Pergunta : está meu ajuste do LIGAMENTO correto?

Olá! os indivíduos,

below são a disposição de named.conf e de limas da zona para meu usuário do LIGAMENTO. Antes de põr isto em um ambiente da vida real, eu quis mostrar-lhe a lima de named.conf e pedir especialmente sua opinião se eu falto algo, com respeito à segurança. o

Have um olhar na lima da zona de db.testserver.org, eu dividi o secundário-domínio using $ORIGIN, sou este como supor para ser?
$ORIGIN personnel.testserver.org.
$ORIGIN testserver.org.


Named.conf

options {diretório “/var/named” do
; versão do
“nao disponível”; endereço da perguntar-fonte do
* porto *; permitir-recursion do
{10.1.0.0 /16;}; da descarga-lima” /var/named/named_dump.db " do
; estatística-lima “/var/named/data/named_stats.txt” do
;

}; registo do
{example_log da canaleta do
{tamanho 2m das versões 3 da lima” /var/log/example.log " do
; a severidade do
elimina erros de 1; imprimir-severidade do
sim; imprimir-tempo do
sim; imprimir-categoria do
sim;
}; defeito da categoria do
{example_log do
;
};
};

zone “.” {tipo sugestão do
; lima “named.root” do
;
};
zone “testserver.org” dentro {tipo mestre do
; lima “db.testserver.org” do
; permitir-atualização do
{nenhuma; }; o
permitir-transfere {10.1.3.176; };
};

zone “3.1.10.in-addr.arpa” dentro {tipo mestre do
; permitir-atualização do
{nenhuma; }; lima “db.10.1.3” do
; o
permitir-transfere {10.1.3.176; };
}; address
zone “localhost” do laço de retorno do

# dentro {etc
do
…};
zone “0.0.127.in-addr.arpa.” EM {etc
do
…};
zone “255.in-addr.arpa.” EM {etc
do
…};
zone “0.in-addr.arpa.” EM {etc
do
…};
include “/etc/tsig.key”; >Zone files

db.testserver.org
$TTL 86400 do " traço " do class= do


$ORIGIN testserver.org.
@ EM SOA testserver.org. dns-admin.testserver.org. (
20100726; serial
3H; refresh
15M; retry
1W; expiry
1D); minimum

EM NS ns1.testserver.org.
EM NS ns2.testserver.org.
NS1 NO
NS2 DE A 10.1.3.30 NO
TESTSERVER.ORG DE A 10.1.3.176. No
agent de A 10.1.3.30 no
agent de A 192.168.1.129 no
$ORIGIN personnel.testserver.org de TXT “Rawand AUIS ".
brazil no
db de A 10.1.3.173 EM CNAME brazil.personnel.testserver.org.
$ORIGIN testserver.org.
web no
service de A 10.1.3.176 no

db.10.1.3
$TTL 86400
de A 10.1.0.21; $ORIGIN 3.1.10.IN-ADDR.ARPA.
@ EM SOA testserver.org. admin.testserver.org. (
20100723; (D. adams)
3H; refresh
15M; retry
1W; expiry
1D); minimum
; definitions
do anfitrião do usuário EM NS ns1.testserver.org.
30 EM PTR testserver.org.
21 EM PTR service.testserver.org.
Web no
do PTR web.testserver.org….etc

class= do

Resposta : está meu ajuste do LIGAMENTO correto?

> isto é apenas para o usuário local, eu estou pensando para criar vistas para interno e o external esta maneira
> Mim podem ter a política diferente para o cada as vistas, você recomendam isso?

Minha preferência é para serviços internos e externos completamente separados. Entretanto, as necessidades devem e as vistas são uma maneira perfeitamente boa de aproximar coisas.

> falto eu qualquer coisa, no termo da segurança ou do desempenho?

É simples, simples é bom:)

Se você está funcionando 9.4 você pôde adicionar o permitir-perguntar-esconderijo ao permitir-recursion do complemento. por exemplo.

acl “internalnet” {10.1.0.0 /16; };

opções {
  …
  permitir-perguntar {alguns; };
  permitir-recursion {internalnet; }
  permitir-perguntar-esconderijo {internalnet; }
  …
};

Eu teria o acl porque facilita a manutenção, e eu teria um acl para o uso com permitir-transfiro para a mesma razão.

> E finalmente isso é como você faz a submissão? , dentro de uma única zona?

Você não precisa o primeiro $ORIGIN, ele é implícito de named.conf.

Se não é muito bem. Às vezes é melhor fazer tudo relativo ao nome da zona, ele apenas depende do que você usa a zona para. Certamente nada erradamente com seu uso aqui.

Se você quer mais há um guia aqui, você não está faltando muito embora:

http://www.cymru.com/Documents/secure-bind-template.html

Chris