named.conf-Option intranet_hosts

27/07/2013 - 12:56 von Helmut | Report spam
Hallo alle miteinander,

bei dem Versuch, beim ISC-bind Missbrauch per DNS-Rekursion abzublocken,
bin ich einerseits auf

<http://slashdot.org/story/06/03/16/...ursion>

gestossen und andererseits auf

<http://www.heise.de/security/meldun...6.html>
<http://www.heinlein-support.de/blog...eries/>

Peer Heinlein zeigt als Abhilfe den Eintrag

allow-recursion { 10.0.0.0/8; 192.168.0.0/16; 127.0.0.0/8; ::1; };

und dieser Eintrag scheint dafür zu sorgen, dass nur Anfragen aus dem
LAN beantwortet werden. Ok.

Woanders habe ich auch die Form "intranet_hosts" gefunden, manchmal auch
zusammen mit "localhost".

Die Suche nach "intranet_hosts" im "named"-Umfeld hat (bei meinen
Versuchen) bisher keinen Treffer geliefert. Aber

named-checkconf -p

scheint diese Abkürzung für "alle Hosts im LAN" zu akzeptieren.
Am Rande: auch die Suche nach "localhost" in der Manpage für
"named.conf" brachte keinen Treffer.

Wo könnte ich nachlesen, ob und wie "intranet_hosts" funktioniert?

Könnte es sein, dass für einen Nameserver, der nur sein Intranet
versorgen soll,

options {
[...]
listen-on { localhost; intranet_hosts; };
allow-query { localhost; intranet_hosts; };
allow-recursion { localhost; intranet_hosts; };

[...]
}

reicht? Ist vielleicht auch der Eintrag "localhost" dann noch
überflüssig?

-

Am Rande: bei "dnsmasq" scheint

interface=localnet

zu reichen.

Viele Gruesse
Helmut

"Ubuntu" - an African word, meaning "Slackware is too hard for me".
 

Lesen sie die antworten

#1 Tim Ritberg
27/07/2013 - 13:03 | Warnen spam
Am 27.07.2013 12:56, schrieb Helmut Hullen:
Hallo alle miteinander,

bei dem Versuch, beim ISC-bind Missbrauch per DNS-Rekursion abzublocken,
bin ich einerseits auf

<http://slashdot.org/story/06/03/16/...ursion>

gestossen und andererseits auf

<http://www.heise.de/security/meldun...6.html>
<http://www.heinlein-support.de/blog...eries/>

Peer Heinlein zeigt als Abhilfe den Eintrag

allow-recursion { 10.0.0.0/8; 192.168.0.0/16; 127.0.0.0/8; ::1; };

und dieser Eintrag scheint dafür zu sorgen, dass nur Anfragen aus dem
LAN beantwortet werden. Ok.

Woanders habe ich auch die Form "intranet_hosts" gefunden, manchmal auch
zusammen mit "localhost".




Das hier?

http://bolug.uni-bonn.de/archive/ma...00099.html

Ähnliche fragen