Cristina, Coloquei um DNS Server para responder as requisições internas então; e no dns externo na minha DMZ e colocarei views uma para responder a ip´s internos ( via NAT ) recursivos e uma view externa para responder a todos as outras requisições sem permissão de queires recursivas.
Será que estou no caminho certo ? Ou Estou fazendo uma confusão ? Obrigado pela ajuda > > > 2. Re: DNS queries blocked (Cristina Fernandes Silva) > Date: Wed, 6 Aug 2008 11:38:31 -0300 > From: "Cristina Fernandes Silva" <[EMAIL PROTECTED]> > Subject: Re: [FUG-BR] DNS queries blocked > To: " Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) " > <freebsd@fug.com.br> > Message-ID: > <[EMAIL PROTECTED]> > Content-Type: text/plain; charset=ISO-8859-1 > > Não existe a possibilidade de vc tirar o DNS interno e implementar > em outra maquina ? > > Fiz isso aqui na empresa.. assim creio que não terei problemas > com recursividade para minha rede interna. > > Deixei somente o meus DNS autoritativo e sua recursividade liberada > para alguns ips externo. > > 2008/8/6 marcos marinho <[EMAIL PROTECTED]>: > > Pessoal, > > > > > > Quando implementei , tanto bloqueios de recursividade apenas quanto > > restrição ao meu range de ip´s eu obtive das mensagens enviadas ao meu > > servidor de e.mail que havia um erro temporário no dns e que não era > > possível encontrar o servidor mx para o dominio. > > > > Como tenho um servidor de dns que responde tanto para meus usuários > internos > > quanto para a Internet; pelo que entendi de dns: quando se manda um > e.mail o > > dns do servidor de e.mail do remetente pergunta ao meu dns as informações > > necessárias e o meu servidor de dns responde autoritativamente, estou > certo > > ? > > > > Acredito então que devo criar então duas views : uma para pesquisas > internas > > ( com permissão de recursidade ) e outra externa ( com recursividade > > bloqueada, e não permitindo pesquisas armazenadas em cache) . > > > > Este raciocinio é correto ? > > > > > > 2008/8/4 marcos marinho <[EMAIL PROTECTED]> > > > >> Prezados gurus da lista, > >> > >> Quando foram instalados os serviços de e.mail e dns da Compania a qual > >> trabalho, foram escolhidos a distribuição Freebsd 6.0 e o bind 9. > >> > >> Com esta onda de "envenenamento de DNS" que assola a web atualmente foi > me > >> colocado a atividade de melhorar a segurança do nosso DNS. > >> > >> Com isto colocado, tentei primeiramente reduzir a nossa esposição > fechando > >> as queries recursivas em nosso servidor, já que segundo o link > >> www.zyftrax.com/books/dns/ch2/index.html#queries > >> > >> Tentei primeiramente colocar as seguintes linhas: > >> acl ips-recursion-acl { > >> 200.x.x.x/27; > >> 200.x.x.x/27; > >> 201.x.x.x/28;}; > >> options { > >> recursion yes; > >> allow-recursion {ips-recursion-acl;}; > >> > >> Quando isto foi colocado as mensagens de e.mail pararam de entrar/sair; > >> pois as queries de dns estavam bloqueadas. > >> Então modifiquei o arquivo, adicionando a permissão de queries a todos e > >> também uma clausula de proteção quanto a versão do Bind, ficando assim: > >> > >> acl ips-recursion-acl { > >> 200.x.x.x/27; > >> 200.x.x.x/27; > >> 201.x.x.x/28; > >> }; > >> > >> options { > >> recursion yes; > >> version "DNS"; > >> allow-query {any; }; > >> allow-recursion {ips-recursion-acl;}; > >> > >> Mesmo assim as consultas estão sendo bloquedas, alguma dica sobre o que > >> esta faltando colocar ou remover ? > >> > >> Desde já agradeço a atenção de todos. > >> > > > > > > > > -- > > Marcos Marinho > > 19-8183-6038 > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > ------------------------------ > > _______________________________________________ > freebsd mailing list > freebsd@fug.com.br > https://www.fug.com.br/mailman/listinfo/freebsd > > > Fim da Digest freebsd, volume 29, assunto 24 > ******************************************** > -- Marcos Marinho 19-8183-6038 ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd