Zone files on slave DNS servers often do not (and should not) have information to this hidden master DNS server.
Eles podem ter registros A em seus arquivos de zona para apontar para esse servidor mestre de DNS oculto. O servidor é chamado de "oculto" não porque ninguém possa saber sobre ele, mas porque ele não está listado em lugar algum usando registros NS para que os clientes não possam consultá-los.
Editar: não faz sentido tentar evitar todas as referências a esse mestre oculto do seu arquivo de configuração. Uma vez que alguém tenha acesso a esse arquivo, ele supõe que ele tenha acesso ao seu servidor de qualquer maneira e então isso parece um problema maior do que saber o endereço IP do seu mestre oculto.
But these same slave DNS servers do require the use of certain DNS options like server, allow-update, allow-transfer, and some ACLs.
Os servidores DNS escravos realmente precisam saber sobre a existência do servidor DNS oculto. É possível definir masters
usando apenas chaves e, em seguida, consultar as masters
nas instruções allow-notify
etc. Dessa forma, você não precisa especificar o endereço IP do servidor mestre oculto.
A declaração server
tem esta aparência:
server <netprefix> {
...
};
Assim, requer o endereço IP do mestre oculto.
No entanto, parece que instruções como allow-update
, allow-transfer
etc requerem um address_match_list
(documentação BIND 9.11.4-P1, p. 51):
(...) is a list of one or more
ip_addr
,ip_prefix
,key_id
, oracl_name
elements, see section 6.1.
Assim, você pode inserir apenas chaves nesses comandos, excluindo o endereço IP do seu mestre oculto das partes da configuração.