Cuestión : ¿está mi ajuste del LAZO correcto?

Hola los individuos,

below son la disposición de named.conf y de los archivos de la zona para mi servidor del LAZO. Antes de poner esto en un ambiente de la vida real, quise demostrarle el archivo de named.conf y preguntar su opinión si falto algo, especialmente en vista de seguridad. ¿el

Have una mirada en el archivo de la zona de db.testserver.org, he dividido secundario-dominio usar $ORIGIN, soy éste cómo supone para ser?
$ORIGIN personnel.testserver.org.
$ORIGIN testserver.org.


Named.conf

options {directorio “/var/named” del
; versión del
“no disponible”; dirección de la preguntar-fuente del
* puerto *; permitir-repetición del
{10.1.0.0 /16;}; del descarga-archivo” /var/named/named_dump.db " del
; estadística-archivo “/var/named/data/named_stats.txt” del
;

}; registración del
{example_log del canal del
{tamaño los 2m de las versiones 3 del archivo” /var/log/example.log " del
; la severidad del
elimina errores de 1; imprimir-severidad del
sí; imprimir-tiempo del
sí; imprimir-categoría del
sí;
}; defecto de la categoría del
{example_log del
;
};
};

zone “.” {tipo indirecta del
; archivo “named.root” del
;
};
zone “testserver.org” adentro {tipo amo del
; archivo “db.testserver.org” del
; permitir-actualización del
{ninguna; }; el
permitir-transfiere {10.1.3.176; };
};

zone “3.1.10.in-addr.arpa” adentro {tipo amo del
; permitir-actualización del
{ninguna; }; archivo “db.10.1.3” del
; el
permitir-transfiere {10.1.3.176; };
}; address
zone “localhost” del loopback del

# adentro {etc
del
…};
zone “0.0.127.in-addr.arpa.” EN {etc
del
…};
zone “255.in-addr.arpa.” EN {etc
del
…};
zone “0.in-addr.arpa.” EN {etc
del
…};
include “/etc/tsig.key”; >Zone files

db.testserver.org
$TTL 86400 de la " raya " del class= del


$ORIGIN testserver.org.
@ EN SOA testserver.org. dns-admin.testserver.org. (
20100726; serial
3H; refresh
el 15M; retry
1W; expiry
1D); minimum

EN NS ns1.testserver.org.
EN NS ns2.testserver.org.
NS1 EN EL
NS2 DE A 10.1.3.30 EN EL
TESTSERVER.ORG DE A 10.1.3.176. EN el
agent de A 10.1.3.30 EN el
agent de A 192.168.1.129 EN el
$ORIGIN personnel.testserver.org de TXT “Rawand AUIS ".
brazil EN el
db de A 10.1.3.173 EN CNAME brazil.personnel.testserver.org.
$ORIGIN testserver.org.
web EN el
service de A 10.1.3.176 EN el

db.10.1.3
$TTL 86400
de A 10.1.0.21; $ORIGIN 3.1.10.IN-ADDR.ARPA.
@ EN SOA testserver.org. admin.testserver.org. (
20100723; (D. adams)
3H; refresh
el 15M; retry
1W; expiry
1D); minimum
; definitions
del anfitrión del servidor EN NS ns1.testserver.org.
30 EN PTR testserver.org.
21 EN PTR service.testserver.org.
Web EN el
de la PTR web.testserver.org….etc

class= del

Respuesta : ¿está mi ajuste del LAZO correcto?

> esto está apenas para el usuario local, estoy pensando para crear las opiniónes para interno y el external esta manera
> ¿Yo pueden tener diversa política para cada las opiniónes, usted recomiendan eso?

Mi preferencia está para los servicios internos y externos totalmente separados. Sin embargo, las necesidades deben y las opiniónes son una manera perfectamente buena de acercarse a cosas.

> ¿falto cualquier cosa, en el término de la seguridad o del funcionamiento?

Es simple, simple es bueno:)

Si usted está funcionando 9.4 usted puede ser que agregue el permitir-preguntar-escondrijo a la permitir-repetición del complemento. e.g.

acl “internalnet” {10.1.0.0 /16; };

opciones {
  …
  permitir-preguntar {cualesquiera; };
  permitir-repetición {internalnet; }
  permitir-preguntar-escondrijo {internalnet; }
  …
};

Tendría el acl porque hace mantenimiento más fácil, y tendría un acl para el uso con permitir-transfiero por la misma razón.

> ¿Y finalmente ése es cómo usted hace someter? ¿, dentro de una sola zona?

Usted no necesita el primer $ORIGIN, él está implícito de named.conf.

Si no está muy bien. Es a veces mejor hacer todo concerniente al nombre de la zona, él apenas depende para de lo que usted utiliza la zona. Ciertamente nada mal con su uso aquí.

Si usted quiere más hay una guía aquí, usted no está faltando mucho sin embargo:

http://www.cymru.com/Documents/secure-bind-template.html

Chris