请问如何防止Internet上的用户随便使用我的DNS

ryuken2008

我使用Bind作为DNS服务器软件。目前使用默认配置，任何Internet上的用户都可以使用我的DNS服务器。为了安全，我想限制一下。
请问是否在named.conf有什么options可以解决这个问题。谢谢

sylmdl

可以使用访问控制类表。可以先定义有效的IP地址或者要阻止的IP地址块。
然后再option中使用
allow-query
allow-recursion
blockhole
等语句适当允许或阻止DNS请求。

ryuken2008

原帖由 "sylmdl" 发表：
可以使用访问控制类表。可以先定义有效的IP地址或者要阻止的IP地址块。
然后再option中使用
allow-query
allow-recursion
blockhole
等语句适当允许或阻止DNS请求。

谢谢，已经搞定。
这样不会影响DNS服务器之间的正常查询吧。比如别人要访问我的WWW服务器，可能要先通过他的DNS服务器查询我的DNS服务器获得我WWW服务器IP地址。

網中人

allow-query 要小心些...
allow-recursion 可能是樓主要的.

ree

如果有注册的域名在这台DNS服务器上，就不能使用allow-query，allow-recursion的效果也不好。blackhole一般用来限制一些非正常的地址。
总之，如果有注册域的话，基本上无法限制用户访问。

網中人

能請教一下 ree 兄, 為何 allow-recursion 效果不好呢?

ree

我想应该出现这样的现象吧：
如果cache中已经有了纪录。被限制了recusion访问的用户应该能从cache中取道数据，而不使用第归的吧！

網中人

嗯.... 這個等會我測測看再說....

網中人

okay, 我測了一下.
在 namec.conf 加入如下設定:
allow-recursion { none; };

在修改之前, 連查兩下 bbs.chinaunix.net:

1. [root@www chroot]# host -v bGbs.chinaunix.net 127.0.0.1
   
2. Trying "bbs.chinaunix.net"
   
3. Using domain server:
   
4. Name: 127.0.0.1
   
5. Address: 127.0.0.1#53
   
6. Aliases:
   
7. 
   
8. ;; ->;>;HEADER<<- opcode: QUERY, status: NOERROR, id: 30731
   
9. ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
   
10. 
    
11. ;; QUESTION SECTION:
    
12. ;bbs.chinaunix.net.             IN      A
    
13. 
    
14. ;; ANSWER SECTION:
    
15. bbs.chinaunix.net.      10800   IN      A       222.36.44.5
    
16. 
    
17. ;; AUTHORITY SECTION:
    
18. chinaunix.net.          10800   IN      NS      dns2.hichina.com.
    
19. chinaunix.net.          10800   IN      NS      dns1.hichina.com.
    
20. 
    
21. ;; ADDITIONAL SECTION:
    
22. dns1.hichina.com.       172798  IN      A       218.30.103.50
    
23. dns1.hichina.com.       172798  IN      A       218.30.103.49
    
24. dns2.hichina.com.       172798  IN      A       218.244.135.40
    
25. 
    
26. Received 148 bytes from 127.0.0.1#53 in 3359 ms
    
27. [root@www chroot]# host -v bbs.chinaunix.net 127.0.0.1
    
28. Trying "bbs.chinaunix.net"
    
29. Using domain server:
    
30. Name: 127.0.0.1
    
31. Address: 127.0.0.1#53
    
32. Aliases:
    
33. 
    
34. ;; ->;>;HEADER<<- opcode: QUERY, status: NOERROR, id: 39354
    
35. ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
    
36. 
    
37. ;; QUESTION SECTION:
    
38. ;bbs.chinaunix.net.             IN      A
    
39. 
    
40. ;; ANSWER SECTION:
    
41. bbs.chinaunix.net.      10797   IN      A       222.36.44.5
    
42. 
    
43. ;; AUTHORITY SECTION:
    
44. chinaunix.net.          10797   IN      NS      dns1.hichina.com.
    
45. chinaunix.net.          10797   IN      NS      dns2.hichina.com.
    
46. 
    
47. ;; ADDITIONAL SECTION:
    
48. dns1.hichina.com.       172795  IN      A       218.30.103.50
    
49. dns1.hichina.com.       172795  IN      A       218.30.103.49
    
50. dns2.hichina.com.       172795  IN      A       218.244.135.40
    
51. 
    
52. Received 148 bytes from 127.0.0.1#53 in 12 ms

复制代码

從 TTL 的變化來看, 可以肯定是從 cache 得到的答案.

然後, 將 allow-recursion { none; }; 設起來之後:

1. [root@www chroot]# host -v bbs.chinaunix.net 127.0.0.1
   
2. Trying "bbs.chinaunix.net"
   
3. Using domain server:
   
4. Name: 127.0.0.1
   
5. Address: 127.0.0.1#53
   
6. Aliases:
   
7. 
   
8. ;; ->;>;HEADER<<- opcode: QUERY, status: NOERROR, id: 25632
   
9. ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 13, ADDITIONAL: 13
   
10. 
    
11. ;; QUESTION SECTION:
    
12. ;bbs.chinaunix.net.             IN      A
    
13. 
    
14. ;; AUTHORITY SECTION:
    
15. .                       518343  IN      NS      l.root-servers.net.
    
16. .                       518343  IN      NS      m.root-servers.net.
    
17. .                       518343  IN      NS      a.root-servers.net.
    
18. .                       518343  IN      NS      b.root-servers.net.
    
19. .                       518343  IN      NS      c.root-servers.net.
    
20. .                       518343  IN      NS      d.root-servers.net.
    
21. .                       518343  IN      NS      e.root-servers.net.
    
22. .                       518343  IN      NS      f.root-servers.net.
    
23. .                       518343  IN      NS      g.root-servers.net.
    
24. .                       518343  IN      NS      h.root-servers.net.
    
25. .                       518343  IN      NS      i.root-servers.net.
    
26. .                       518343  IN      NS      j.root-servers.net.
    
27. .                       518343  IN      NS      k.root-servers.net.
    
28. 
    
29. ;; ADDITIONAL SECTION:
    
30. a.root-servers.net.     604743  IN      A       198.41.0.4
    
31. b.root-servers.net.     604743  IN      A       192.228.79.201
    
32. c.root-servers.net.     604743  IN      A       192.33.4.12
    
33. d.root-servers.net.     604743  IN      A       128.8.10.90
    
34. e.root-servers.net.     604743  IN      A       192.203.230.10
    
35. f.root-servers.net.     604743  IN      A       192.5.5.241
    
36. g.root-servers.net.     604743  IN      A       192.112.36.4
    
37. h.root-servers.net.     604743  IN      A       128.63.2.53
    
38. i.root-servers.net.     604743  IN      A       192.36.148.17
    
39. j.root-servers.net.     604743  IN      A       192.58.128.30
    
40. k.root-servers.net.     604743  IN      A       193.0.14.129
    
41. l.root-servers.net.     604743  IN      A       198.32.64.12
    
42. m.root-servers.net.     604743  IN      A       202.12.27.33
    
43. 
    
44. Received 451 bytes from 127.0.0.1#53 in 21 ms
    

复制代码

看起來就不行了...

再取消這行:

1. [root@www chroot]# host -v bbs.chinaunix.net 127.0.0.1
   
2. Trying "bbs.chinaunix.net"
   
3. Using domain server:
   
4. Name: 127.0.0.1
   
5. Address: 127.0.0.1#53
   
6. Aliases:
   
7. 
   
8. ;; ->;>;HEADER<<- opcode: QUERY, status: NOERROR, id: 41163
   
9. ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
   
10. 
    
11. ;; QUESTION SECTION:
    
12. ;bbs.chinaunix.net.             IN      A
    
13. 
    
14. ;; ANSWER SECTION:
    
15. bbs.chinaunix.net.      10797   IN      A       222.36.44.5
    
16. 
    
17. ;; AUTHORITY SECTION:
    
18. chinaunix.net.          10797   IN      NS      dns2.hichina.com.
    
19. chinaunix.net.          10797   IN      NS      dns1.hichina.com.
    
20. 
    
21. ;; ADDITIONAL SECTION:
    
22. dns1.hichina.com.       172797  IN      A       218.30.103.50
    
23. dns1.hichina.com.       172797  IN      A       218.30.103.49
    
24. dns2.hichina.com.       172797  IN      A       218.244.135.40
    
25. 
    
26. Received 148 bytes from 127.0.0.1#53 in 12 ms
    

复制代码

網中人

啊.... 我發現我的測試犯了個很"嚴重"的錯誤:

我用 restart , 當然會清掉 cache!
所以不準!
我後來改用 reload, 就行了!

果然還是可以查.
不過, 也只能查那些在 cache 的.
只要 ttl 過了, 那就不用擔心了.
因此, 我覺得用 allow-recursion 來控制, 還是個不錯的方法....