DNS-сервер не отвечает на запросы из других подсетей
Под капотом ALD Pro в качестве DNS работает Bind. При наличии у вас подсетей, придётся править настройки DNS ALD Pro в консоли. Не могу в этом месте не уколоть астровцев: 1) позиционируется что ALD Pro не требует знаний и ковыряния в консоли Linux и 2) ALD Pro нацеливается разработчиками для маленьких предприятий с единственной подсетью? Надеюсь в будущем статья потеряет актуальность и всё будет сделано в графике и для больших сетей.
Окружение
* Astra Linux Special Edition 1.7 Update 1 (№ 2021-1126SE17)
* ALD Pro 1.0.0
Вопрос
Как открыть доступ на разрешение DNS-запросов из других подсетей?
Ответ
На сервере контроллера домена:
- Если нужно дать доступ конкретной подсети, добавьте в конфигурационный файл/etc/bind/ipa-ext.conf строки:
acl "trusted_networks" {
localhost;
localnets;
X.X.X.X/YY;
};где X.X.X.X/YY — подсеть, которой нужно дать доступ на разрешение DNS-запросов, например 10.1.1.0/24.
Добавьте в конфигурационный файл /etc/bind/ipa-options-ext.conf строку: allow-query-cache { trusted_networks; };
-
Чтобы разрешить доступ всем (без перечисления подсетей) на разрешение DNS запросов, добавить в конфигурационный файл /etc/bind/ipa-options-ext.conf строки:
allow-query-cache { any; };
allow-recursion { any; }; - Перезапустите службы контроллера домена:
sudo ipactl restart
В документации к ALD Pro 2.3.0 (инструкция 01_Руководство_администратора_по_установке_и_обновлению_2.3.0_v3.pdf) есть ещё больше рекомендаций по настройке доступа на разрешение DNS запросов из других подсетей в разделе 2.1.5 Отключение DNSSEC и настройка глобального перенаправления.
Служба bind9 по умолчанию использует механизм DNSSEC для проверки ответов, но его лучше отключить, т. к. технология всё ещё не получила широкого распространения, и ошибки в настройках зон DNS могут приводить к невозможности разрешения имен. Для этого в файле /etc/bind/ipa-options-ext.conf для параметра dnssec-validation рекомендуется задать значение no.
Ещё одной особенностью настроек bind9 по умолчанию является запрет на обработку рекурсивных DNS запросов от клиентов, находящихся за пределами той же подсети, в которой находится сам DNS сервер ALD Pro. Сделано это для предотвращения DDoS-атак с DNS-усилением, но эта защита не актуальна для контроллеров домена, которые работают в закрытом периметре, поэтому в файле ipa-options-ext.conf рекомендуется задать также значение any для параметров allow-recursion и allow-query-cache или определить в файле /etc/bind/ipa-ext.conf список доверенных сетей.
- Измените настройки bind командой:
sudo -e /etc/bind/ipa-options-ext.conf -
Необходимо внести указанные изменения в файл:
allow-recursion { any; };
allow-query-cache { any; };
dnssec-validation no; - Для применения изменений перезапустить DNS-службу на контроллере домена:
sudo systemctl restart bind9-pkcs11.service
Дополнительные материалы:
Дата последней правки: 2024-07-12 10:25:45