jul 30 10:40:19 server named[16554]: REFUSED unexpected RCODE resolving ‘cl4.g.a
aplimg.com/TYPE65/IN’: 208.67.222.222#53
jul 30 10:42:28 server named[16554]: REFUSED unexpected RCODE resolving ‘p45-con
tent.icloud.com/TYPE65/IN’: 208.67.220.220#53
jul 30 10:42:29 server named[16554]: REFUSED unexpected RCODE resolving ‘content
.fe.apple-dns.net/TYPE65/IN’: 208.67.220.220#53
jul 30 10:42:29 server named[16554]: REFUSED unexpected RCODE resolving ‘pancake
.cdn-apple.com.akadns.net/TYPE65/IN’: 208.67.220.220#53
jul 30 10:42:29 server named[16554]: REFUSED unexpected RCODE resolving ‘pancake
.g.aaplimg.com/TYPE65/IN’: 208.67.220.220#53
jul 30 10:47:26 server named[16554]: validating service2.br.incognia.com/A: no v
alid signature found
jul 30 10:47:32 server named[16554]: REFUSED unexpected RCODE resolving ‘r5—sn
-pmcg-bg0l.googlevideo.com.meuintelbras.local/A/IN’: 1.0.0.1#53
jul 30 10:47:33 server named[16554]: REFUSED unexpected RCODE resolving ‘i.insta
gram.com.meuintelbras.local/A/IN’: 1.0.0.1#53
jul 30 10:47:35 server named[16554]: REFUSED unexpected RCODE resolving ‘www.mya
ppswizard.com.br.meuintelbras.local/A/IN’: 1.0.0.1#53
jul 30 10:50:18 server named[16554]: validating h8j6j53.x.incapdns.net/A: no val
id signature found

sao erros, ou seria normau isso?
grato amigo, fica na paz.

Estou com uma (única) dificuldade no meu DNS. Consigo respostas PTR para endereços de hosts em IPv6 normalmente (quando indico os 128 bits) mas, não consigo gerar uma entrada para responder PTR para um prefixo inteiro (por exemplo 2001:db0:cafe::/64). É possível? No v4 eu segui a sugestão do ‘$GENERATE’ e funciona a contento. No v6… rs

Você ta fazendo NAT!

Sim falta.. você tem que retirar os DNS servidores do registro.br.. lá no dominio em editar e apontar ele para os seus DNS servidores que terminou de configurar, aguardar umas horas e esperar até ser atualizado.. depois efetue os testes novamente que volta a funcionar.

caso de outro tipo de resposta como desconhecido , verifique os passos 1 por 1..

Buenas.. apenas fiz um adicional ao seu tópico que está completo..

outra coisa que notei foi que os IPs internos privados não são filtrados no queries.logs e clients.logs.. pelos ips privados internos, mas sim pelo IP publico gateway então a partida não tem como filtrar allow-recursion { autorizados;} ; porque não funciona todos os outros IPs externos que chegam de fora da sua rede.. 44.xx.xx.xx 65.xx.x.x.xx eles entram como requisisão pelo 45.80.48.1 gateway…

fiz os testes aqui montei o setup e segui os seus passos no tutorial umpor um só mudei os ips publicos por nossos ips do ASN.. o restante fiz igual.. e quando vejo nos logs as requesicões externas que não deveriam ter autorizacão das allow-recursion estava passando pelo IP do gateway… como o IP do gateway está habilitado na lista bloco autorizados e também no firewal nftables.. e fail2ban com o bloco autorizado pra comunicacão logo a partida todo o restante ficou inviabilizado.. sem contar que os ips internos locais sequer aparecem no log apenas o IP do gateway.. enquanto que todos os outros clientes com IPs publicos do bloco autorizado aparece a requesicão como IP publico separado.. e não o gateway.. como aparece nos ips externos e nos ips internos privados..

Mas como falei show de bola o seu tutorial.. elucida muita coisa.

Faz um tutorial e compartilha com a comunidade tchê! Abraço.

mesmo usando o nftables e todo o aparato de seguranca o seu servidor recursivo ainda fica exposto a ataques de amplificacão de DNS vindo de fora da sua rede, com algum IP seu autorizado nas ACLs em spoof, ou algum IP seu autorizado efetuando ataque de DNS amplificado..

O correto é usar 2 servidores distindos, um servidor Autoritário em máquina fisica ou virtual OS Separado onde você desabilita a funcão recursion.. setado como NO.

e depois criar o dns recursivo separado com as ACls autorizando somente os seus IPs , e depois vai trabalhar com o modelo de VIEWS..
VIEWS interna e externa.. o modeo externo em options configurar como recursion-allow { no };

e nas view interna setar como recursion-allow { yes };

no geral o restante está tudo correto.

/etc/bind/named.conf.local:208: writeable file ‘/var/cache/bind/slave-rev/131.0.187.rev’: already in use: /etc/bind/named.conf.local:140

Qual erro? Chaga lá no grupo do telegram e manda print q a galera ajuda.

Respondido la no grupo https://t.me/remontticombr

Segui seu tutorial com o objetivo de anunciar os reversos no registro.br. Mas não funcionou.

Quando vou registrar volta a seguinte mensagem:

O Servidor 1 contém erros:
1xx.x7.191.in-addr.arpa – DNS desconhecido

Nos testes na maquina local:

root@srv3:/var/cache/bind/master-rev# dig -x 191.x7.1xx @localhost

; <> DiG 9.11.5-P4-5.1+deb10u2-Debian <> -x 191.x7.1xx @localhost
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16379
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 5ff367704856f53c686bc738602e707e6fb5288ca1999f81 (good)
;; QUESTION SECTION:
;1xx.x7.191.in-addr.arpa. IN PTR

;; AUTHORITY SECTION:
1xx.x7.191.in-addr.arpa. 300 IN SOA ns1.meudominio.com.br. hostmaster.meudominio.com.br. 2021021702 10800 3600 2419200 300

;; Query time: 20 msec
;; SERVER: ::1#53(::1)
;; WHEN: qui fev 18 10:49:50 -03 2021
;; MSG SIZE rcvd: 153

Poderia ajudar com alguma dica do que pode estar acontecendo?

Grato.

Gerar diversos nomes sem precisar add um a um.
https://www.zytrax.com/books/dns/ch8/generate.html

Estou lendo e estudando mais sobre o assunto, mais fiquei com uma dúvida o que exatamente essa instrução faz no arquivo remontti.net.br.host

$ORIGIN remontti.net.br.
$GENERATE 7-31 ns-$ A 45.80.48.$

$ORIGIN remontti.net.br.
$GENERATE 32-255 45-80-48-$ A 45.80.48.$

$ORIGIN remontti.net.br.
$GENERATE 0-255 45-80-49-$ A 45.80.49.$

$ORIGIN remontti.net.br.
$GENERATE 0-255 45-80-50-$ A 45.80.50.$

$ORIGIN remontti.net.br.
$GENERATE 0-255 45-80-51-$ A 45.80.51.$

Esse?
https://blog.remontti.com.br/4672