose de similaire chez vous ? Mmm salut et merci pour ce billet,
par contre depuis que j’ai bloqué au niveau du pare-feu grâce à l’astuce glissé ici (thx :p), je reçois le même genre de flood sur mon reverse (sur lequel je n’ai pas la main donc y a de toute manière peu de chances que cela soit des requêtes légitimes).
Et pareil les IP doivent être falsifié parce que leurs reverses renvoient sur des machines de gros groupes (genre nintendo).
Vous avez observé quelque chose de similaire chez vous ?

]]> By: Gregory Colpart http://gcolpart.evolix.net/blog21/ferme-ton-bind/comment-page-1/#comment-29359 Gregory Colpart Mon, 02 Feb 2009 18:01:43 +0000 http://gcolpart.evolix.net/blog21/?p=180#comment-29359 Hello loloemr, On autorise évidemment les réponses pour certains domaines en définissant une zone. Par exemple : <code>zone "example.com" { type master; file "/etc/bind/db.example.com"; allow-query { any; }; allow-transfer { "myacl1"; }; };</code> Hello loloemr,

On autorise évidemment les réponses pour certains domaines en définissant une zone. Par exemple :
zone "example.com" {
type master;
file "/etc/bind/db.example.com";
allow-query { any; };
allow-transfer { "myacl1"; };
};

]]> By: Gregory Colpart http://gcolpart.evolix.net/blog21/ferme-ton-bind/comment-page-1/#comment-29358 Gregory Colpart Mon, 02 Feb 2009 17:57:56 +0000 http://gcolpart.evolix.net/blog21/?p=180#comment-29358 Hello Jérémy, Pour le allow-transfert{}, il est recommandé de le désactiver globalement et de l'activer spécifiquement pour les domaines concernés dans la configuration de zone. Exemple : <code>allow-transfert{none;}; zone "example.com" { allow transfer { "acl1"; }; zone "anotherexample.com" { allow transfer { "acl2"; }; }</code> Bien sûr, si tu n'as qu'un seul serveur secondaire, ça se discute (pense néanmoins aux évolutions possibles). Enfin, tu as compris : le principal est de ne pas répondre à tout le monde ! Hello Jérémy,

Pour le allow-transfert{}, il est recommandé de le désactiver globalement et de l’activer spécifiquement pour les domaines concernés dans la configuration de zone. Exemple :
allow-transfert{none;};
zone "example.com" {
allow transfer { "acl1"; };
zone "anotherexample.com" {
allow transfer { "acl2"; };
}
Bien sûr, si tu n’as qu’un seul serveur secondaire, ça se discute (pense néanmoins aux évolutions possibles). Enfin, tu as compris : le principal est de ne pas répondre à tout le monde !

]]> By: loloemr http://gcolpart.evolix.net/blog21/ferme-ton-bind/comment-page-1/#comment-29350 loloemr Mon, 02 Feb 2009 10:46:21 +0000 http://gcolpart.evolix.net/blog21/?p=180#comment-29350 Petite question : à quoi sert un serveur dns si on ne peut faire aucune requète dessus ? Petite question : à quoi sert un serveur dns si on ne peut faire aucune requète dessus ?

]]> By: Jérémy Lecour http://gcolpart.evolix.net/blog21/ferme-ton-bind/comment-page-1/#comment-29340 Jérémy Lecour Mon, 02 Feb 2009 07:37:42 +0000 http://gcolpart.evolix.net/blog21/?p=180#comment-29340 Hello reg, Merci pour le conseil, j'avais une machine qui me répondait la liste des serveurs Root. J'ai donc ajouté la directive pour "allow-query". Par contre, au niveau du transfert, ne faut-il pas autoriser le serveur DNS secondaire pour qu'il puisse se synchroniser ? Je dis peut-être une connerie sachant mes connaissances limitées au niveau des serveurs de noms. Un petit détail change aussi pour moi, au lieu du simple "localhost", j'ai aussi "127.0.0.1" et mes 2 IP publiques dans les blocs autorisés. Je ne sais plus pourquoi c'est comme ça. Est-ce mal ? Hello reg,

Merci pour le conseil, j’avais une machine qui me répondait la liste des serveurs Root. J’ai donc ajouté la directive pour “allow-query”.

Par contre, au niveau du transfert, ne faut-il pas autoriser le serveur DNS secondaire pour qu’il puisse se synchroniser ? Je dis peut-être une connerie sachant mes connaissances limitées au niveau des serveurs de noms.

Un petit détail change aussi pour moi, au lieu du simple “localhost”, j’ai aussi “127.0.0.1″ et mes 2 IP publiques dans les blocs autorisés. Je ne sais plus pourquoi c’est comme ça. Est-ce mal ?

]]> By: Olivier B. http://gcolpart.evolix.net/blog21/ferme-ton-bind/comment-page-1/#comment-29333 Olivier B. Sun, 01 Feb 2009 22:55:02 +0000 http://gcolpart.evolix.net/blog21/?p=180#comment-29333 Bonsoir, merci pour ce petit filtre iptables ; je cherchais justement une solution de la sorte, mais y était sûrement mal pris ;) Bonsoir,

merci pour ce petit filtre iptables ; je cherchais justement une solution de la sorte, mais y était sûrement mal pris ;)

]]>