DNS
Dan Lukes
dan at obluda.cz
Mon Dec 8 14:13:10 CET 2003
Ondra Koutek napsal/wrote, On 12/08/03 13:29:
> Tak jsem se chtel zeptat - komu teda vlastne moje DNS muze neodpovidat -
> jedna se o primarni DNS, ktera je pro nasi domenu uvedena na NICu. Ta prece
> musi odpovidat komukoliv, nebo snad ne?
>> Nikoli, vezmete si napriklad ISP. Ti mohou mit zajem nepretezovat
sve DNS
>> servery a mohou chtit povolit pristup pouze lidem z vlastnich rad, tedy
>> napriklad pouze svym klientum. Naopak pro sve vnitrni potreby mohou mit
>> vlastni DNS.
Tomas psal, ze ten DNS server je publikovanym autoritaivnim
nameserverem pro nejakou domenu - na takovy server musi byt pristup
zcela vseobecny, prinejmensim, co se tyce "beznych" dotazu, tykajicich
se teto konkretni domeny.
Varianty "nedovolit kvuli pretezovani" nebo"dovolit jen vlastnim lidem"
v tomto pripade proste nepripadaji v uvahu.
AXFR uz obecne dovoleno byt nemusi, tam skutecne staci, aby mely
pristup sekundarni NS.
Co lze zakazat bez nebezpeci (respektive, co lze povolit jen omezenmu
okruhu lidi) jsou "rekurzivni dotazy". Dotazy tykajici se primo
delegovanych domen se tak vyridi, protoze ty se nevyrizuji rekurzivne,
ostatni dotazy se vyrozivat nebudou (nebo budou jen pro omezeny okruh lidi).
Takze - n autoritativnim NS nelze omezit vsechny dotazy, ale bez
nebezpeci lze omezit dotazy vyzadujici rekurzi a ?FXR dotazy.
Co se DJBDNS tyce - mozna mam uz zastarale nebi chybne onformace, ale
mel jsem dojem, ze ono neumi na jednom stroji byt soucasne
autoritativnim nameserverem pro nejakou domenu a soucasne rekurzivnim
nameserverem slouzicim koncovym stanicim. Pokud je to pravda, pak muze
Tomas DJBDNS pouzit jen v pripade, ze zminene DNS nepouzivaji nejaci
uzivatele jako resolver.
Dan
--
Dan Lukes tel: +420 2 21914205, fax: +420 2 21914206
root of FIONet, KolejNET, webmaster of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list