ошибка (сеть недоступна) устранение
Просматривая свои журналы, я только что понял, что какая-то часть моего сервера может быть скомпрометирована, хотя я не являюсь экспертом по Bind 9, я не уверен, что исправить, чтобы предотвратить это:
Oct 24 14:16:50 ip151 named[54864]: error (network unreachable) resolving 'www.gamasutra.com/A/IN': 2001:4800:7814:0:5008:8553:ff04:b151#53
Oct 24 14:16:50 ip151 named[54864]: error (network unreachable) resolving 'www.kitchenworksinc.com/A/IN': 2607:f208:302::2d#53
Oct 24 14:16:50 ip151 named[54864]: error (network unreachable) resolving 'gyogynovenyek-gyogyteak.com/A/IN': 2607:f0d0:1101:16f::6#53
Oct 24 14:16:50 ip151 named[54864]: error (network unreachable) resolving 'www.kitchenworksinc.com/AAAA/IN': 2607:f208:302::2d#53
Oct 24 14:16:50 ip151 named[54864]: error (network unreachable) resolving 'www.kitchenworksinc.com/A/IN': 2607:f208:206::2d#53
Oct 24 14:16:50 ip151 named[54864]: error (network unreachable) resolving 'www.kitchenworksinc.com/AAAA/IN': 2607:f208:206::2d#53
Oct 24 14:16:50 ip151 named[54864]: error (network unreachable) resolving 'gyogynovenyek-gyogyteak.com/AAAA/IN': 2607:f0d0:1101:16f::6#53
Oct 24 14:16:51 ip151 named[54864]: validating @0x7f4e1405ce60: www.gamasutra.com A: no valid signature found
Oct 24 14:16:51 ip151 named[54864]: validating @0x7f4e1c5befc0: gamasutra.com SOA: no valid signature found
Oct 24 14:16:51 ip151 named[54864]: validating @0x7f4e2008e200: www.gamasutra.com NSEC: no valid signature found
Oct 24 14:16:54 ip151 named[54864]: error (network unreachable) resolving 'www.utrinski.mk/A/IN': 2001:678:1::2#53
Oct 24 14:16:54 ip151 named[54864]: error (network unreachable) resolving 'www.utrinski.mk/AAAA/IN': 2001:678:1::2#53
Oct 24 14:16:54 ip151 named[54864]: error (network unreachable) resolving 'www.utrinski.mk/A/IN': 2001:628:453:bb::4#53
Oct 24 14:16:54 ip151 named[54864]: error (network unreachable) resolving 'www.utrinski.mk/AAAA/IN': 2001:628:453:bb::4#53
Oct 24 14:16:54 ip151 named[54864]: error (connection refused) resolving 'www.utrinski.mk/A/IN': 194.149.137.168#53
Oct 24 14:16:54 ip151 named[54864]: error (connection refused) resolving 'www.utrinski.mk/AAAA/IN': 194.149.137.168#53
Oct 24 14:16:59 ip151 named[54864]: validating @0x7f4e241324c0: www.biblioteksforeningen.org AAAA: no valid signature found
Oct 24 14:16:59 ip151 named[54864]: validating @0x7f4e0ccf4060: www.biblioteksforeningen.org A: no valid signature found
Oct 24 14:16:59 ip151 named[54864]: validating @0x7f4e0ccf4060: biblioteksforeningen.org A: no valid signature found
Oct 24 14:17:04 ip151 named[54864]: error (network unreachable) resolving 'dsac.cn/DS/IN': 2001:dc7::1#53
Похоже, мой сервер засыпан спамом с разрешениями имен от неизвестных людей. Если я правильно понял, мне нужно сделать мой сервер каким-то образом частным.
Мне очень жаль, если я не использую правильную терминологию, я просто пытаюсь быстро решить эту проблему прежде, чем это станет реальной проблемой для сайтов, которые я размещаю.
Спасибо
Обновление 1: результат -route §:
Destination Next Hop Flag Met Ref Use If
[::]/96 [::] !n 1024 0 0 lo
0.0.0.0/96 [::] !n 1024 0 0 lo
2002:x00::/24 [::] !n 1024 0 0 lo
2002:xf00::/24 [::] !n 1024 0 0 lo
2002:x9fe::/32 [::] !n 1024 0 0 lo
2002:xc10::/28 [::] !n 1024 0 0 lo
2002:x0a8::/32 [::] !n 1024 0 0 lo
2002:x000::/19 [::] !n 1024 0 0 lo
3ffe:xfff::/32 [::] !n 1024 0 0 lo
[::]/0 [::] !n -1 113233992 lo
localhost/128 [::] Un 0 116069755 lo
ipxxx.ip-17x-3x-4x.eu/128 [::] Un 0 1 14444 lo
ff00::/8 [::] U 256 0 0 ens18
[::]/0 [::] !n -1 113233992 lo
ОБНОВЛЕНИЕ 2
Я просто изменил файл named.conf следующим изменением (все четко объяснено в файле, я должен сначала посмотреть туда)
options {
listen-on port 53 {
any;
};
// listen-on-v6 port 53 {
// any;
// };
Я прокомментировал последние 3 строки, так как я не обрабатываю IP V6 на своих сайтах.
Также изменил эту строку с да на нет:
`/*
- If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
- If you are building a RECURSIVE (caching) DNS server, you need to enable
recursion.
- If your recursive DNS server has a public IP address, you MUST enable access
control to limit queries to your legitimate users. Failing to do so will
cause your server to become part of large scale DNS amplification
attacks. Implementing BCP38 within your network would greatly
reduce such attack surface
*/`
recursion no;
Похоже, это не влияет ни на один из моих сайтов. В результате мои журналы теперь выглядят следующим образом:
Oct 24 15:10:57 ip151 named[40819]: client 127.0.0.1#58400 (www.dunyadinleri.com): query (cache) 'www.dunyadinleri.com/AAAA/IN' denied
Oct 24 15:10:57 ip151 named[40819]: client 127.0.0.1#58400 (www.dunyadinleri.com): query (cache) 'www.dunyadinleri.com/A/IN' denied
Oct 24 15:10:57 ip151 named[40819]: client 127.0.0.1#17750 (ujquery.org): query (cache) 'ujquery.org/A/IN' denied
Oct 24 15:10:57 ip151 named[40819]: client 127.0.0.1#17750 (ujquery.org): query (cache) 'ujquery.org/AAAA/IN' denied
Oct 24 15:10:57 ip151 named[40819]: client 127.0.0.1#58400 (adsl.aruba.it): query (cache) 'adsl.aruba.it/A/IN' denied
Oct 24 15:10:57 ip151 named[40819]: client 127.0.0.1#58400 (adsl.aruba.it): query (cache) 'adsl.aruba.it/AAAA/IN' denied
Oct 24 15:10:57 ip151 named[40819]: client 127.0.0.1#58400 (www.microscopy-uk.org.uk): query (cache) 'www.microscopy-uk.org.uk/A/IN' denied
24 октября 14:16:50 ip151 с именем [54864]: ошибка (сеть недоступна) при разрешении 'www.gamasutra.com/A/IN': 2001: 4800: 7814: 0: 5008: 8553: ff04: b151 # 53
24 октября 14:16:50 ip151 с именем [54864]: ошибка (сеть недоступна) при разрешении «www.kitchenworksinc.com/A/IN»: 2607: f208: 302 :: 2d # 53
Хм, я вижу, что это происходит с запросами, поступающими только с исходных адресов IPv6. Итак, я думаю, что ваш сервер прослушивает запросы на адрес IPv6, но не может получить или отправить им ответы ( сеть недоступна ). И я почти уверен, что это может происходить из-за отсутствия шлюза по умолчанию или маршрута по умолчанию.
Поэтому проверьте следующее, запустите:
route -6
Вы должны увидеть что-то вроде
::/0 2001:xxxx:xxxx:196::1 UG 1024 8 874 eth0
Если нет :: / 0 route, то проблема в этом (отсутствие маршрута по умолчанию), следовательно, невозможно отправлять ответы на запросы IPv6.
Обновление:
Destination Next Hop Flag Met Ref Use If [::] / 96 [::]! N 1024 0 0 ниже 0.0.0.0/96 [::]! N 1024 0 0 lo 2002: x00 :: / 24 [::]! N 1024 0 0 lo 2002: xf00 :: / 24 [::]! N 1024 0 0 lo 2002: x9fe :: / 32 [::]! N 1024 0 0 lo 2002: xc10 :: / 28 [::]! N 1024 0 0 lo 2002: x0a8 :: / 32 [::]! N 1024 0 0 lo 2002: x000 :: / 19 [::]! N 1024 0 0 lo 3ffe: xfff :: / 32 [::]! N 1024 0 0 lo [::] / 0 [::]! N -1 113233992 lo localhost / 128 [::] Un 0 116069755 lo ipxxx.ip-17x-3x-4x.eu/128 [::] Un 0 1 14444 lo ff00 :: / 8 [::] U 256 0 0 ens18 [::] / 0 [::]! N -1 113233992 lo
Как я уже сказал, маршрута по умолчанию нет, поэтому они могут связаться с вами, а вы - нет. Опять же, если вы не хотите, чтобы эти запросы приходили, у вас есть три варианта
- заблокировать порт 53 в ip6tables
- отключить адрес IPv6 на интерфейсе
- удалить адрес IPv6 из интерфейса
Выбрать любой набор параметров (как вы сказали вы используете веб-сервер, а не DNS). В противном случае вы оставите свою систему очень уязвимой !
Блокировка входящего UDP-трафика на порт 53 (DNS) должна помочь вам.
Чтобы не повторять уже сказанное, посмотрите Почему университет блокирует входящий UDP-трафик с портом назначения 53?
Из вашего журнала я не вижу этого движение. В любом случае, если вы хотите предложить службу DNS только некоторым клиентам, просто используйте именованные ACL.
Для получения дополнительной информации о том, как это сделать, проверьте этот ответ:
bind не будет работать, если для allow-query не задано значение «any»