[bind] 'logfile vervuiling' denied query's - Linux en overige clients

woensdag 21 april 2004 09:45

Acties:

Topicstarter

ik heb op mijn nameserver een zonefile die alleen toegankelijk is voor de interne + paar exteren ip's

mbv :

code:

acl toegang {
        127.0.0.1;
        192.168.0.0/16;
        123.123.123.123;
};

zone "intern.domeinnaam.nl" {
        type master;
        check-names ignore;
        allow-update { toegang; };
        allow-query { toegang; };
        file "intern.domeinnaam.nl";
};

nu krijg ik hierop altijd al 'denied query from' meldingen in /var/log/named.log
maar sinds 2 dagen is dit extreem toegenomen
opnemen van de ip's in mijn firewall config is geen optie, want er draaien tig domeinnamen op deze nameserver die wel gewoon toegangkelijk moeten zijn

ter info :

code:

21-Apr-2004 09:37:15.080 denied query from [194.139.32.187].46396 for "intern.domeinnaam.nl" A/IN
21-Apr-2004 09:37:15.083 denied query from [212.83.64.141].37255 for "intern.domeinnaam.nl A/IN
21-Apr-2004 09:37:15.089 denied query from [212.83.64.141].37255 for "intern.domeinnaam.nl" A/IN
21-Apr-2004 09:37:15.090 denied query from [212.83.64.141].37255 for "intern.domeinnaam.nl" A/IN
21-Apr-2004 09:37:15.093 denied query from [212.83.68.130].46460 for "intern.domeinnaam.nl" A/IN
21-Apr-2004 09:37:15.094 denied query from [212.83.64.141].37255 for "intern.domeinnaam.nl" A/IN
21-Apr-2004 09:37:15.095 denied query from [212.83.64.141].37255 for "intern.domeinnaam.nl" A/IN
21-Apr-2004 09:37:15.096 denied query from [212.83.64.140].45406 for "intern.domeinnaam.nl" A/IN

zo is 212.83.64.140, amsns01.chello.com
en zo staan er meer nameservers van grote providers
geen idee wie probeert iets op te halen uit mijn zonefile, maarja daarom denie ik die query ook

alleen nu heb ik dus van de afgelopen 2 dagen een logfile van 1,3 Gigabyte.....
nu heb ik al gezocht met google ed maar zover ik kan vinden is er geen optie om denied query's naar een apparte logfile (wat ik dus graag naar /dev/null wil sturen) te sturen.
bind versie 8.4.4

heeft iemand hier toevallig een oplossing ?

https://www.strava.com/athletes/2323035

woensdag 21 april 2004 11:40

Acties:

mOrPhie

❤️❤️❤️❤️🤍

Kent bind geen log-rotate functie oid?

Een experimentele community-site: https://technobabblenerdtalk.nl/. DM voor invite code.

woensdag 21 april 2004 11:47

Acties:

DDX

Topicstarter

mOrPhie schreef op 21 april 2004 @ 11:40:
Kent bind geen log-rotate functie oid?

mja logrotate leegt de logfiles weer keurig
maarja lost probleem niet op
ter info: logfile vanaf vanmorgen is inmiddels alweer 250 megabyte

https://www.strava.com/athletes/2323035

woensdag 21 april 2004 12:57

Acties:

Hans

domeinnaam.nl is een bestaand domain waarvoor jij niet authoritative bent. ik zou dus zowiezo even 'notify no;' toevoegen aan je zone entry voor domeinnaam.nl in named.conf.

woensdag 21 april 2004 13:28

Acties:

DDX

Topicstarter

Hans schreef op 21 april 2004 @ 12:57:
domeinnaam.nl is een bestaand domain waarvoor jij niet authoritative bent. ik zou dus zowiezo even 'notify no;' toevoegen aan je zone entry voor domeinnaam.nl in named.conf.

intern.domeinnaam.nl is enkel een voorbeeld (geen zin om echte domein hier neer te zetten)
domein wat ik echt gebruik bestaat ook en ben ik auth voor
intern. ervan heb ik delegated staan naar zelfde nameserver (apparte zonefile voor intern gebruik)

[ Voor 7% gewijzigd door DDX op 21-04-2004 13:29 ]

https://www.strava.com/athletes/2323035

vrijdag 23 april 2004 11:31

Acties:

DDX

Topicstarter

schopje

https://www.strava.com/athletes/2323035

vrijdag 23 april 2004 11:51

Acties:

Verwijderd

a) is het niet mogelijk om samen met bind acl's ook nog eens iptables rules toe te voegen die alleen de ip's toelaat die werkelijk mogen queryen (==ranzige workaround, je probleem is nog steeds niet opgelost)

code:

for HOST in $ALLOWHOSTS; do
    iptables -A INPUT -i eth0 -p tcp -s ${HOST} --dport 53 -j ACCEPT
    iptables -A INPUT -i eth0 -p udp -s ${HOST} --dport 53 -j ACCEPT
done
iptables -A INPUT -i eth0 -p tcp --dport 53 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 53 -j DROP

b) mogen we wat meer informatie van je setup? (bijvoorbeeld waarom externe hosts uberhaupt intern.domeinnaam.nl proberen te queryen, heb je soms clients die interne hostnames doorsturen naar extern?)

c) Zijn de ip's in je toegang acl allemaal secondary nameservers? Zo nee, verander dan je allow-update statement ff, want nu mag iedereen in die lijst een complete zone-transfer doen (wat weer ge/misbruikt word voor mogelijke reconaisance attacks op je netwerk). Om clients alleen te laten queryen heb je alleen de allow-query { toegang; }; statement nodig.

[ Voor 31% gewijzigd door Verwijderd op 23-04-2004 11:54 ]

vrijdag 23 april 2004 13:58

Acties:

DDX

Topicstarter

a) nee niet mogelijk, omdat er op deze nameserver honderden domeinnamen draaien
optie waar ik aan dacht om interne domein maar op andere bak te draaien, en dan kan je wel firewallen, maargoed hou liever domeinen op 1 server

b) intern.domeinnaam.nl is er voor de activedirectory (windows domein)
soms wordt de hostname dus wel eens meegegeven door windows

c) acl is er voor alle windows machines die zichzelf in de ad mogen updaten etc

https://www.strava.com/athletes/2323035

vrijdag 23 april 2004 14:40

Acties:

Verwijderd

Kijk, daar zit ws je probleem. Zowel interne als externe zones op dezelfde server is evil. Gebruik dan liever iets als split-dns. Hiermee trek je je interne en je externe zone uit mekaar, waarbij de externe zone alleen extern te resolven is en de interne zone alleen intern.