Архив форумов ЦИТФорума

[TechNoir]

Почему как правило передача зоны разрешена только для некоторых ip.
Почему я не могу с помощью команды
nslookup
ls <domain>
просмотреть список компьютеров? Почему так делают?


P.S. Это я про DNS говорил
_________________
Vive la Russie!

[ALEX_SE]

Передача зон как правило разрешается только между DNS-серверами. Зачем мне отдавать кому-то свои (тем более возможно локальные) зоны? Как раз против таких запросов как у Вас и делается

[and3008]

Мало того, что зоны отдают не всем, да еще и шифруют данные при передаче.

Зачем так делают? Ну примерно за тем же, зачем ты квартиру закрываешь на замок. Слово БЕЗОПАСНОСТЬ надеюсь для тебя не пустой звук?

[TechNoir]

Хорошо, продолжаем >

2ALEX_SE. Зона, как я понимаю не отдается, а копируется. Правильно? ... Что ты называешь локальными зонами?

2All. Уместна ли аналогия > Скажем при заходе на какой-нибудь сайт не выдается содержимое всех папок и файлов - Это по умолчанию запрещено (хотя можно и дать).
В такой конфигурации когда запрещен просмотр всей зоны естественно возможно разрешить DNS имя любого компьютера в содержащейся зоне. Это же делает сервер?

Еще разочек > В чем небезопасность такого просмотра?
_________________
Vive la Russie!

[ALEX_SE]

> 2ALEX_SE. Зона, как я понимаю не отдается, а копируется. Правильно? ... Что ты называешь локальными зонами?

- Понятно что копируется, а разница в данном вопросе? Локальная - это DNS-пространство локальной сети.

> В такой конфигурации когда запрещен просмотр всей зоны естественно возможно разрешить DNS имя любого компьютера в содержащейся зоне. Это же делает сервер?

- Собственно для этого DNS-сервер и нужен

> В чем небезопасность такого просмотра?

- Ничего себе! Ты же отдаешь непонятно кому всю зону, и делать я с ней могу что угодно. Хоть изучать твою сетку, хоть сделать левый DNS-сервер... В 8 и 9 бинде уже не то что на передачу зон, а ограничение на IP того кто запрашивает разрешение имени введено

[TechNoir]

Локальная зона у тебя скорее всего разрешает имена в подсети 192.168.0.0/16. Что называется по настоящему локальная. Да?
_________________
Vive la Russie!

[and3008]

Приходят ко мне некоторые несознательные товарищи и спрашивают:
- А какой софт у тебя есть?
Я говорю, - А какой надо? Говорите какой надо, а я посмотрю есть он или нет.

Примерно такая же аналогия с DNS.

Передача зоны - это значит передать всю зону целиком.
Можно опрашивать зону "по-хостово" и получить таки всю зону. Только ведь это геморойно.

Ограничения на передачу зоны вводят еще и потому, что это довольно ресурсоемкая операция для сервера.

[TechNoir]

Ну... хорошо!

P.S. Прочитал бы тему "2И3008 <-> Скажи пожалуйста"
_________________
Vive la Russie!

[and3008]

Точный адрес давай.
Елозить по всему форуму мне лень.

[Dmitry.Karpov]

Наличие любой информации облегчает взлом системы; например, имея список имён пользователей, для проникновеня в систему надо подбирать только пароль, тогда как не имея списка имён пользователей, надо подбирать ещё и имя пользователя. Поэтому админы стараются давать другим только ту информацию, которая нужна им для работы; например, очень полезно сделать 'chmod 711 /etc' - там есть файлы, которые нужны обычным юзерам, но им незачем читать список всех файлов (к сожалению, так нельзя сделать для корневой директории и для директорий с запускаемыми файлами, перечисленных в $PATH - перестают работать некоторые полезные функции).

И вообще, в Internet так и не прижился виндоузный принцип показывать все файлы в директории, все машины в сетИ и т.п. - кроме проблем с безопасностью, есть проблемы с организацией непомерно большого списка, ибо в Internet машин гораздо больше, чем в лок.сетИ. Из той же оперы интернетовское неприятие броадкаста.
_________________
Благословен Бог, сотворивший меня сисадмином!

[TechNoir]

Спасибо за разъяснения!
_________________
Vive la Russie!