Anfitriões públicos e privados na mesma zona BIND

Navegue suas respostas
3

Para minha configuração específica, controlei um arquivo de zona do BIND 9 por, digamos, example.com . Existem vários hosts nessa zona, como www.example.com e mail.example.com . Eu quero que a internet pública possa consultar esses hosts e recuperar seus IPs como você esperaria.

Alguns hosts podem ser sinalizados como "privados", no sentido de que a maioria dos usuários da Internet pública não pode consultar informações sobre esses hosts, exceto para um intervalo específico de usuários de IP? Por exemplo, posso criar um terceiro host, secret.example.com apenas para consultas por usuários no intervalo 192.168.0.x ?

Estou ciente de que posso fazer isso com zonas separadas no BIND, mas isso não parece oferecer o que eu preciso. A chave aqui é que os hosts público e privado precisam fazer parte do mesmo pai, example.com neste caso. Isso também poderia ser alcançado pelo arquivo /etc/hosts nas poucas máquinas particulares, mas os registros não seriam gerenciáveis centralmente.

Isso é possível ou estou negligenciando uma solução diferente?

    
por Collin Allen 30.09.2009 / 04:08

1 resposta

8

Sim, o Bind faz isso com visualizações . Alguns exemplos detalhados são aqui e aqui .

Seria algo parecido com isso no named.conf: 

view "trusted" {
 match-clients { 192.168.23.0/24; }; // our network
  recursion yes;
  zone "example.com" {
   type master;
   // private zone file including local hosts
   file "internal/master.example.com";
  };
  // add required zones
 };
view "badguys" {
 match-clients {"any"; }; // all others hosts
 // recursion not supported
 recursion no;
 };
 zone "example.com" {
   type master;
   // public only hosts
   file "external/master.example.com";
  };
  // add required zones
 };

Um truque que eu geralmente faço para tornar a administração mais fácil é simplesmente ter o arquivo interno $ INCLUDE no arquivo externo - apenas não se esqueça dos SOAs.

Como uma última palavra de cautela, não finja que isso é algo mais do que Rubber Chicken Security (não que haja algo de errado com isso).

    
por 30.09.2009 / 04:29

Tags

Como parar os hits repetitivos do mesmo host para o mesmo URL? Ferramentas de administração remota do Windows “imperdíveis” [fechadas]