BIND: Nameservermissbrauch verhindern?!
Posted: 2013-04-10 02:51
Hallo zusammen!
Aus aktuellem Anlass möchte ich gerne wissen, wie ich meinen BIND "absichern" muss.
(Debian Squeeze mit Bind9, stable)
Derzeit wird ja Spamhaus offenbar durch "offene" Nameserver attackiert, die Error-Nachrichten an Spamhaus schicken.
Meine beiden NS sind ganz schlicht konfiguriert: einer ist Master, der andere Slave, es werden eine Handvoll Domains gehostet.
Da ich kein Nameserverexperte bin:
Wie kann ich das Teil absichern, damit er nicht für den o.g. Zweck missbraucht wird?
Die wesentlichen Settings, die ich in der named.conf.options forgenommen habe lauten:
und dann hab ich noch 2 ForwarderNS eingetragen.
Gewünscht ist eigentlich folgende Funktionalität:
Es sollen Anfragen von jedem beantwortet werden, für die meine NS zuständig sind - also für die Handvoll Domains.
Alle übrigen Anfragen von ausserhalb sollen nicht bearbeitet werden.
Von innen jedoch (also von lokalen Diensten wie Mailserver) soll der Bind aber die Anfragen nach aussen durchführen.
Was ist zu tun?
Aus aktuellem Anlass möchte ich gerne wissen, wie ich meinen BIND "absichern" muss.
(Debian Squeeze mit Bind9, stable)
Derzeit wird ja Spamhaus offenbar durch "offene" Nameserver attackiert, die Error-Nachrichten an Spamhaus schicken.
Meine beiden NS sind ganz schlicht konfiguriert: einer ist Master, der andere Slave, es werden eine Handvoll Domains gehostet.
Da ich kein Nameserverexperte bin:
Wie kann ich das Teil absichern, damit er nicht für den o.g. Zweck missbraucht wird?
Die wesentlichen Settings, die ich in der named.conf.options forgenommen habe lauten:
Code: Select all
allow-query {any;};Gewünscht ist eigentlich folgende Funktionalität:
Es sollen Anfragen von jedem beantwortet werden, für die meine NS zuständig sind - also für die Handvoll Domains.
Alle übrigen Anfragen von ausserhalb sollen nicht bearbeitet werden.
Von innen jedoch (also von lokalen Diensten wie Mailserver) soll der Bind aber die Anfragen nach aussen durchführen.
Was ist zu tun?