https://www.opennet.ru/openforum/vsluhforumID1/93548.html Есть DNS с несколькими файлами зон. Для одной из зон нужно чтобы во внутреннюю сеть отдавались внутренние адреса, а для внешних адресов - внешние.<br>Делается это как я понял с помощью оператора view.<br>Создаем два файла для одной зоны: один для внутренних адресов, другой для внешних. Создаем например view internal и view external и в каждом из них указываем соответствующие файлы для нужной зоны.<br>А вот что касается других зон, по которым все остается без изменений, нужно ли их указывать в обоих view или нет? <br>В книжке Крикета Ли и Пола Альбица "DNS и BIND" пишут: "если создан хотя бы один оператор view, все операторы zone должны быть явно включены в один из видов." <br>Если мы явно включим все операторы zone например в view internal а в view external их не укажем, какие адреса будут отдаваться клиентам view external по этим зонам?<br>Я так понимаю нужно перечислять все zone в обоих view. Или я ошибаюсь?<br> https://www.opennet.ru/openforum/vsluhforumID1/93548.html#12 Sat, 14 Jul 2012 23:53:11 GMT &gt; Есть DNS с несколькими файлами зон. Для одной из зон нужно чтобы <br>&gt; во внутреннюю сеть отдавались внутренние адреса, а для внешних адресов - <br>&gt; внешние.<br>&gt; Делается это как я понял с помощью оператора view.<br>&gt; Создаем два файла для одной зоны: один для внутренних адресов, другой для <br>&gt; внешних. Создаем например view internal и view external и в <br>&gt; каждом из них указываем соответствующие файлы для нужной зоны.<br>&gt; А вот что касается других зон, по которым все остается без изменений, <br><br>млять!!!! (простите за грубость модераторы)! <br><br>ты про дерективу include не слышал? почитай в man. воткни в файл все что не изменяется, include его в ллюбую зону, флаг те в руки и отстань если логику работы сервиса понять не можешь<br><br>&gt; нужно ли их указывать в обоих view или нет?<br>&gt; В книжке Крикета Ли и Пола Альбица "DNS и BIND" пишут: "если <br>&gt; создан хотя бы один оператор view, все операторы zone должны быть <br>&gt; явно включены в один из видов." <br>&gt; Если мы явно включим все операторы zone например в view internal а <br>&gt; https://www.opennet.ru/openforum/vsluhforumID1/93548.html#11 Sat, 14 Jul 2012 23:16:29 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Хм... Мне всегда казалось, что попав под первый view с match-clients (any), <br>&gt;&gt; последующие view не рассматриваются.<br>&gt; тут порядок правил не важен.<br>&gt; используется более точное совпадение ИП (по длине маски) во всех acl. any <br>&gt; = маска /0 = любое значение всех 32-х битов в ИП. <br>&gt; если под более точную маску из другого acl не попало (например <br>&gt; 192.168.0.1 255.255.255.0 = 192.168.0.1/24), то в конце концов попадет сюда.<br>&gt;&gt; У меня через include подцепляются общие зоны как в view "internal", так <br>&gt;&gt; и external.<br>&gt;&gt; Или я ошибаюсь?<br><br>Коллеги, Вы почему-то совсем игнорируете возможность указывать ! в acl. в применении &gt; (больше) 2-х интерфейсов.<br><br><br>и к тому же даже с относительно старым биндом: man его:<br><br> view string optional_class {<br> match-clients { address_match_element; ... };<br> match-destinations { address_match_element; ... };<br> match-recursive-only boolean;<br> key string {<br> algor https://www.opennet.ru/openforum/vsluhforumID1/93548.html#10 Fri, 13 Jul 2012 13:55:33 GMT &gt; Из ответа участника форума с ником "DN" я сделал следующий вывод, что <br>&gt; можно сделать общую зону common, т.е.<br><br>В документации BIND сказано, что разделение на view делается по<br>адресам клиентов или/и адресам BIND сервера, на которые поступает запрос.<br>Понятно, что полное множество адресов клиентов можно разделить на несколько<br>множеств, как пересекающиеся, так и нет, и т.д.<br>Each view statement defines a view of the DNS namespace that will be seen by a subset of clients.<br>http://ftp.isc.org/isc/bind9/cur/9.9/doc/arm/Bv9ARM.ch06.html#view_statement_grammar<br><br>Как Вы назовете эти view (common,external,internal,users1) - это дело десятое.<br><br>В match-clients { address_match_list }; важен порядок обработки списка.<br>http://ftp.isc.org/isc/bind9/cur/9.9/doc/arm/Bv9ARM.ch06.html#address_match_lists<br><br>&gt; У меня была уверенность в том, что попав под ACL internal_network последующие <br>&gt; view уже не рассматриваются (подобно CISCO acl). Правда настраивал BIND я <br><br>Я всегда делаю непересекающиеся множества в списках дл https://www.opennet.ru/openforum/vsluhforumID1/93548.html#9 Fri, 13 Jul 2012 09:49:10 GMT Коллеги, у меня в настройках BIND 9.6.-ESV-R5-P1 (FreeBSD 8.3-RELEASE-p3) следующие:<br><br>acl internal_network { x.x.142.0/24; !any };<br>acl external_network { !x.x.142.0/24; any; };<br><br>// x.x.142.0/24; - NAT, этим пользователям я могу выдавать RFC1918 записи. <br><br>view "internal" {<br> match-clients { internal_network; };<br> include "working/allviews.template.conf"; // тут у меня общие зоны и рутовые сервера<br><br> //Обратные приватные зоны ну и т.д.<br> zone "222.7.10.in-addr.arpa" in {<br> type master;<br> };<br> <br> zone "domain.com" in { // ответы для зоны могут отличаться в зависимости от SRCip, и я соответственно разделил их в разные view.<br> type master;<br> file "master/int/domain.com";<br> // skip<br> }<br><br> // skip<br>}<br><br>view "external" { <br> match-clients { external_network; }; <br> include "working/allviews.template.conf";<br> <br> zone "domain.com" in {<br> type master;<br> file "master/ext/domain.com";<br> }<br><br>}<br><br>Из ответа участника форума с ником "DN" я сделал следующий вывод, что можно сделать общую зону common, т.е.<br><br>acl https://www.opennet.ru/openforum/vsluhforumID1/93548.html#8 Wed, 11 Jul 2012 14:38:44 GMT &gt; Какой ответ получит клиент из локальной сети запросивший адрес из зоны не <br>&gt; включенной в view internal?<br><br>Поделите множество клиентов "any" на непересекающиеся подмножества клиентов.<br>Количество непересекающихся подмножеств клиентов - это и будет количество<br>необходимых view.<br>Each view statement defines a view of the DNS namespace that will be seen by a subset of clients.<br><br>В каждое view помешаете те зоны и с тем их содержанием, которое считает нужным.<br>Кажется, должно быть так. <br><br>По поводу попадания или не попадания клиента в acl .<br>http://ftp.isc.org/isc/bind9/cur/9.9/doc/arm/Bv9ARM.ch06.html#address_match_lists <br> https://www.opennet.ru/openforum/vsluhforumID1/93548.html#7 Wed, 11 Jul 2012 13:10:32 GMT &gt;&gt; Хм... Мне всегда казалось, что попав под первый view с match-clients (any), <br>&gt;&gt; последующие view не рассматриваются.<br>&gt; Не надо включать зоны из view common в другие view.<br>&gt; Первоисточник посмотрите.<br>&gt; http://www.isc.org/software/bind/documentation <br>&gt; http://ftp.isc.org/isc/bind9/cur/9.9/doc/arm/Bv9ARM.ch06.html#view_statement_grammar <br><br>Уважаемый DN. По приведенным вами ссылкам для моей версии BIND 9.6.1 нашел следующее:<br><br>The order of the view statements is significant &#8212; a client request will be resolved in the context of the first view that it matches.<br><br>То-есть клиент по match-clients "any" будет обработан в view external и до view common не дойдет. Соответственно клиент из локальной сети будет обработан в view internal и тоже дальше не пойдет и не получит информацию о зонах которые не включены в view internal.<br>Какой ответ получит клиент из локальной сети запросивший адрес из зоны не включенной в view internal?<br> https://www.opennet.ru/openforum/vsluhforumID1/93548.html#6 Tue, 10 Jul 2012 14:58:08 GMT &gt;&gt; в таком случае что нужно указать в match-clients для view common?<br>&gt;&gt; any <br>&gt;&gt;&gt; И в каком порядке должны следовать view?<br>&gt;&gt; В порядке, который обеспечивает подстановку определений, типа <br>&gt;&gt; acl "internals" {192.168.10.0/24; 192.168.20.0/24; 127.0.0.1/32}; <br>&gt;&gt; и своевременность считывания inсlude файлов.<br>&gt; Хм... Мне всегда казалось, что попав под первый view с match-clients (any), <br>&gt; последующие view не рассматриваются.<br><br>тут порядок правил не важен.<br>используется более точное совпадение ИП (по длине маски) во всех acl. any = маска /0 = любое значение всех 32-х битов в ИП. если под более точную маску из другого acl не попало (например 192.168.0.1 255.255.255.0 = 192.168.0.1/24), то в конце концов попадет сюда.<br><br>&gt; У меня через include подцепляются общие зоны как в view "internal", так <br>&gt; и external.<br>&gt; Или я ошибаюсь? https://www.opennet.ru/openforum/vsluhforumID1/93548.html#5 Tue, 10 Jul 2012 09:52:31 GMT &gt; Хм... Мне всегда казалось, что попав под первый view с match-clients (any), <br>&gt; последующие view не рассматриваются.<br><br>Не надо включать зоны из view common в другие view.<br><br>Первоисточник посмотрите.<br>http://www.isc.org/software/bind/documentation<br>http://ftp.isc.org/isc/bind9/cur/9.9/doc/arm/Bv9ARM.ch06.html#view_statement_grammar<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/93548.html#4 Tue, 10 Jul 2012 08:51:22 GMT &gt; в таком случае что нужно указать в match-clients для view common?<br>&gt; any <br>&gt;&gt; И в каком порядке должны следовать view?<br>&gt; В порядке, который обеспечивает подстановку определений, типа <br>&gt; acl "internals" {192.168.10.0/24; 192.168.20.0/24; 127.0.0.1/32}; <br>&gt; и своевременность считывания inсlude файлов.<br><br>Хм... Мне всегда казалось, что попав под первый view с match-clients (any), последующие view не рассматриваются. <br>У меня через include подцепляются общие зоны как в view "internal", так и external.<br>Или я ошибаюсь?<br>