web-dev-qa-db-fra.com

Explication de la configuration de la liste de contrôle d'accès lors de l'installation du serveur de résolution DNS

J'ai donc réussi à configurer mon serveur de résolution DNS. Je peux partager des détails de faire la même chose ici (juste au cas où quelqu'un est curieux de savoir). J'ai utilisé Fedora, cependant, c'est à peu près la même chose dans toutes les distributions si vous allez utiliser bind, néanmoins.

Ma question concerne le fichier named.conf que nous modifions dans notre serveur de résolution (essentiellement pour lui faire accepter les connexions pour la résolution).

Voici un extrait de mon fichier named.conf:

acl goodclients {
                localnets;
                55.55.55.55;
};
options {
        listen-on port 53 { 127.0.0.1; goodclients; };
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { localhost; goodclients; };
        allow-query-cache       { localhost; goodclients; };
.....
.....
.....
};

55.55.55.55 est l'adresse IP publique de mon client.

Sur mon client, j'ai modifié le fichier resolv.conf afin d'inclure l'adresse IP du serveur en tant que résolveur (un seul et unique serveur de résolution).

Le trafic UDP est accepté sur le port 53 de mon résolveur.

J'ai utilisé bind et tout se passe entre 2 instances d'Amazon EC2 (les deux sont des instances de Fedora).

Je veux demander pourquoi est-il nécessaire d'inclure "localnets" dans la partie de configuration de LCA de named.conf dans le résolveur et pourquoi cela ne fonctionne-t-il pas simplement en ajoutant l'adresse IP publique de mon client dans le nommeur de mon résolveur? conf?

Ce que j'ai vu, c'est que les deux se complètent. soit si manquant, empêchera le client de résoudre n'importe quelle adresse.

Une solution de contournement peut consister simplement à inclure "any;" dans la partie options du fichier named.conf à la place de "goodclients;" pour éviter la configuration de la liste de contrôle d'accès, cependant, je ne souhaite pas que ce résolveur soit utilisé par quiconque client choisi.

P.S. :: Je peux inclure plus de détails sur le fonctionnement d'Amazon EC2 en termes de déploiement d'instances ou autre, si nécessaire.

dnsdns-serversamazon-ec2
2
Avineshwar

L'ajout de réseaux locaux à l'acl autorise toute connexion sur le réseau local situé dans le même sous-réseau local que le serveur DNS. Cela signifie que non seulement l'IP de votre client 55.55.55.55 sera autorisé, mais si nous supposons un bloc réseau local de 192.168.1.1-255, toute machine dont l'adresse IP est 192.168.1. * Sera autorisée à fonctionner avec le DNS. serveur.

1
Chris Rutherfurd