Página 1 de 3 123 ÚltimoÚltimo
Resultados 1 a 10 de 22

Tópico: Erro de DNS

  1. #1
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Localização
    Rio de Janeiro - RJ
    Posts
    2,291

    Erro de DNS

    Utilizando o site "intodns.com" para verificar um domínio, a aparece o seguinte erro:

    "I could use the nameservers listed below to performe recursive queries. It may be that I am wrong but the chances of that are low. You should not have nameservers that allow recursive queries as this will allow almost anyone to use your nameservers and can cause problems. Problem record(s) are:"

    Logo abaixo vem os dois IP's do VPS. O erro aparece na categoria NS e Recursive Queries. O que é esse erro e como faço para resolvê-lo?

    Obrigado.

  2. #2
    Super Moderador
    Data de Ingresso
    Sep 2010
    Localização
    Procurando...
    Posts
    4,106
    isso acontece em um VPS ou Dedicado?
    Siga-nos em nosso twitter: @wht_brasil

  3. #3

  4. #4
    Super Moderador
    Data de Ingresso
    Sep 2010
    Localização
    Procurando...
    Posts
    4,106
    está com cpanel? esta usando o BIND?
    Siga-nos em nosso twitter: @wht_brasil

  5. #5
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Localização
    /sc/rionegrinho
    Posts
    1,036
    teko, citando a cert:

    Qualquer organização que possua um servidor DNS recursivo aberto corre o risco de ter esse servidor envolvido nos seguintes ataques:

    • Ser vítima de ataques de envenenamento de cache (cache poisoning), que levam o servidor recursivo a armazenar informações forjadas. Tais informações podem ser usadas para comprometer a segurança de clientes que façam consultas a esse servidor.
    • Ter esse servidor abusado por atacantes e utilizado para desferir ataques de negação de serviço distribuídos (DDoS), que podem implicar nas seguintes conseqüências:
    • o grande número de consultas DNS forjadas recebidas e, principalmente, a quantidade de respostas grandes enviadas para a vítima, podem consumir uma quantidade considerável de banda da rede com um servidor DNS recursivo aberto;
    • dependendo do contrato do provedor de conectividade, a rede com o DNS aberto sendo abusado pode ser co-responsabilizada em caso de ataque de negação de serviço contra terceiros
    • Fonte: Recomendaes para Evitar o Abuso de Servidores DNS Recursivos Abertos
    Para corrigir isto, você precisa adicionar a linha "recursion no;" em seu /etc/named.conf (no caso de utilizar o bind).
    Outra forma de fazer isto, é colocar o "recursion no;" na sessão "external".

    Veja no exemplo abaixo:

    Código:
    /etc/named.conf
    include "/etc/rndc.key";
    
    controls {
            inet 127.0.0.1 allow { localhost; } keys { "rndc-key"; };
    };
    
    options {
        // query-source    port 53;
    
        directory                "/var/named"; // the default
        pid-file                 "/var/run/named/named.pid";
        dump-file                "data/cache_dump.db";
        statistics-file          "data/named_stats.txt";
        allow-transfer {"none";};
    
    #############
    # Pode colocar o recursion aqui da seguinte forma:
       recursion no;
    #############
    
    };
    
    logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
    };
    
    
    view "localhost_resolver" {
        match-clients         { 127.0.0.0/24; };
        match-destinations    { localhost; };
        recursion yes;
    
        zone "." IN {
            type hint;
            file "/var/named/named.ca";
        };
    
        include "/var/named/named.rfc1912.zones";
    };
    
    view "internal" {
        match-clients        { localnets; };
        match-destinations    { localnets; };
        recursion yes;
    
        zone "." IN {
            type hint;
            file "/var/named/named.ca";
        };
    
    zone "dominio1.com" {
            type master;
            file "/var/named/dominio1.com.db";
    };
    
    };
    
    view    "external" {
    
    #################
    # Ou aqui:
        recursion no;
    #################
    
        zone "." IN {
            type hint;
            file "/var/named/named.ca";
        };
    
    zone "dominio1.com" {
            type master;
            file "/var/named/dominio1.com.db";
    };
    
    };
    Note que o recursion está como yes na sessão internal.
    Sendo assim, desligue o mesmo na sessão external ou options, reinicie o named (service named restart ou /etc/init.d/named restart) e atualize a página do intodns para ver o resultado.
    Alexandre Silva Hostert

    Veezon
    Gerenciamento de Servidores


    http://veezon.com.br
    http://br.linkedin.com/in/alexandreveezon

  6. #6
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Localização
    Rio de Janeiro - RJ
    Posts
    2,291
    Pessoal, estou usando o Kloxo 6.1.0 e o Bind 9.3.6 (antes de instalar o Kloxo rodei o yum update e atualizei tudo).

