Архив форумов ЦИТФорума

[ClassicalMusic]

-

[and3008]

В named.conf прописать имя зоны и файл в котором она лежит.
Файл зоны не особо отличается от других подобных. Имена разные и IP-адреса.

Погляди в файлы и все поймешь. Ничего супер-сложного нет.

[ClassicalMusic]

-

[ClassicalMusic]

-

[AlexanderK]

например, так
zone "kayakadventure.ru" {
type master;
file "db.kayakadventure.ru";
allow-transfer { 194.ххх; 213.ххх; };
};

[Dmitry.Karpov http://prof]

По умолчанию (по кр.мере, во FreeBSD'4.4) named позволяет кому угодно читать содержимое хранимых на нем зон (но не дает список этих зон) - это и есть AXFR; а также обслуживает чьи угодно рекурсивные запросы.

Параноидальное сисадинское сознание не может смириться с тем, что кто-то чужой может получить информацию или услугу, которые мы не обязаны ему давать; поэтому в параноидальном стиле администряния полагается запретить AXFR моих зон со всех машин, кроме вторичных DNS-серверов моей зоны, а также кроме машин той организации, которая проверяет правильность заполнения зоны при ее делегировании. Кроме того, полагается запретить рекурсивные запросы ото всех, кроме моих пользователей.

PS: Я - не параноик; я считаю, что отсюда никакого ущерба не ожидается.

[AlexanderK]

не забываем про DNS-spoofing, а так же про то, что любая атака на сеть начинается с выбора объекта атаки. Именно для этого и надо скушать твою зону, чтобы потом щупать не вслепую, а выборочно.

[Dmitry.Karpov http://prof]

У нас наружу торчит всего одна машина, которая и прописана в нашей DNS-зоне. Т.к. она известна под именами www, ftp и т.д., читать зону незачем.

А все остальные машины имеют внутренние адреса типа 192.168.*.* и прописаны в отдельной DNS-зоне; впрочем, знание ее содержимого ничем не поможет взломщику.

[ClassicalMusic]

-

[Dmitry.Karpov http://prof]

-

[and3008]

Наверно надо разрешить ихнему серваку рыться рекурсивно по твоей зоне.
man named.conf на предмет recurse query. Или что-то в этом стиле.

[ClassicalMusic]

-

[ClassicalMusic]

-