Re: Restringir quien puede hacer consultas a mi DNS
On Thu, 2019-08-22 at 17:32 -0400, remgasis remgasis wrote:
>
>
> On Thu, Aug 22, 2019, 5:20 PM Leonardo Yanes Batista <
> informatico@alficsa.co.cu> wrote:
> > Es que esa zona que autogenera SAMBA4, es la zona de mi LAN, mi DNS
> > solo tiene una vista, la de la LAN.
> > He intentado como te comenté definirle esos parámetros en la
> > sección global de BIND9, pero, aparentemente, cuando carga todas
> > las zonas, al cargar la de SAMBA4... este sobreescribe esa
> > configuración.
> >
> > From: "remgasis remgasis" <remgasis@gmail.com>
> > To: "Leonardo Yanes Batista" <informatico@alficsa.co.cu>
> > Cc: "lista-debian" <debian-user-spanish@lists.debian.org>
> > Sent: Thursday, August 22, 2019 5:14:02 PM
> > Subject: Re: Restringir quien puede hacer consultas a mi DNS
> >
> >
> >
> > On Thu, Aug 22, 2019, 4:21 PM Leonardo Yanes Batista <
> > informatico@alficsa.co.cu> wrote:
> > > Hola, muchas gracias por la prontitud de tu respuesta.
> > > Cuando compilo SAMBA4 y le defino que el backend que voy a
> > > utilizar va a ser BIND9, este autogenera la zona DNS y toda su
> > > configuración, pero luego no encuentro donde puedo modificar la
> > > configuración de esa zona.
> > >
> > > La forma en la que enlazo SAMBA4 y BIND9 es incluyendo en el
> > > archivo:
> > > /etc/bind/named.conf.local
> > >
> > > lo siguiente:
> > > include "/var/lib/samba/private/named.conf";
> > >
> > > Y este archivo enlazado lo que contiene es lo siguiente:
> > >
> > > dlz "AD DNS Zone" {
> > > database "dlopen /usr/lib/x86_64-linux-
> > > gnu/samba/bind9/dlz_bind9_10.so";
> > > };
> > >
> > > Por favor, si fueses tan amable de decirme donde puedo encontrar
> > > el archivo de configuración de zona para luego modificarlo.. te
> > > lo agradecería.
> > >
> > > From: "remgasis remgasis" <remgasis@gmail.com>
> > > To: "Leonardo Yanes Batista" <informatico@alficsa.co.cu>
> > > Cc: "lista-debian" <debian-user-spanish@lists.debian.org>
> > > Sent: Thursday, August 22, 2019 4:07:36 PM
> > > Subject: Re: Restringir quien puede hacer consultas a mi DNS
> > >
> > > On Thu, Aug 22, 2019, 3:52 PM Leonardo Yanes Batista <
> > > informatico@alficsa.co.cu> wrote:
> > > > Hola a todos, tengo un controlador de dominio funcionando con
> > > > SAMBA4 y como backend uso BIND9. Quisiera definir cuales son
> > > > las IP en específico que pueden realizar consultas a mi DNS
> > > > (Bind). He intentado realizarlo de la siguiente manera:
> > > >
> > > > En el archivo /etc/bind/named.conf.options
> > > >
> > > > options {
> > > > allow-query {
> > > > none;
> > > > };
> > > > ...
> > > > };
> > > >
> > > > con esto, debería de bastar para que el DNS no respondiera
> > > > ninguna consulta, pero cuando intento realizar una consulta
> > > > desde cualquier PC de mi LAN, el DNS responde correctamente.
> > > >
> > > > PD: He reiniciado servicios, limpie la cache en los clientes
> > > > con ipconfig /flushdns y tengo la dirección de IP de ese DNS
> > > > como única dirección en la configuración de DNS de mis
> > > > clientes.
> > > > Muchas gracias de antemano por alguna idea, sugerencia o
> > > > solución.. de como pudiera lograrlo.
> > > >
> > > >
> > > > IMPORTANTE: El contenido de este correo electrónico y los
> > > > archivos adjuntos son confidenciales. Está estrictamente
> > > > prohibido compartir cualquier parte de este mensaje con
> > > > terceros, sin el consentimiento por escrito del remitente. Si
> > > > recibió este mensaje por error, no responda a este mensaje y
> > > > continúe con su eliminación, para que podamos asegurarnos de
> > > > que no se produzcan errores en el futuro. Este mensaje ha sido
> > > > analizado por ClamAV antivirus y se considera totalmente libre
> > > > de amenazas.
> > >
> > >
> > > Hola leonardo.
> > >
> > > El estamento allow query lo puedes aplicar tambien directamente a
> > > la zona/s. Hazlo, revisa los logs y nos comentas de vuelta.
> > >
> > > Alejandro
> >
> > Entiendo ... Tambien esta integrado por default ... Y cabe la
> > posibilidad que puedas agregar la zona/s de tu lan?
> >
> > Alejandro
>
> Lee esto, quiza te pueda ayudar:
>
> http://blog.infratic.com/configurar-bind-como-dns-de-samba-4-domain-controller/
>
Hola,
Si usas debian 9 o posterior, intenta directamente omitir la opción
"allow-query".
e.g.:
options {
directory "/var/cache/bind";
...
};
El comportamiento (predeterminado) debería ser que bind acepte
consultas solo de sus zonas y no como resolver de zonas no
autoritativas.
Por ejemplo consultando desde otro equipo:
$ nslookup google.com <ip-del-servidor>
La respuesta debería ser:
** server can't find google.con: REFUSED
Con la opción allow-query none estarías restringiendo hasta el propio
servidor.
Saludos
Reply to: