Questione : è la mia regolazione di LEGATURA corretta?

Ciao i tipi, il

below è la disposizione di named.conf e delle lime di zona per il mio assistente di LEGATURA. Prima di mettere questo in un ambiente di vita reale, ho voluto mostrargli la lima di named.conf e chiedere il vostro parere se manco qualcosa, particolarmente rispetto a sicurezza.

Have uno sguardo alla lima di zona di db.testserver.org, ho diviso il secondario-dominio using $ORIGIN, sono questo come suppone per essere?
$ORIGIN personnel.testserver.org.
$ORIGIN testserver.org.


Named.conf

options {indice “/var/named„ del
; versione del
“non disponibile„; indirizzo di interrogare-fonte del
* orificio *; consentire-ricorrenza del
{10.1.0.0 /16;}; della deposito-lima„ /var/named/named_dump.db " del
; statistica-lima “/var/named/data/named_stats.txt„ del
;

}; registrazione del
{example_log della scanalatura del
{formato 2m di versioni 3 della lima„ /var/log/example.log " del
; la severità del
mette a punto 1; stampare-severità del
sì; stampare-tempo del
sì; stampare-categoria del
sì;
}; difetto di categoria del
{example_log del
;
};
};

zone “.„ {tipo suggerimento del
; lima “named.root„ del
;
};
zone “testserver.org„ dentro {tipo padrone del
; lima “db.testserver.org„ del
; consentire-aggiornamento del
{nessuno; }; il
consentire-trasferisce {10.1.3.176; };
};

zone “3.1.10.in-addr.arpa„ dentro {tipo padrone del
; consentire-aggiornamento del
{nessuno; }; lima “db.10.1.3„ del
; il
consentire-trasferisce {10.1.3.176; };
}; address
zone “localhost„ di "loopback" del

# dentro {etc
del
…};
zone “0.0.127.in-addr.arpa.„ IN {etc
del
…};
zone “255.in-addr.arpa.„ IN {etc
del
…};
zone “0.in-addr.arpa.„ IN {etc
del
…};
include “/etc/tsig.key„; >Zone files

db.testserver.org
$TTL 86400 " della sottolineatura " del class= del


$ORIGIN testserver.org.
@ IN SOA testserver.org. dns-admin.testserver.org. (
20100726; serial
3H; refresh
15M; retry
1W; expiry
1D); minimum

IN NS ns1.testserver.org.
IN NS ns2.testserver.org.
NS1 NEL
NS2 DI A 10.1.3.30 NEL
TESTSERVER.ORG DI A 10.1.3.176. Nel
agent di A 10.1.3.30 nel
agent di A 192.168.1.129 nel
$ORIGIN personnel.testserver.org di TXT “Rawand AUIS ".
brazil nel
db di A 10.1.3.173 IN CNAME brazil.personnel.testserver.org.
$ORIGIN testserver.org.
web nel
service di A 10.1.3.176 nel

db.10.1.3
$TTL 86400
di A 10.1.0.21; $ORIGIN 3.1.10.IN-ADDR.ARPA.
@ IN SOA testserver.org. admin.testserver.org. (
20100723; (D. adams)
3H; refresh
15M; retry
1W; expiry
1D); minimum
; definitions
ospite dell'assistente IN NS ns1.testserver.org.
30 IN stampante testserver.org.
21 IN stampante service.testserver.org.
Web nel
dello stampante web.testserver.org….etc

class= del

Risposta : è la mia regolazione di LEGATURA corretta?

> questo è appena per l'utente locale, sto pensando per generare le viste per interno ed external questo senso
> Io possono avere politica differente per l'ogni le viste, voi suggeriscono quello?

La mia preferenza è per i servizi interni ed esterni completamente separati. Tuttavia, i bisogni devono e le viste è un senso perfettamente buon avvicinarsi alle cose.

> manco qualche cosa, nel termine di sicurezza o della prestazione?

È semplice, semplice è buono:)

Se stiate facendo funzionare 9.4 potreste aggiungere il consentire-interrogare-nascondiglio alla consentire-ricorrenza del complemento. per esempio.

acl “internalnet„ {10.1.0.0 /16; };

opzioni {
  …
  consentire-interrogare {c'è ne; };
  consentire-ricorrenza {internalnet; }
  consentire-interrogare-nascondiglio {internalnet; }
  …
};

Avrei il acl perché rende la manutenzione più facile ed avrei un acl per uso con consentire-trasferisco per lo stesso motivo.

> Ed infine quello è come fate la presentazione? , all'interno di una zona singola?

Non avete bisogno del primo $ORIGIN, esso siete implicito da named.conf.

Altrimenti è benissimo. A volte è migliore fare tutto riguardante il nome di zona, esso appena dipende da che cosa usate la zona per. Certamente niente male con il vostro uso qui.

Se volete di più ci è una guida qui, voi non sta mancando molto comunque:

http://www.cymru.com/Documents/secure-bind-template.html

Chris