Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
TechNoir
Зарегистрирован: 22.08.2003 Сообщения: 1632 Откуда: Moscou
|
Добавлено: Вс Апр 25 2004 11:55 Заголовок сообщения: Передача зоны. |
|
|
Почему как правило передача зоны разрешена только для некоторых ip.
Почему я не могу с помощью команды
nslookup
ls <domain>
просмотреть список компьютеров? Почему так делают?
P.S. Это я про DNS говорил _________________ Vive la Russie! |
|
Вернуться к началу |
|
|
ALEX_SE
Зарегистрирован: 30.11.2003 Сообщения: 1043 Откуда: Энгельс, Саратовская обл.
|
Добавлено: Вс Апр 25 2004 17:54 Заголовок сообщения: |
|
|
Передача зон как правило разрешается только между DNS-серверами. Зачем мне отдавать кому-то свои (тем более возможно локальные) зоны? Как раз против таких запросов как у Вас и делается |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вс Апр 25 2004 18:11 Заголовок сообщения: |
|
|
Мало того, что зоны отдают не всем, да еще и шифруют данные при передаче.
Зачем так делают? Ну примерно за тем же, зачем ты квартиру закрываешь на замок. Слово БЕЗОПАСНОСТЬ надеюсь для тебя не пустой звук? |
|
Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003 Сообщения: 1632 Откуда: Moscou
|
Добавлено: Вс Апр 25 2004 20:21 Заголовок сообщения: |
|
|
Хорошо, продолжаем >
2ALEX_SE. Зона, как я понимаю не отдается, а копируется. Правильно? ... Что ты называешь локальными зонами?
2All. Уместна ли аналогия > Скажем при заходе на какой-нибудь сайт не выдается содержимое всех папок и файлов - Это по умолчанию запрещено (хотя можно и дать).
В такой конфигурации когда запрещен просмотр всей зоны естественно возможно разрешить DNS имя любого компьютера в содержащейся зоне. Это же делает сервер?
Еще разочек > В чем небезопасность такого просмотра? _________________ Vive la Russie! |
|
Вернуться к началу |
|
|
ALEX_SE
Зарегистрирован: 30.11.2003 Сообщения: 1043 Откуда: Энгельс, Саратовская обл.
|
Добавлено: Вс Апр 25 2004 20:34 Заголовок сообщения: |
|
|
> 2ALEX_SE. Зона, как я понимаю не отдается, а копируется. Правильно? ... Что ты называешь локальными зонами?
- Понятно что копируется, а разница в данном вопросе? Локальная - это DNS-пространство локальной сети.
> В такой конфигурации когда запрещен просмотр всей зоны естественно возможно разрешить DNS имя любого компьютера в содержащейся зоне. Это же делает сервер?
- Собственно для этого DNS-сервер и нужен
> В чем небезопасность такого просмотра?
- Ничего себе! Ты же отдаешь непонятно кому всю зону, и делать я с ней могу что угодно. Хоть изучать твою сетку, хоть сделать левый DNS-сервер... В 8 и 9 бинде уже не то что на передачу зон, а ограничение на IP того кто запрашивает разрешение имени введено |
|
Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003 Сообщения: 1632 Откуда: Moscou
|
Добавлено: Вс Апр 25 2004 20:51 Заголовок сообщения: |
|
|
Локальная зона у тебя скорее всего разрешает имена в подсети 192.168.0.0/16. Что называется по настоящему локальная. Да? _________________ Vive la Russie! |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вс Апр 25 2004 21:35 Заголовок сообщения: |
|
|
Приходят ко мне некоторые несознательные товарищи и спрашивают:
- А какой софт у тебя есть?
Я говорю, - А какой надо? Говорите какой надо, а я посмотрю есть он или нет.
Примерно такая же аналогия с DNS.
Передача зоны - это значит передать всю зону целиком.
Можно опрашивать зону "по-хостово" и получить таки всю зону. Только ведь это геморойно.
Ограничения на передачу зоны вводят еще и потому, что это довольно ресурсоемкая операция для сервера. |
|
Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003 Сообщения: 1632 Откуда: Moscou
|
Добавлено: Пн Апр 26 2004 10:53 Заголовок сообщения: |
|
|
Ну... хорошо!
P.S. Прочитал бы тему "2И3008 <-> Скажи пожалуйста" _________________ Vive la Russie! |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пн Апр 26 2004 14:27 Заголовок сообщения: |
|
|
Точный адрес давай.
Елозить по всему форуму мне лень. |
|
Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003 Сообщения: 415 Откуда: Moscow
|
Добавлено: Пн Апр 26 2004 15:06 Заголовок сообщения: Re: Передача зоны. |
|
|
Наличие любой информации облегчает взлом системы; например, имея список имён пользователей, для проникновеня в систему надо подбирать только пароль, тогда как не имея списка имён пользователей, надо подбирать ещё и имя пользователя. Поэтому админы стараются давать другим только ту информацию, которая нужна им для работы; например, очень полезно сделать 'chmod 711 /etc' - там есть файлы, которые нужны обычным юзерам, но им незачем читать список всех файлов (к сожалению, так нельзя сделать для корневой директории и для директорий с запускаемыми файлами, перечисленных в $PATH - перестают работать некоторые полезные функции).
И вообще, в Internet так и не прижился виндоузный принцип показывать все файлы в директории, все машины в сетИ и т.п. - кроме проблем с безопасностью, есть проблемы с организацией непомерно большого списка, ибо в Internet машин гораздо больше, чем в лок.сетИ. Из той же оперы интернетовское неприятие броадкаста. _________________ Благословен Бог, сотворивший меня сисадмином! |
|
Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003 Сообщения: 1632 Откуда: Moscou
|
Добавлено: Пн Апр 26 2004 17:59 Заголовок сообщения: |
|
|
Спасибо за разъяснения! _________________ Vive la Russie! |
|
Вернуться к началу |
|
|
|