Question : mon arrangement de GRIPPAGE est-il correct ?

Salut les types, le

below est la disposition de named.conf et de dossiers de zone pour mon serveur de GRIPPAGE. Avant de mettre ceci dans un environnement de vie réelle, j'ai voulu te montrer le dossier de named.conf et demander votre avis si je suis absent quelque chose, particulièrement en vue de la sécurité. le

Have un regard au dossier de zone de db.testserver.org, j'ai divisé le secondaire-domaine using $ORIGIN, est ceci comment il supposent pour être ?
$ORIGIN personnel.testserver.org.
$ORIGIN testserver.org.


Named.conf

options {annuaire « /var/named » de
; version du
« non disponible » ; adresse de questionner-source du
* port * ; permettre-récursion du
{10.1.0.0 /16 ;}; du décharge-dossier » /var/named/named_dump.db " du
; statistique-dossier « /var/named/data/named_stats.txt » du
;

} ; notation du
{example_log de canal de
{taille 2m de versions 3 de dossier » /var/log/example.log " de
; la sévérité du
corrigent 1 ; imprimer-sévérité du
oui ; imprimer-temps du
oui ; imprimer-catégorie du
oui ;
} ; défaut de catégorie du
{example_log de
;
} ;
} ;

zone « . » {type conseil de
; dossier « named.root » du
;
} ;
zone « testserver.org » dedans {type maître de
; dossier « db.testserver.org » du
; permettre-mise à jour du
{aucune ; } ; le
permettre-transfèrent {10.1.3.176 ; } ;
} ;

zone « 3.1.10.in-addr.arpa » dedans {type maître de
; permettre-mise à jour du
{aucune ; } ; dossier « db.10.1.3 » du
; le
permettre-transfèrent {10.1.3.176 ; } ;
} ; address
zone « localhost » de réalimentation du

# dedans {etc
de
…} ;
zone « 0.0.127.in-addr.arpa. » DANS {etc
de
…} ;
zone « 255.in-addr.arpa. » DANS {etc
de
…} ;
zone « 0.in-addr.arpa. » DANS {etc
de
…} ;
include « /etc/tsig.key » ; >Zone files

db.testserver.org
$TTL 86400 de " underline " de class= du


$ORIGIN testserver.org.
@ DANS SOA testserver.org. dns-admin.testserver.org. (
20100726 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D) ; minimum

DANS NS ns1.testserver.org.
DANS NS ns2.testserver.org.
NS1 DANS LE
NS2 D'A 10.1.3.30 DANS LE
TESTSERVER.ORG D'A 10.1.3.176. DANS le
agent d'A 10.1.3.30 DANS le
agent d'A 192.168.1.129 DANS
$ORIGIN personnel.testserver.org de TXT le « Rawand AUIS ".
brazil DANS le
db d'A 10.1.3.173 DANS CNAME brazil.personnel.testserver.org.
$ORIGIN testserver.org.
web DANS le
service d'A 10.1.3.176 DANS le

db.10.1.3
$TTL 86400
d'A 10.1.0.21 ; $ORIGIN 3.1.10.IN-ADDR.ARPA.
@ DANS SOA testserver.org. admin.testserver.org. (
20100723 ; (D. adams)
3H ; refresh
15M ; retry
1W ; expiry
1D) ; minimum
; definitions
de centre serveur de serveur DANS NS ns1.testserver.org.
30 DANS PTR testserver.org.
21 DANS PTR service.testserver.org.
Web DANS le
de PTR web.testserver.org….etc

class= de

Réponse : mon arrangement de GRIPPAGE est-il correct ?

> c'est juste pour l'utilisateur local, je pense pour créer des vues pour interne et l'external de cette façon
> J'avoir la politique différente pour le chaque les vues, vous peuvent-elles recommandent-elles cela ?

Ma préférence est pour des services internes et externes complètement séparés. Cependant, les besoins doivent et les vues est une manière parfaitement bonne d'approcher des choses.

> est-ce que je suis absent quelque chose, dans la limite de la sécurité ou de l'exécution ?

Elle est simple, simple est bonne :)

Si vous courez 9.4 vous pourriez ajouter la permettre-questionner-cachette à la permettre-récursion de complément. par exemple.

ACL « internalnet » {10.1.0.0 /16 ; } ;

options {
  …
  permettre-questionner {quels ; } ;
  permettre-récursion {internalnet ; }
  permettre-questionner-cachette {internalnet ; }
  …
} ;

J'aurais l'ACL parce qu'il facilite l'entretien, et j'aurais un ACL pour l'usage avec permettre-transfère pour la même raison.

> Et finalement c'est comment vous faites la soumission ? , dans une zone simple ?

Vous n'avez pas besoin du premier $ORIGIN, il est implicite de named.conf.

Autrement il est très bien. Parfois il vaut mieux de faire tout relativement au nom de zone, il dépend juste pour de ce que vous employez la zone. Certainement rien mal avec votre utilisation ici.

Si vous voulez davantage il y a un guide ici, vous ne manquent pas beaucoup cependant :

http://www.cymru.com/Documents/secure-bind-template.html

Chris