[GTER] Dúvida sobre BIND e rede /16

[Douglas Fischer]

Existe uma possibilidade não desprezível de probes desses serviços de
validação estarem dentro dos 65 mil IPs que você possui!

Uma outra pergunta:
Apesar das regras de filtragem no Bind, esse server opera simultaneamente o
serviço de Autoritativo e Recursivo?
Se sim, eu recomendo MUITO separar isso em máquinas distintas.


Um informação complementar:
Por situações como essa e por outras que eu gosto muito da técnica que
aprendi com um amigo de usar IPs reservados para uso privado para
responderem o serviço de DNS recursivo.
Ex.: 100.100.100.100 ou 10.10.10.10

Além de tratar isso nas configurações do Bind ou do Unbound, adiciona-se
uma camada adicional de proteção, pois esses prefixos não em condições
normais devem ser roteados fora de redes sob o seu controle.
O único senão disso, é que exige um tiquinho mais de configuração.
Uma interface a mais com IP Público para originar as queries(sem o listener
do serviço de DNS), e namespaces para separar o que entra e o que sai por
cada interface.
Mas fica um luxo.


Em ter., 22 de mar. de 2022 às 22:21, CV Marcelo Guido - DCTA via gter <
gter at eng.registro.br> escreveu:

> Salve!
>
> Me deparei com um caso intrigante esta semana e, até o momento, não
> consegui entender o motivo da solução adotada ter funcionado. Explico:
>
> - Recebemos um alerta de que nosso servidor autoritativo (BIND) estava com
> serviço DNS Recursivo Aberto. Verifiquei as configurações nos arquivos
> named.conf e, aparentemente, tudo ok.
> - Nossa faixa de IPv4 é um /16 que é subdividido em diversas sub-redes de
> tamanhos variados.
> - Em nossa ACL usada para as opções de allow-recursion e allow-query-cache
> estava todo o bloco /16.
> - Resolvi testar e colocar apenas duas redes: uma /19 e outra /24. Quando
> fiz isso e executei novamente o teste do site [
> https://www.openresolver.nl/ | https://www.openresolver.nl/ ] ele parou
> de acusar o erro de Recursivo Aberto.
>
> Tentei encontrar alguma documentação do bind que descreva algum tipo de
> restrição a uso de /16 e não encontrei.
>
> Alguém saberia me explicar por que esta simples alteração funcionou? Será
> que terei de adicionar sub-rede por sub-rede ao invés de colocar todo o
> /16?
>
> Qualquer ajuda/comentário será bem-vindo.
>
> Grato!
> Marcelo Guido
>
> --------------------------------------------------
>
> [PT] Texto confidencial para uso exclusivo do destinat�rio. N�o o divulgue
> e apague-o imediatamente se o recebeu por engano.
>
> [EN] <i>This is a confidential text to be exclusively used by the
> recipient. Do not disclose it to anybody and delete it immediately if you
> received it by mistake.
>
> [ES] <i>Texto confidencial para uso exclusivo del destinatario. Si usted
> lo recibi� por error no lo divulgue y excl�yalo inmediatamente.
>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


-- 
Douglas Fernando Fischer
Engº de Controle e Automação