[memo] BIND9 named.conf の少しセキュアな設定

BIND話。忘れないようにメモ(ただし、bind 9.3.x (RedHatEL 5.x/CentOS 5.x) での話。bind 9.4 以上の場合は下記URL参照)。
http://www.isokiti.tv/~isobetti/sabakan/index.php?e=177
DNSサーバーって設定が大変ですねえ…

named.conf を編集。
//以下のように追記
acl trust{
192.168.1.0/24;
127.0.0.1;
};

//options の中に追記
options {
:
:

//allow-query { any; }; //元にあった行をコメントアウト


allow-query { trust; }; //許可リスト acl "trust" で指定したIPのみ許可する
};
設定が終わったら、保存して終了して、named を restart する。
これにて、
192.168.1.x な IP を持つ端末と、参照される named が動いている端末 (127.0.0.1な為) からアクセスした場合、問い合わせできるようになる。

下記のように IP を直接指定した場合は…
acl trust{
192.168.1.10;

192.168.1.101;


127.0.0.1;
};
値が示す通り、192.168.1.10、192.168.1.101 と localhost (127.0.0.1) からのアクセスのみしか出来ない。
参照される IP アドレスが限られるような内部向けDNSではこうやると良いのかなあ(これはやり過ぎの気がするがw)。

ちなみに、BIND の設定で
192.168.1.10 が host.jp ドメイン
192.168.1.101 が host.dom01.jp ドメイン
(もちろん、ともに named は起動した状態)と指定していたとして、
192.168.1.102 という IP を持った端末から "ping host.dom01.jp" と入力すると、
前述の例では 応答が返ってきて、後述の例ではエラー(unkown host 〜)となる。

広告
カテゴリー: コンピューターとインターネット パーマリンク

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中