guzik » PowerDNS http://guzik.net.pl/blog Mój blog Fri, 27 Jan 2012 22:13:05 +0000 en hourly 1 http://wordpress.org/?v=3.3.1 version.bind http://guzik.net.pl/blog/2008/09/versionbind/ http://guzik.net.pl/blog/2008/09/versionbind/#comments Thu, 04 Sep 2008 06:05:30 +0000 guzik http://guzik.net.pl/blog/?p=206 Sprawdzenie:

host -t txt version.bind <serwer nazw>

lub

dig @<serwer nazw> -t txt version.bind

W wyniku możemy dostać odpowiednio (dla PowerDNS):

version.bind descriptive text "Served by POWERDNS 2.9.21.1 $Id: packethandler.cc 1036 2007-04-19 20:43:14Z ahu $"

oraz

version.bind. 5S IN TXT "Served by POWERDNS 2.9.21.1 $Id: packethandler.cc 1036 2007-04-19 20:43:14Z ahu $"

Dla wspomnianego serwera można (warto) wyłączyć to za pomocą version-string:

# version-string What should PowerDNS return for version
# allowed methods are anonymouse / powerdns / full / custom

]]> http://guzik.net.pl/blog/2008/09/versionbind/feed/ 2 Zamieszanie z DNS http://guzik.net.pl/blog/2008/08/zamieszanie-z-dns/ http://guzik.net.pl/blog/2008/08/zamieszanie-z-dns/#comments Thu, 07 Aug 2008 22:40:46 +0000 guzik http://guzik.net.pl/blog/?p=134 bsk.com.pl

bsk.com.pl

Zrobiło się ostatnio trochę szumu wokół DNS za sprawą Dana Kaminskiego. Więcej, prócz wpisów w jego blogu, można poczytać tutaj:

IANA udostępniła narzędzie, dzięki któremu możemy sprawdzić czy jesteśmy bezpieczni czy nie. Technicznie ten test wygląda mniej więcej tak (linie nieparzyste pytania, linie parzyste – odpowiedzi):

1: [udp sum ok] 59142 [1au] NS? DOMAIN.TLD. ar: . OPT UDPsize=4096 (40) (DF) (ttl
    52, id 0, len 68)
2: 59142*- q: NS? DOMAIN.TLD. 2/0/3 DOMAIN.TLD. NS[|domain] (ttl 63, id 45373, len
    154)
3: [udp sum ok] 29369+ SOA? iana.org. (26) (DF) (ttl 52, id 0, len 54)
4: [udp sum ok] 29369 ServFail- q: SOA? iana.org. 0/0/0 (26) (ttl 63, id 0, len 54)
5: [udp sum ok] 62488+ SOA? iana.org. (26) (DF) (ttl 52, id 0, len 54)
6: 62488- q: SOA? iana.org. 0/5/3 ns: iana.org. NS[|domain] (ttl 63, id 45375, len
    218)

Konwersacja z moim pierwszym serwerem (linie 3 i 4) kończy się odpowiedzią SERVFAIL, z drugim (linie 5 i 6) – iana.org has no SOA record. Pierwszy to bind 9.3.5, drugi – PowerDNS 2.9.21. Oba mają wyłączone rekursywne zapytania. W przypadku bind:

allow-recursion { 127.0.0.1; };

PowerDNS to:

allow-recursion=127.0.0.1/8

Wobec czego możemy się pocieszyć komunikatem:

Safe.

The servers tested for DOMAIN.TLD are not vulnerable to cache poisoning.

djbdns (w wersji 1.05) nie odpowiada w ogóle na takie ‘zaczepki’ i IANA uznaje, że Appears to not respond to recursive lookups.

]]> http://guzik.net.pl/blog/2008/08/zamieszanie-z-dns/feed/ 1 BIND’s views http://guzik.net.pl/blog/2008/07/binds-views/ http://guzik.net.pl/blog/2008/07/binds-views/#comments Wed, 09 Jul 2008 06:25:47 +0000 guzik http://guzik.net.pl/blog/?p=18 Swego czasu opracowałem metodę zabezpieczenia łącz (w sensie dostępu do sieci / hosta, gdy protokoły takie jak BGP są niedostępne) za pomocą kierowania ruchem i odpowiedniej konfiguracji DNS.

Na widokach w BIND działało to bardzo dobrze. Konfiguracja sprowadza się do podania warunków, dla których dane strefy będą przetwarzane. Mając do dyspozycji match-clients i match-destinations możemy naprawdę wiele zrobić. Skorzystanie z tej funkcjonalności oszczędzi nam uruchamiania drugiego serwera nazw np. dla sieci lokalnej czy dla konkretnego łącza.

Z czasem zacząłem wykorzystywać PowerDNS (z racji świetnie działającej natywnej obsługi baz danych) i właśnie funkcjonalności widoków mi brakuje. Co prawda można mieć jedną bazę z dodatkową kolumną content, ale i tak trzeba uruchomić dwa serwery. Nadzieją mogło by być wykorzystanie adresu IP klienta (odpowiedni warunek w zapytaniu SQL), ale to niemożliwe sądząc po (niejednej) wypowiedzi developerów na liście dyskusyjnej PowerDNS.

]]> http://guzik.net.pl/blog/2008/07/binds-views/feed/ 0