ACL v BINDU - vyznam...

Čtvrtek Srpen 19 11:15:22 CEST 1999

Petr Vacha wrote:
> 
> Dobry den.
> Ja acl pouzivam takto.
> 
>  acl firma {192.168.44.109; 127.0.0.1; 10.1/16; 192.168.44.20;};
> 
> zone "firma.cz" {
>         allow-transfer {firma ;};
>         type master;
>         allow-query {firma;};
>         file "hosts.firma.db";
> };
> 
...
> 
> Ze zapisu vyplyva, ze na ziskani informaci o teto domene
> (  allow-transfer {firma;};  )maji pravo pocitace  192.168.44.109, 192.168.44.20
> a cela sit 10.1.0.0/255.255.0.0 (A rozsah, ale B maska).
> Timto zapisem je receno, ze ( allow-transfer {firma ;}; ) se mohou soubory
> replikovat pouze na urcene stroje. Tj. pouze na nich mohou byt sekundarni
> DNS servery.
> 

To je snad ale jen demonstracni priklad a ne konfigurace skutecne
domeny? Nebo je firma.cz pouze lokalni domena?

Pokud ma byt domena firma.cz verejna, musi mit:
a) allow-query cely cely Internet
b) allow-transfer musi byt jeste ns.eunet.cz, jinak neprojde registrace.

Pokud chcete vyuzivat nektere sluzby na kontrolu domen, treba velmi
pekny Sleuth od Martina Marese, musite povolit jeste pristup z tech
serveru. Osobne si myslim, ze pokud se za svoji konfiguraci nestydite
(jako nekteri), muzete klidne pridat i adresy techto serveru. U nas
treba mame na primaru:

allow-transfer
{                                                                                                 
    194.24.231.12;      // ns2.ryston.cz
    194.213.226.204;    // multimedia.czn.cz   
    193.85.1.12;        // ns.eunet.cz   
    193.85.7.100;       // ns.o.cz
    192.134.4.1;        // astrid1.nic.fr   
    164.128.36.54;      // wega.ip-plus.net
    194.149.104.203;    // info.pvt.net
    195.113.31.123;     // atrey.karlin.mff.cuni.cz 
    194.24.231.64/26;   // vnitrni sit 
};                                                                                                               

Prvni 2 radky jsou sekundary, pak je server, ze ktereho dela testy
CZ-NIC, pak server, z ktereho dela p. Orsag hostcount a dalsi testy
domeny cz, pak jsou testovaci servery:
http://www.nic.fr/ZoneCheck/index-english.html
http://www.uniplus.ch/direct/testtool/dnstest.html
http://www.europe.menandmice.com/cgi-bin/DoDNSWalk
http://info.pvt.net/cgi-bin/toASCII/dnswalk.htm
http://atrey.karlin.mff.cuni.cz/~mj/sleuth/
a nakonec nase vnitrni sit - tam muzou byt ale treba jenom pocitace, z
kterych ma byt zome-transfer povolen, nemusi to byt cela sit.

Pokud mate vic domen, je lepsi dat ten allow-transfer do sekce options
spolecne pro vsechny zony.

Podrobny popis je tady:
http://www.isc.org/view.cgi?/products/BIND/docs/config/options.phtml#AccessControl

No a k tomu allow-query. Kvuli omezeni moznosti dns spoofingu se
doporucuje, aby nameserver ze site, kterou obsluhije, odpovidal na
vsechny dotazy, zvenku ale odpovidal pouze na dotazy na zony, pro ktere
je dany server autoritativni.

Rozhodne doporucuji zkonfigurovanou domenu projet nekterymi (nebo radeji
vsemi) nastroji vyse uvedenymi a a pokusit se zmeni vse, co oznacuji za
"error" i "warning" - vyhnete se tim mnoha potencialnim neprijemnostem.
Pochopitelne nekdy je nutne neco nastavit jinak, nez si mysli ty
programy, je ale nutne si dobre rozmyslet, jestli vite, proc to tak je.

Tipuji, ze 95% domen v .cz by vsemi testy neproslo.

Zdravi

Petr Soucek