[GTER] Dúvida sobre BIND e rede /16

CV Marcelo Guido - DCTA marceloguidomgog at fab.mil.br
Wed Mar 23 16:02:07 -03 2022 

Prezados, espero que estejam bem. 

Respondo no e-mail do Douglas Fischer, por ter sido o último que me chegou, contudo todas as ideias apresentadas foram levadas em conta. 

@Mestre Pô, sim havia apagado o /16 e digitado novamente. Não foi esta a solução. 

@Alexandre Aleixo. O problema não era recurso de máquina. Em redes menores não acusava que o recursivo estava aberto. 

@Danton. <OffTopic> Sabia que você era daqui da região. Não sabia que você havia trabalhado no INPE. Alias... acho que o primeiro curso de Linux que fiz na vida foi na Inexo, a muito, muito tempo atrás. </OffTopic> A ideia de usar o "BIND exclusivamente como servidor autoritativo, sem qualquer função recursiva, e outro servidor, possivelmente o unbound, para o oapel recursivo." entrou no radar. Obrigado pela contribuição. 

@Lucas Willian Bocchi. O problema realmente era versão. O servidor DNS em questão estava com uma versão antiga do BIND. Após atualizar, voltei o /16 e os testes foram positivos. 

@Douglas Fischer. Não entendi o conceito de probes, porém os endereços envolvidos não estão dentro da nossa faixa de IPs. A sugestão, que na verdade é uma boa prática conforme acabei descobrindo agora, de separar autoritativo de recursivo entrou na radar. Iremos pensar com carinho na solução "luxuosa" ;-) Obrigado pela colaboração. 

No mais, agradeço a todos as dicas e ideias. 

Abraços! 

Marcelo Guido 


De: "Douglas Fischer" <fischerdouglas at gmail.com> 
Para: "CV Marcelo Guido - DCTA" <marceloguidomgog at fab.mil.br> 
Cc: "gter" <gter at eng.registro.br> 
Enviadas: Quarta-feira, 23 de março de 2022 10:01:25 
Assunto: Re: [GTER] Dúvida sobre BIND e rede /16 

Existe uma possibilidade não desprezível de probes desses serviços de validação estarem dentro dos 65 mil IPs que você possui! 

Uma outra pergunta: 
Apesar das regras de filtragem no Bind, esse server opera simultaneamente o serviço de Autoritativo e Recursivo? 
Se sim, eu recomendo MUITO separar isso em máquinas distintas. 


Um informação complementar: 
Por situações como essa e por outras que eu gosto muito da técnica que aprendi com um amigo de usar IPs reservados para uso privado para responderem o serviço de DNS recursivo. 
Ex.: 100.100.100.100 ou 10.10.10.10 

Além de tratar isso nas configurações do Bind ou do Unbound, adiciona-se uma camada adicional de proteção, pois esses prefixos não em condições normais devem ser roteados fora de redes sob o seu controle. 
O único senão disso, é que exige um tiquinho mais de configuração. 
Uma interface a mais com IP Público para originar as queries(sem o listener do serviço de DNS), e namespaces para separar o que entra e o que sai por cada interface. 
Mas fica um luxo. 


Em ter., 22 de mar. de 2022 às 22:21, CV Marcelo Guido - DCTA via gter < [ mailto:gter at eng.registro.br | gter at eng.registro.br ] > escreveu: 


Salve! 

Me deparei com um caso intrigante esta semana e, até o momento, não consegui entender o motivo da solução adotada ter funcionado. Explico: 

- Recebemos um alerta de que nosso servidor autoritativo (BIND) estava com serviço DNS Recursivo Aberto. Verifiquei as configurações nos arquivos named.conf e, aparentemente, tudo ok. 
- Nossa faixa de IPv4 é um /16 que é subdividido em diversas sub-redes de tamanhos variados. 
- Em nossa ACL usada para as opções de allow-recursion e allow-query-cache estava todo o bloco /16. 
- Resolvi testar e colocar apenas duas redes: uma /19 e outra /24. Quando fiz isso e executei novamente o teste do site [ [ https://www.openresolver.nl/ | https://www.openresolver.nl/ ] | [ https://www.openresolver.nl/ | https://www.openresolver.nl/ ] ] ele parou de acusar o erro de Recursivo Aberto. 

Tentei encontrar alguma documentação do bind que descreva algum tipo de restrição a uso de /16 e não encontrei. 

Alguém saberia me explicar por que esta simples alteração funcionou? Será que terei de adicionar sub-rede por sub-rede ao invés de colocar todo o /16? 

Qualquer ajuda/comentário será bem-vindo. 

Grato! 
Marcelo Guido 

-------------------------------------------------- 

[PT] Texto confidencial para uso exclusivo do destinat�rio. N�o o divulgue e apague-o imediatamente se o recebeu por engano. 

[EN] <i>This is a confidential text to be exclusively used by the recipient. Do not disclose it to anybody and delete it immediately if you received it by mistake. 

[ES] <i>Texto confidencial para uso exclusivo del destinatario. Si usted lo recibi� por error no lo divulgue y excl�yalo inmediatamente. 


-- 
gter list [ https://eng.registro.br/mailman/listinfo/gter | https://eng.registro.br/mailman/listinfo/gter ] 





-- 
Douglas Fernando Fischer 
Engº de Controle e Automação 


--------------------------------------------------

[PT] Texto confidencial para uso exclusivo do destinat�rio. N�o o divulgue e apague-o imediatamente se o recebeu por engano.

[EN] <i>This is a confidential text to be exclusively used by the recipient. Do not disclose it to anybody and delete it immediately if you received it by mistake.

[ES] <i>Texto confidencial para uso exclusivo del destinatario. Si usted lo recibi� por error no lo divulgue y excl�yalo inmediatamente.

More information about the gter mailing list