DNS

[Dan Lukes]

Ondra Koutek napsal/wrote, On 12/08/03 13:29:
> Tak jsem se chtel zeptat - komu teda vlastne moje DNS muze neodpovidat -
> jedna se o primarni DNS, ktera je pro nasi domenu uvedena na NICu. Ta prece
> musi odpovidat komukoliv, nebo snad ne?

 >> Nikoli, vezmete si napriklad ISP. Ti mohou mit zajem nepretezovat 
sve DNS
 >> servery a mohou chtit povolit pristup pouze lidem z vlastnich rad, tedy
 >> napriklad pouze svym klientum. Naopak pro sve vnitrni potreby mohou mit
 >> vlastni DNS.

	Tomas psal, ze ten DNS server je publikovanym autoritaivnim 
nameserverem pro nejakou domenu - na takovy server musi byt pristup 
zcela vseobecny, prinejmensim, co se tyce "beznych" dotazu, tykajicich 
se teto konkretni domeny.

	Varianty "nedovolit kvuli pretezovani" nebo"dovolit jen vlastnim lidem" 
v tomto pripade proste nepripadaji v uvahu.

	AXFR uz obecne dovoleno byt nemusi, tam skutecne staci, aby mely 
pristup sekundarni NS.

	Co lze zakazat bez nebezpeci (respektive, co lze povolit jen omezenmu 
okruhu lidi) jsou "rekurzivni dotazy". Dotazy tykajici se primo 
delegovanych domen se tak vyridi, protoze ty se nevyrizuji rekurzivne, 
ostatni dotazy se vyrozivat nebudou (nebo budou jen pro omezeny okruh lidi).

	Takze - n autoritativnim NS nelze omezit vsechny dotazy, ale bez 
nebezpeci lze omezit dotazy vyzadujici rekurzi a ?FXR dotazy.

	Co se DJBDNS tyce - mozna mam uz zastarale nebi chybne onformace, ale 
mel jsem dojem, ze ono neumi na jednom stroji byt soucasne 
autoritativnim nameserverem pro nejakou domenu a soucasne rekurzivnim 
nameserverem slouzicim koncovym stanicim. Pokud je to pravda, pak muze 
Tomas DJBDNS pouzit jen v pripade, ze zminene DNS nepouzivaji nejaci 
uzivatele jako resolver.

					Dan


-- 
Dan Lukes     tel: +420 2 21914205, fax: +420 2 21914206
root of  FIONet, KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz