Система доменных имен
       

Настройка slave сервера в BIND 4.x.


Мы будем рассматривать настройку сервера в качестве slave сервера в контексте домена vega.ru, т.е. сервер этого домена будет одновременно выполнять функции slave сервера для другого домена:

directory /etc/namedb

primary vega.ru vega.ru secondary corp.ru 192.168.0.1 10.0.0.1 corp.ru primary localhost localhost primary 127.in-addr.arpa localhost.rev primary 43.226.194.in-addr.arpa vega.rev cache . named.root

В данном случае наш сервер размещает файлы описания зон в /etc/namedb. Именно там и появится файл зоны, которую этот сервер с копирует с одного из серверов домена corp.ru.

Сами master серверы прописаны в директиве secondary вслед за именем домена. Всего можно перечислить до 10 IP-адресов серверов, с которых наш сервер может скопировать зону.

Последний аргумент директивы secondary - это имя файла, куда записываются данные зоны. В нашем случае мы используем тот же принцип наименования файлов описания зон, что и в случае "прямых" зон: имя файла совпадает с именем зоны.

На самом деле, для slave сервера действуют все те же принципы ограничения доступа к описанию зоны и защите его от повреждения, что и для "прямой зоны".

Во-первых, можно ограничить обслуживание рекурсивных запросов:

directory /etc/namedb

primary vega.ru vega.ru secondary corp.ru 192.168.0.1 10.0.0.1 corp.ru primary localhost localhost primary 127.in-addr.arpa localhost.rev primary 43.226.194.in-addr.arpa vega.rev cache . named.root options no-recursion

Во-вторых, применить опции снижающие опасность спуфинга сервера:

directory /etc/namedb

primary vega.ru vega.ru secondary corp.ru 192.168.0.1 10.0.0.1 corp.ru primary localhost localhost primary 127.in-addr.arpa localhost.rev primary 43.226.194.in-addr.arpa vega.rev cache . named.root options no-recursion no-fetch-glue fake-iquery

В данном случае отменяется формирование дополнительной секции данных и объявляется корректная обработка инверсных запросов.

Теперь мы можем ограничить число хостов, которым сами разрешаем копировать зону:

directory /etc/namedb

primary vega.ru vega.ru secondary corp.ru 192.168.0.1 10.0.0.1 corp.ru primary localhost localhost primary 127.in-addr.arpa localhost.rev primary 43.226.194.in-addr.arpa vega.rev xfrnets 194.226.65.1&255.255.255.255 cache . named.root options no-recursion no-fetch-glue fake-iquery

В данном случае число таких хостов уменьшили до одного.

На самом деле, файл, который мы получаем при копировании зоны на slave сервер несколько отличается от исходного. Например, там нет "приклеенных" адресных записей, которые не относятся к нашей зоне.



Содержание раздела