forbid recursion and dns poisoning

[anarcat]

http://alternc.org/marchives/dev/2006-March/002151.html

--- /etc/bind/named.conf.svg    Wed Mar 29 12:03:06 2006
+++ /etc/bind/named.conf        Wed Mar 29 12:15:51 2006
@@ -28,6 +28,8 @@
        auth-nxdomain no;    # conform to RFC1035
         allow-query     { "internal"; };
         allow-transfer  { "allslaves"; };
+       allow-recursion { "internal"; "allslaves"; };
+       fetch-glue no;

 };

i'd even go for recursion no;

[anarcat]

fixed in [944].

[denis]

config: warning: /etc/bind/named.conf:24: option 'fetch-glue' is obsolete

[anarcat]

ah. et c'est quoi le remplacement?

[anarcat]

 http://www.isc.org/sw/bind/arm93/Bv9ARM.ch06.html#options

fetch-glue

This option is obsolete. In BIND 8, fetch-glue yes caused the server to attempt to fetch glue resource records it didn't have when constructing the additional data section of a response. This is now considered a bad idea and BIND 9 never does it.

Fixed in [1003].

[denis]

Je proposes qu'on utilise la modifications de O.H. (cfr http://alternc.org/marchives/dev/2006-March/002151.html) qui permet (si j'ai bien tout compris) à la fois de fermer le serveur DNS récursif ouvert par rapport à l'extérieur et de le rendre utilisable en local.

auth-nxdomain no; # conform to RFC1035

allow-query { "internal"; }; allow-transfer { "allslaves"; };

+ allow-recursion { "internal"; "allslaves"; };

[anarcat]

non, il ne faut pas mélanger les serveurs récursifs et non-récursifs:

 http://cr.yp.to/djbdns/separation.html

Si vous voulez faire cette erreur, /etc/alternc/templates et pour vous. :)