transfer zony do lokalnej siete

Dan Lukes dan at obluda.cz
Tue Aug 14 09:39:38 CEST 2007


Lubomir Majersky napsal/wrote, On 08/13/07 17:12:
> V tom PRVOM zapise (uvedenom este raz), som chcel jednoducho usetrit 
> vypisovanie "allow-query" pre kazdu zonu samostatne (predstavte si 

> 2. ...vzhladom na tento fakt, som uviedol vo view "external" direktivu 
> allow-query { any; }; aby som prebil direktivu *allow-query* v *options* 
> a pre zonu "." som explicitne uviedol allow-query { trusted; }; teda tu 
> direktivu co je v *options*

> options {
>      ...
>      allow-query { trusted; };

> view "external" {
>      match-clients { any; };
> ->  allow-query { any; };
>      zone "." {
>          type hint;
>          file "named.root";
> ->      allow-query { trusted; };
>          };

> a po restarte som dostal chybovu hlasku:
> 
> ...'allow-query' is not allowed in 'hint' zone '.'

> z coho mi vyplyva, ze zapis uvedeny vyssie, nie je totozny so zapisom 
> uvedenym nizsie, a to nechapem preco?

	No, rozdil je zrejmy na prvni pohled - v prvnim pripade je allow-query 
uvedeno u zony specialniho typu, v druhem pripade u zony "normalni".

> 	Uz mi z toho rastu rohy.

	Omezovat pristup k udajum ze zony "." nema velky smysl - udaje jsou tak 
jako tak zname. Melo by to bezpecnostni smysl, kdyby potencialni utocnik 
nebyl opravnen polozit zadny dotaz - jenze - jine zony otevrene ma. 
Takze pokud vi jak serveru ublizit nejakym dotazem, pak prilezitost mit 
bude.

	Vsak jsem se ptal, ceho chces vlastne dosahnout. Ujasni si tohle a 
mozna zjistit, ze rezim cinnosti do ktereho se server snazis vecpat nema 
rozumny prakticky smysl a nejsnazsi reseni problemu je - prestat ho resit.


						Dan



-- 
Dan Lukes                                               SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz



More information about the Users-l mailing list