Üdv!
Adott két névszerverem, nevezzük ns1, ns2 -nek őket :-) (ns1. a master, ns2 slave)
Működnek is rendesen, de nem akarom azt hogy olyanok queryzzenek le rajta domaint, akiknek nem sok közük van hozzá.
Kérdés: Kiknek engedélyezzem az allow-query -t, az ns1-en, ns2-n hogy szabályos és működőképes maradjon a rendszer? (Esetleg az allow transferre is van javaslata valainek?) Jelenleg a szolgáltatóm DNS szerverei, az ISZT, illetve a root szerverek vannak beállítva. Most úgy tűnik, hogy ez elég, és mindenhonnan (külföldi whois oldalakkal is) jó válaszokat kapok.
Sajnos a leírások amiket találtam csak arra elegendőek, hogy intranetes névszervereket állítsak be.
- 3563 megtekintés
Hozzászólások
Első ránézésre ennyi kell. allow-transfer meg tudtommal csak a secondary-k számára szükséges.
- A hozzászóláshoz be kell jelentkezni
A rekurzív kéréseket tiltsad. A saját zónáknál képtelen a világos összes valid ns-ét egyesével engedélyezni. Az allow transfer az AXFR/IXFR-re vonatkozik és ott bőven jó, amit beállítottál. Ezt esetleg még a tűzfal oldaláról is meg lehet támogatni.
- A hozzászóláshoz be kell jelentkezni
Akkor nagyot nem tévedtem :) Köszi a válaszokat! :-)
====================================================================
#include "alairas.h"
- A hozzászóláshoz be kell jelentkezni
Huh... Egy DNS szervernek (sok egyéb mellett) az is lehet feladata, hogy az internet felé szolgáltatást nyújtson.
Ehhez az kell, hogy a világon mindenkinek tájékoztatást adjon a saját maga által kezelt zónákról. Beragisztrálod egy regisztrátornál a bela.hu zónát, aztán ha jön valaki és megkérdezi, hogy mi a www.bela.hu IP-címe, akkor megmondod neki.
Ehhez a beállításhoz:
- Az allow-query azt jelenti, hogy ki tudjon kérdezgetni a DNS szerveredtől. A fentiek alapján bárkinek tudnia kell. Ha nem így állítod be, hanem mondjuk csak az ISZT-t engeded be, akkor ugyan működni fog a domained rendesen, de senki nem fog tudni kérdezni tőle semmit. Ez általában nem hasznos.
- A szolgáltatód DNS szervereinek beállítására ehhez nincs szükség, ahogy a root DNS szerverekse sem.
Továbbá, lehet olyan funkciója is a szerverednek, hogy a saját belső hálózatodon lévő kliensek tudanak nemcsak a saját, hanem bármelyik zónáról megtudni valamit. Pl. a titkárnéni gépe szeretné tudni a www.index.hu IP-címét a szerveredtől.
Ehhez a beállításhoz:
- Az allow-query-t úgy kell beállítani, hogy csak a belső hálózatod IP-címeiről engedjen kérdezni. Nem célszerű mindenkinek engedni ilyesmit, annyira jótét lélek nem vagy, hogy ingyen nyújts DNS szolgáltatást.
- A szolgáltatód DNS szervereit és/vagy a root DNS szervereket be kell állítani (elvileg az egyik elég, gyakorlatilag mindkettőt szokták). A szolgáltató DNS szervereit forwarder-ként kell beállítani, a root DNS szervereket pedig így valahogy:
zone "." {
type hint;
file "root.hints";
};
A fenti kettőt együtt is meg lehet csinálni, kétféleképpen is:
- az egyik megoldás, hogy az allow-query-t a zónáidban és a default beállításnál különbözőképpen állítod be (default: csak a belső háló kérdezhet, saját zónák: bárki kérdezhet)
- definiálsz több view-t, és azokkal oldod meg ugyanezt (ezt most nem részletezném).
- A hozzászóláshoz be kell jelentkezni
Bár nem célszerű egy gépen keverni az autoritatív és a rekurzív szerepeket, de ha mégis akkor az allow-query marad any és az allow-recursion -ban szűrsz.
- A hozzászóláshoz be kell jelentkezni
> Huh... Egy DNS szervernek (sok egyéb mellett) az is lehet feladata, hogy az internet felé szolgáltatást nyújtson.
Kiveve mondjuk egy hidden masternel:)
tompos
- A hozzászóláshoz be kell jelentkezni
Olvasd el még egyszer, hogy pontosan mit írtam, jó az úgy :-)
- A hozzászóláshoz be kell jelentkezni
Nem mondtam, h nem jo, csak probaltam kiegesziteni az uriembernek, hatha tagitani akarja a tudasbazisat az okossaggal, hamar a tema kornyeken van.
tompos
- A hozzászóláshoz be kell jelentkezni