Configurazione Bind 9.5.1 su Debian Lenny

Il file da modificare per impostare le opzioni è /etc/bind/named.conf.options.
Le varie zone vanno invece inserite in /etc/bind/named.conf.local.

Se vogliamo “appoggiare” il nostro nameserver a quelli del nostro provider, abilitiamo il forward delle richieste (che poi rimarranno in cache): all’ interno di options { } modificare forwarders { } mettendo al suo interno gli indirizzi dei nameserver da utilizzare, separati da punti-e-virgola.

Sempre all’ interno di options { }, vediamo altri parametri.

Se non abbiamo connettività IP v-6, disabilitiamola: listen-on-v6 { none; };

Possiamo controllare le risorse utilizzate da named: non è consigliabile intervenire su datasize, che per default è impostato a default, perchè in questo modo limitiamo la memoria utilizzata globalmente dal server e non solo per la cache, quindi si potrebbe impedire una allocazione di memoria e impedire al server di funzionare correttamente.
Si può invece agire su max-cache-size e recursive-clients.
Si può impostare, ad esempio, max-cache-size 1M; per lasciare 1MB di memoria per la cache.
Invece con recursive-clients possiamo limitare il numero di lookup ricorsivi simultanei permessi ai client (ciascun lookup ricorsivo occupa circa 20 kB).
Per ulteriori approfondimenti, vedere Operating System Resource Limits nel manuale di Bind.

Passiamo a definire le ACL, saranno utili per definire chi può contattare il nostro nameserver: la sintassi è

acl acl-name {
address_match_list
};

quindi possiamo definire diverse acl (all’ esterno di options { } !) , dandogli un nome al posto di acl-name, e definendo gli indirizzi che avranno accesso al server nella address_match_list. In questa lista possiamo mettere una serie di indirizzi IP oppure le parole chiave

  • any – per dare accesso a tutti
  • none – per non dare accesso a nessuno
  • localhost – solo la macchina locale ha accesso
  • localnets – accesso alle macchine delle reti collegate alle interfacce della macchina locale.

Tornando a options { }: con allow-query e allow-recursion si specifica chi può fare richieste ordinarie e chi può fare richieste ricorsive. Con blackhole specifichiamo chi non avrà risposta.  Queste opzioni possono esser scritte anche nella definizione di zone: in questo caso hanno la precedenza sulle analoghe definizioni globali.

Per controllare il demone named mentre è in funzione, si usa rndc.
Dando il comando rndc-confgen -a viene creato automaticamente il file /etc/rndc.key contenente la chiave per la cifratura. Poi dobbiamo configurare rispettivamente rndc e named.
Creiamo il file /etc/rndc.conf per impostare rndc:

key “rndc-key” {
algorithm hmac-md5;
secret “xxxxxxxxxxxxxxxxxxxxxxxxx”;
};

options {
default-key “rndc-key”;
default-server 127.0.0.1;
default-port 953;
};

e poi, avendo usato l’ opzione -a di rndc-config, è stato creato il file /etc/bind/rndc.key: questo file è riconosciuto automaticamente da named quindi non dobbiamo modificare la configurazione: se non viene definito nessun controls , allora per default viene attivato un canale di controllo sull’ indirizzo di loopback 127.0.0.1 e sull’ omologo :::1 per IPv6.
Inoltre, se non diversamente specificata con key,  viene cercata la chiave nel file rndc.key

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...