transfer zony do lokalnej siete
Dan Lukes
dan at obluda.cz
Tue Aug 14 09:39:38 CEST 2007
Lubomir Majersky napsal/wrote, On 08/13/07 17:12:
> V tom PRVOM zapise (uvedenom este raz), som chcel jednoducho usetrit
> vypisovanie "allow-query" pre kazdu zonu samostatne (predstavte si
> 2. ...vzhladom na tento fakt, som uviedol vo view "external" direktivu
> allow-query { any; }; aby som prebil direktivu *allow-query* v *options*
> a pre zonu "." som explicitne uviedol allow-query { trusted; }; teda tu
> direktivu co je v *options*
> options {
> ...
> allow-query { trusted; };
> view "external" {
> match-clients { any; };
> -> allow-query { any; };
> zone "." {
> type hint;
> file "named.root";
> -> allow-query { trusted; };
> };
> a po restarte som dostal chybovu hlasku:
>
> ...'allow-query' is not allowed in 'hint' zone '.'
> z coho mi vyplyva, ze zapis uvedeny vyssie, nie je totozny so zapisom
> uvedenym nizsie, a to nechapem preco?
No, rozdil je zrejmy na prvni pohled - v prvnim pripade je allow-query
uvedeno u zony specialniho typu, v druhem pripade u zony "normalni".
> Uz mi z toho rastu rohy.
Omezovat pristup k udajum ze zony "." nema velky smysl - udaje jsou tak
jako tak zname. Melo by to bezpecnostni smysl, kdyby potencialni utocnik
nebyl opravnen polozit zadny dotaz - jenze - jine zony otevrene ma.
Takze pokud vi jak serveru ublizit nejakym dotazem, pak prilezitost mit
bude.
Vsak jsem se ptal, ceho chces vlastne dosahnout. Ujasni si tohle a
mozna zjistit, ze rezim cinnosti do ktereho se server snazis vecpat nema
rozumny prakticky smysl a nejsnazsi reseni problemu je - prestat ho resit.
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz
More information about the Users-l
mailing list