
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 14 (filtered medium)">


<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}


o\:* {behavior:url(#default#VML);}


w\:* {behavior:url(#default#VML);}


.shape {behavior:url(#default#VML);}


</style><![endif]--><style><!--


/* Font Definitions */


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


@font-face


        {font-family:Tahoma;


        panose-1:2 11 6 4 3 5 4 4 2 4;}


@font-face


        {font-family:"Arial Black";


        panose-1:2 11 10 4 2 1 2 2 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:"Times New Roman","serif";}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


p.MsoAcetate, li.MsoAcetate, div.MsoAcetate


        {mso-style-priority:99;


        mso-style-link:"Balloon Text Char";


        margin:0in;


        margin-bottom:.0001pt;


        font-size:8.0pt;


        font-family:"Tahoma","sans-serif";}


span.EmailStyle17


        {mso-style-type:personal-reply;


        color:black;}


span.BalloonTextChar


        {mso-style-name:"Balloon Text Char";


        mso-style-priority:99;


        mso-style-link:"Balloon Text";


        font-family:"Tahoma","sans-serif";}


.MsoChpDefault


        {mso-style-type:export-only;


        font-family:"Calibri","sans-serif";}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="EN-US" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black">As already noted, allow-query will cause you to send back a REFUSED response. That’s sort of the whole point of the REFUSED RCODE.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black">If you want to not send back any response *<b>whatsoever</b>*, then take a look at the “blackhole” statement, but, honestly, this kind of “drop” function may,


 depending on network topology, be more efficiently performed in your firewall or IDS/IPS.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black">Be aware that a client that doesn’t get a response may retry the query, so simply “dropping” queries may ultimately prove counter-productive.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black">                                                                                                                - Kevin<o:p></o:p></span></p>


<p class="MsoNormal"><span style="color:black"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black"><img width="131" height="48" id="Picture_x0020_1" src="cid:image001.jpg@01D1F17A.2003A930" alt="FCA_Pantone_email"></span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black"><o:p></o:p></span></p>


<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black">----------------------------------------------------------------------<o:p></o:p></span></b></p>


<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Arial Black","sans-serif";color:black">Kevin Darcy</span><span style="font-size:8.0pt;font-family:"Arial","sans-serif";color:black"><br>


NAFTA Information Security Projects</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black"><o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Arial Black","sans-serif";color:black">FCA US LLC<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Arial","sans-serif";color:black">1075 W Entrance Dr,<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Arial","sans-serif";color:black">Auburn Hills, MI 48326<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Arial","sans-serif";color:black">USA<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Arial","sans-serif";color:black"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Arial","sans-serif";color:black">Telephone: +1 (248) 838-6601


<br>


Mobile: +1 (810) 397-0103<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Arial","sans-serif";color:black">Email: kevin.darcy@fcagroup.com<o:p></o:p></span></p>


<p class="MsoNormal"><span style="color:black"><o:p> </o:p></span></p>


<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> bind-users [mailto:bind-users-bounces@lists.isc.org]


<b>On Behalf Of </b>Frank Even<br>


<b>Sent:</b> Saturday, August 06, 2016 4:42 PM<br>


<b>To:</b> bind-users<br>


<b>Subject:</b> allow-query does not seem to be working<o:p></o:p></span></p>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal">I have a group of servers serving out multiple addresses via anycast.  I've been made aware that an IP outside of our network is hitting the boxes with queries, and we're returning data to the client.<o:p></o:p></p>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">With allow-query and allow-recursion locked to our subnets, this outside host is still getting responses, and I'm trying to figure out why.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">named.conf snippet:<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<div>


<p class="MsoNormal"><span style="font-family:"Courier New"">allow-query { mynets; };</span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><span style="font-family:"Courier New"">allow-recursion { mynets; };</span><o:p></o:p></p>


</div>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal"><span style="font-family:"Courier New"">Yet in response to a host not from one of the subnets allowed, we're getting requests and returning some kind of response:</span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<div>


<p class="MsoNormal"><span style="font-family:"Courier New""># tcpdump -i any -nvv src $myhost and dst 156.154.100.3<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-family:"Courier New"">tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-family:"Courier New"">13:37:30.578020 IP (tos 0x0, ttl 64, id 5059, offset 0, flags [none], proto UDP (17), length 81)<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-family:"Courier New"">    $myhost.33941 > 156.154.100.3.domain: [bad udp cksum f39c!] 54976 [1au] A?


<a href="http://www.sparknewspaper.co.uk">www.sparknewspaper.co.uk</a>. ar: . OPT UDPsize=4096 OK (53)<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-family:"Courier New"">13:37:30.578025 IP (tos 0x0, ttl 64, id 5059, offset 0, flags [none], proto UDP (17), length 81)<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-family:"Courier New"">    $myhost.33941 > 156.154.100.3.domain: [bad udp cksum f39c!] 54976 [1au] A?


<a href="http://www.sparknewspaper.co.uk">www.sparknewspaper.co.uk</a>. ar: . OPT UDPsize=4096 OK (53)<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-family:"Courier New"">13:37:30.644502 IP (tos 0x0, ttl 64, id 5060, offset 0, flags [none], proto UDP (17), length 79)<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-family:"Courier New"">    $myhost.61737 > 156.154.100.3.domain: [bad udp cksum fef9!] 7832 [1au] A?


<a href="http://silverstonepaint.co.uk">silverstonepaint.co.uk</a>. ar: . OPT UDPsize=4096 OK (51)<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-family:"Courier New"">13:37:30.644505 IP (tos 0x0, ttl 64, id 5060, offset 0, flags [none], proto UDP (17), length 79)<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-family:"Courier New"">    $myhost.61737 > 156.154.100.3.domain: [bad udp cksum fef9!] 7832 [1au] A?


<a href="http://silverstonepaint.co.uk">silverstonepaint.co.uk</a>. ar: . OPT UDPsize=4096 OK (51)<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-family:"Courier New"">13:37:30.722628 IP (tos 0x0, ttl 64, id 5061, offset 0, flags [none], proto UDP (17), length 68)<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-family:"Courier New""><o:p> </o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-family:"Courier New""><o:p> </o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-family:"Courier New"">If an IP is not allowed as part of an "allow-query" statement, should the name server still be returning any responses?<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-family:"Courier New""><o:p> </o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-family:"Courier New"">BIND version - BIND 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6<o:p></o:p></span></p>


</div>


</div>


</div>


</div>


</body>


</html>