    Não achei o arquivo named.conf no diretório /etc. Mas encontrei em /var/named/chroot/etc/ o named.conf. Só que esse named.conf tem apenas um include para o arquivo /etc/kloxo.named.conf e este arquivo não existe.

    Mas neste mesmo diretório (/var/named/chroot/etc), além do named.conf tem os seguintes arquivos:

    global.options.named.conf
    kloxo.named.conf
    localtime
    rndc.key

    O rndc.key e localtime não deve ter nada haver com o problema. Já o kloxo.named.conf tem apenas as zonas dos domínios que tenho no servidor, e todos eles estão funcionando corretamente. Já o arquivo global.options.named.conf possui o seguinte conteúdo:


    Código:
    acl "lxcenter" {
     localhost;
    };
    
    options {
     max-transfer-time-in 60;
     transfer-format many-answers;
     transfers-in 60;
     auth-nxdomain yes;
     allow-transfer { "lxcenter"; };
     allow-recursion { "lxcenter"; };
     recursion no;
     version "LxCenter-1.0";
    };
    
    # Remove # to see all DNS queries
    #logging {
    # channel query_logging {
    # file "/var/log/named_query.log";
    # versions 3 size 100M;
    # print-time yes;
    # };
    
    # category queries {
    # query_logging;
    # };
    #};
    Se for esse o arquivo que tenho que mexer o "recursion" já esta como "no". Neste caso posso incluir apenas o trecho abaixo?

    Código:
    view "external" {
        recursion no;
    }
    Ou o que devo fazer?

    Obrigado a todos pela ajuda!

  7. #7
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Localização
    /sc/rionegrinho
    Posts
    1,036
    Citação Postado originalmente por tekobr Ver Post
    Se for esse o arquivo que tenho que mexer o "recursion" já esta como "no". Neste caso posso incluir apenas o trecho abaixo?

    Código:
    view "external" {
        recursion no;
    }
    Não. Por já haver a configuração na sessão "options", o erro já deveria estar corrigido.

    Tente reiniciar o serviço de dns para o caso de esta alteração ter sido feita há pouco tempo e a nova configuração ainda não esteja em vigor.

    Aparentemente está tudo certo, mas não consigo visualizar onde está o problema neste momento.
    Alexandre Silva Hostert

    Veezon
    Gerenciamento de Servidores


    http://veezon.com.br
    http://br.linkedin.com/in/alexandreveezon

  8. #8
    Super Moderador
    Data de Ingresso
    Sep 2010
    Localização
    Procurando...
    Posts
    4,106
    agora entendi, estava achando muito estranho - imaginei que era cpanel...rss

    faz muito tempo que não vejo isso em um servidor com cpanel
    Siga-nos em nosso twitter: @wht_brasil

  9. #9
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Localização
    Rio de Janeiro - RJ
    Posts
    2,291
    Já reiniciei tudo: named, httpd, kloxo, "ponte que caiu", além do próprio VPS e nada.

    Resolvi instalar o CSF, mesmo o Kloxo não tendo interface para ele, e o problema não apareceu mais no IntoDNS. Será que precisava fechar a porta para resolver esse problema?

  10. #10
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Localização
    /sc/rionegrinho
    Posts
    1,036
    Citação Postado originalmente por tekobr Ver Post
    Resolvi instalar o CSF, mesmo o Kloxo não tendo interface para ele, e o problema não apareceu mais no IntoDNS. Será que precisava fechar a porta para resolver esse problema?
    É, faz sentido
    Que bom que conseguiu resolver!
    Alexandre Silva Hostert

    Veezon
    Gerenciamento de Servidores


    http://veezon.com.br
    http://br.linkedin.com/in/alexandreveezon

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •