forum.opennet.ru - "Трабла с BIND" (20)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Трабла с BIND"

Форум Открытые системы на сервере (DNS / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Трабла с BIND"	+/–
Сообщение от artemrts (ok) on 29-Мрт-11, 20:40
Здравствуйте! На днях перестала ходить почта. Начал смотреть что случилось. Оказалось, что BIND перестал отрабатывает обратное преобразование. Вот пример relay# nslookup ya.ru Server: 127.0.0.1 Address: 127.0.0.1#53 Non-authoritative answer: Name: ya.ru Address: 87.250.250.3 Name: ya.ru Address: 87.250.250.203 Name: ya.ru Address: 87.250.251.3 Name: ya.ru Address: 93.158.134.3 Name: ya.ru Address: 93.158.134.203 Name: ya.ru Address: 213.180.204.3 Name: ya.ru Address: 77.88.21.3 relay# nslookup 87.250.250.3 Server: 127.0.0.1 Address: 127.0.0.1#53 ** server can't find 3.250.250.87.in-addr.arpa: SERVFAIL
Ответить \| Правка \| Cообщить модератору

Оглавление

Трабла с BIND, artemrts, 20:55 , 29-Мрт-11, (1)

Трабла с BIND, Pahanivo, 09:13 , 30-Мрт-11, (2)
Трабла с BIND, Дядя_Федор, 13:16 , 30-Мрт-11, (3)

Трабла с BIND, Pahanivo, 14:37 , 30-Мрт-11, (4)

Трабла с BIND, artemrts, 17:19 , 30-Мрт-11, (5)

Трабла с BIND, artemrts, 22:43 , 30-Мрт-11, (6)

Трабла с BIND, Pahanivo, 07:49 , 31-Мрт-11, (7)

Трабла с BIND, artemrts, 18:28 , 31-Мрт-11, (8)

Трабла с BIND, Pahanivo, 18:30 , 31-Мрт-11, (9)
Трабла с BIND, Дядя_Федор, 10:35 , 01-Апр-11, (10)

Трабла с BIND, Дядя_Федор, 10:37 , 01-Апр-11, (11)
Трабла с BIND, Pahanivo, 14:46 , 01-Апр-11, (12)

Трабла с BIND, universite, 22:33 , 03-Апр-11, (13)

Трабла с BIND, Pahanivo, 08:15 , 04-Апр-11, (14)

Трабла с BIND, universite, 14:35 , 04-Апр-11, (15)

Трабла с BIND, Pahanivo, 16:01 , 04-Апр-11, (16)

Трабла с BIND, universite, 16:22 , 04-Апр-11, (17)
Трабла с BIND, Pahanivo, 21:55 , 04-Апр-11, (18)
Трабла с BIND, universite, 23:17 , 04-Апр-11, (19) –1
Трабла с BIND, Pahanivo, 09:14 , 05-Апр-11, (20)

Сообщения по теме [Сортировка по времени | RSS]

1. "Трабла с BIND" +/–

Сообщение от artemrts (ok) on 29-Мрт-11, 20:55

>[оверквотинг удален]
> Name:   ya.ru
> Address: 93.158.134.203
> Name:   ya.ru
> Address: 213.180.204.3
> Name:   ya.ru
> Address: 77.88.21.3
> relay# nslookup 87.250.250.3
> Server:         127.0.0.1
> Address:        127.0.0.1#53
> ** server can't find 3.250.250.87.in-addr.arpa: SERVFAIL
  Забыл добавить. BIND у меня работал не через хинт механизм, а через слейв. Вот непонятно  это с моим серваком или с мастером. В данном случае F.ROOT-SERVERS.NET ?
Сейчас включил через хинт.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Трабла с BIND" +/–

Сообщение от Pahanivo (ok) on 30-Мрт-11, 09:13

>[оверквотинг удален]
>> Name:   ya.ru
>> Address: 77.88.21.3
>> relay# nslookup 87.250.250.3
>> Server:         127.0.0.1
>> Address:        127.0.0.1#53
>> ** server can't find 3.250.250.87.in-addr.arpa: SERVFAIL
>   Забыл добавить. BIND у меня работал не через хинт механизм,
> а через слейв. Вот непонятно  это с моим серваком или
> с мастером. В данном случае F.ROOT-SERVERS.NET ?
>  Сейчас включил через хинт.
дак заработал или нет? :)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Трабла с BIND" +/–

Сообщение от Дядя_Федор on 30-Мрт-11, 13:16

>   Забыл добавить. BIND у меня работал не через хинт механизм,
> а через слейв. Вот непонятно  это с моим серваком или
> с мастером. В данном случае F.ROOT-SERVERS.NET ?
>  Сейчас включил через хинт.
А с чего Вы сделали вывод, что ВАШ ДНС является слейвом для одного из 13 корневых ДНС???? :-()

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Трабла с BIND" +/–

Сообщение от Pahanivo (ok) on 30-Мрт-11, 14:37

>>   Забыл добавить. BIND у меня работал не через хинт механизм,
>> а через слейв. Вот непонятно  это с моим серваком или
>> с мастером. В данном случае F.ROOT-SERVERS.NET ?
>>  Сейчас включил через хинт.
>  А с чего Вы сделали вывод, что ВАШ ДНС является слейвом
> для одного из 13 корневых ДНС???? :-()
попробую телепатировать ))
видно он взял "точку" на слейв, отключив хинт зону - допустимая конфигурация, _НО_
после описания данного способа настроки в мануале следует предупреждения о том, что надо внимательно следить в этом случае за корневой зоной, ибо при глюках например с трансфером можно получить нерабочий ДНС ...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Трабла с BIND" +/–

Сообщение от artemrts (ok) on 30-Мрт-11, 17:19

>[оверквотинг удален]
>>> с мастером. В данном случае F.ROOT-SERVERS.NET ?
>>>  Сейчас включил через хинт.
>>  А с чего Вы сделали вывод, что ВАШ ДНС является слейвом
>> для одного из 13 корневых ДНС???? :-()
> попробую телепатировать ))
> видно он взял "точку" на слейв, отключив хинт зону - допустимая конфигурация,
> _НО_
> после описания данного способа настроки в мануале следует предупреждения о том, что
> надо внимательно следить в этом случае за корневой зоной, ибо при
> глюках например с трансфером можно получить нерабочий ДНС ...
ООоо. Да ты телепат, однако))

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Трабла с BIND" +/–

Сообщение от artemrts (ok) on 30-Мрт-11, 22:43

>>   Забыл добавить. BIND у меня работал не через хинт механизм,
>> а через слейв. Вот непонятно  это с моим серваком или
>> с мастером. В данном случае F.ROOT-SERVERS.NET ?
>>  Сейчас включил через хинт.
>  А с чего Вы сделали вывод, что ВАШ ДНС является слейвом
> для одного из 13 корневых ДНС???? :-()
А как понимать это из named.conf?

// The traditional root hints mechanism. Use this, OR the slave zones below.
zone "." { type hint; file "named.root"; };
/*      Slaving the following zones from the root name servers has some
        significant advantages:
        1. Faster local resolution for your users
        2. No spurious traffic will be sent from your network to the roots
        3. Greater resilience to any potential root server failure/DDoS
        On the other hand, this method requires more monitoring than the
        hints file to be sure that an unexpected failure mode has not
        incapacitated your server.  Name servers that are serving a lot
        of clients will benefit more from this approach than individual
        hosts.  Use with caution.
        To use this mechanism, uncomment the entries below, and comment
        the hint zone above.
*/
/*
zone "." {
        type slave;
        file "slave/root.slave";
        masters {
                192.5.5.241;    // F.ROOT-SERVERS.NET.
        };
        notify no;
};
zone "arpa" {
        type slave;
        file "slave/arpa.slave";
        masters {
                192.5.5.241;    // F.ROOT-SERVERS.NET.
        };
        notify no;
};
zone "in-addr.arpa" {
        type slave;
        file "slave/in-addr.arpa.slave";
        masters {
                192.5.5.241;    // F.ROOT-SERVERS.NET.
        };
        notify no;
};

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Трабла с BIND" +/–

Сообщение от Pahanivo (ok) on 31-Мрт-11, 07:49

On the other hand, this method requires more monitoring than the
hints file to be sure that an unexpected failure mode has not
incapacitated your server
оно вам надо? :)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Трабла с BIND" +/–

Сообщение от artemrts (ok) on 31-Мрт-11, 18:28

> On the other hand, this method requires more monitoring than the
> hints file to be sure that an unexpected failure mode has not
> incapacitated your server
> оно вам надо? :)
Да. Я с вами согласен. Просто давно это было, когда настраивал тот сервак. И канал адсл был слабым. Хотел на трафике немного сэкономить))
Интересует другое. Почему сам мастер перестал отдавать зону?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Трабла с BIND" +/–

Сообщение от Pahanivo (ok) on 31-Мрт-11, 18:30

аааааа они не все ее и отдают собстна )

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Трабла с BIND" +/–

Сообщение от Дядя_Федор on 01-Апр-11, 10:35

Потому что передача файла зоны комы-либо, кроме вторичного ДНС-сервера (не произвольного сервера, который вдруг захотел быть вторичным для данного домена, а того вторичного - который действительно является вторичным для первичного сервера - и IP этого сервера записан в конфиге первчиного ДНС в качестве сервера, которому разрешен трансфер зоны) - является дырой в безопасности Веб-сервера. Нельзя кому ни попадя отдавать файл зоны. Точно так же - как и нельзя кому ни попадя разрешать рекурсивные запросы.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Трабла с BIND" +/–

Сообщение от Дядя_Федор on 01-Апр-11, 10:37

>является дырой в безопасности Веб-сервера.
ТЬфу ты. Очепятка. ДНС-сервера, конечно же. :)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Трабла с BIND" +/–

Сообщение от Pahanivo (ok) on 01-Апр-11, 14:46

> Нельзя кому ни попадя отдавать файл зоны. Точно так же - как
> и нельзя кому ни попадя разрешать рекурсивные запросы.
что может быть секретного в данных которые вы открыто раздаете на весь инренет? ))
если "псевдо секретность" еще может как то проявлятся в прямой зоне, то скажем /24 реверс можно высканить целиком сделав 256 запроса

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Трабла с BIND" +/–

Сообщение от universite (ok) on 03-Апр-11, 22:33

>> Нельзя кому ни попадя отдавать файл зоны. Точно так же - как
>> и нельзя кому ни попадя разрешать рекурсивные запросы.
> что может быть секретного в данных которые вы открыто раздаете на весь
> инренет? ))
Кто сказал открыто?
Есть зоны, которые должны быть доступны только из локалки.
> если "псевдо секретность" еще может как то проявлятся в прямой зоне, то
> скажем /24 реверс можно высканить целиком сделав 256 запроса
Высканивайте.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Трабла с BIND" +/–

Сообщение от Pahanivo (ok) on 04-Апр-11, 08:15

> Кто сказал открыто?
привидите пжлста пример записей который вы раздаете в WAN закрыто
> Есть зоны, которые должны быть доступны только из локалки.
естно, но это лишь частный случай, не более того
то что вы делаете в своёй LAN это касается только вас
> Высканивайте.
кагбы не понял намёка ...

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Трабла с BIND" +/–

Сообщение от universite (ok) on 04-Апр-11, 14:35

>> Кто сказал открыто?
> привидите пжлста пример записей который вы раздаете в WAN закрыто
зачем?
я закрываю все по умолчанию и открываю доступ наружу выборочным сервисам/зонам
>> Есть зоны, которые должны быть доступны только из локалки.
> естно, но это лишь частный случай, не более того
> то что вы делаете в своёй LAN это касается только вас
так какого хрена я должен разрешать это наружу?
из-за того, что вы не поняли смысл директив allow-query и allow-recursion ?
>> Высканивайте.
> кагбы не понял намёка ...
вы делаете сизифов труд.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Трабла с BIND" +/–

Сообщение от Pahanivo (ok) on 04-Апр-11, 16:01

>>> Кто сказал открыто?
>> привидите пжлста пример записей который вы раздаете в WAN закрыто
> зачем?
> я закрываю все по умолчанию и открываю доступ наружу выборочным сервисам/зонам
ну здорово, а при чем тут ДНС?
приватные сервисы в паблик ДНС как бы и не нужны совсем
>>> Есть зоны, которые должны быть доступны только из локалки.
>> естно, но это лишь частный случай, не более того
>> то что вы делаете в своёй LAN это касается только вас
> так какого хрена я должен разрешать это наружу?
ну дак и юзайте ваши приватные зоны внутри локалки сколько угодно )
> из-за того, что вы не поняли смысл директив allow-query и allow-recursion ?
ну есть у вас зона domain.ru, ну сайт есть аналогичный, ну и какой смысл ограничивать
запросы к этой зоне?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Трабла с BIND" +/–

Сообщение от universite (ok) on 04-Апр-11, 16:22

>>>> Кто сказал открыто?
>>> привидите пжлста пример записей который вы раздаете в WAN закрыто
>> зачем?
>> я закрываю все по умолчанию и открываю доступ наружу выборочным сервисам/зонам
> ну здорово, а при чем тут ДНС?
> приватные сервисы в паблик ДНС как бы и не нужны совсем
вы путаете понятие "паблик ДНС".

>>>> Есть зоны, которые должны быть доступны только из локалки.
>>> естно, но это лишь частный случай, не более того
>>> то что вы делаете в своёй LAN это касается только вас
>> так какого хрена я должен разрешать это наружу?
> ну дак и юзайте ваши приватные зоны внутри локалки сколько угодно )
спасибо, что разрешили!

>> из-за того, что вы не поняли смысл директив allow-query и allow-recursion ?
> ну есть у вас зона domain.ru, ну сайт есть аналогичный, ну и
> какой смысл ограничивать
> запросы к этой зоне?
allow-query к этой зоне не ограничиваю
а вот allow-transfer и allow-recursion - ограничиваю.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Трабла с BIND" +/–

Сообщение от Pahanivo (ok) on 04-Апр-11, 21:55

> allow-query к этой зоне не ограничиваю
ну? и? а по чему не ограничиваете? потому что смысла нет?
потому что смысл изначально раздать записи зоны на весь инет? какая тогда в _опу секурность?
> а вот allow-transfer и allow-recursion - ограничиваю.
1) ну да бог с ним, с трасфером, да, можно его ограничивать ... уговорил )) ведь просто не показывать секурную зону это как то не по нашему, сначала покажем, а потом что-то то будем в ней ограничивать ... так увлекательней ...
не проще allow-query сразу прикрутить? или view воспользоваться?
2) allow-recursion тут то каким боком? вы топ сначала читаете или только знакомые слова выдергиваете? изначально речь шла о зоне, какое отношение к этому предмету имеет рекурсия как-то слабо понятно
в принципе у бинда есть еще много опций allow-xxxxx - можно еще подискутировать о какой-нибудь фегне ...

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Трабла с BIND" –1 +/–

Сообщение от universite (ok) on 04-Апр-11, 23:17

>> allow-query к этой зоне не ограничиваю
> ну? и? а по чему не ограничиваете? потому что смысла нет?
> потому что смысл изначально раздать записи зоны на весь инет? какая тогда
> в _опу секурность?
вы запутались в своих тезисах.
прочтите внимательно топик заново.
>> а вот allow-transfer и allow-recursion - ограничиваю.
> 1) ну да бог с ним, с трасфером, да, можно его ограничивать
> ... уговорил )) ведь просто не показывать секурную зону это как
> то не по нашему, сначала покажем, а потом что-то то будем
> в ней ограничивать ... так увлекательней ...
> не проще allow-query сразу прикрутить? или view воспользоваться?
при чем тут view?
> 2) allow-recursion тут то каким боком? вы топ сначала читаете или только
> знакомые слова выдергиваете? изначально речь шла о зоне, какое отношение к
> этому предмету имеет рекурсия как-то слабо понятно
вы путаете allow-query и allow-recursion, прочтите внимательно про них.
> в принципе у бинда есть еще много опций allow-xxxxx - можно еще
> подискутировать о какой-нибудь фегне ...
вот и приведите еще парочку allow-*

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Трабла с BIND" +/–

Сообщение от Pahanivo (ok) on 05-Апр-11, 09:14

> прочтите внимательно топик заново.
а сами то его читали с начала?
> при чем тут view?
забыли про виды
> вы путаете allow-query и allow-recursion, прочтите внимательно про них.
я не путаю эти диррективы, и весьма отчетливо представляю себе их смысл
изначально речь шла о зонах и о трансфере
allow-recursion ну ни как к этому не пришить
рекурсия задача рекурсора - не более того
> вот и приведите еще парочку allow-*
скачайте мануал бинды и воспользуйтесь Ctrl+F - мне както не досу(г|к) ))

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Трабла с BIND"	+/–
Сообщение от artemrts (ok) on 29-Мрт-11, 20:55
>[оверквотинг удален] > Name: ya.ru > Address: 93.158.134.203 > Name: ya.ru > Address: 213.180.204.3 > Name: ya.ru > Address: 77.88.21.3 > relay# nslookup 87.250.250.3 > Server: 127.0.0.1 > Address: 127.0.0.1#53 > ** server can't find 3.250.250.87.in-addr.arpa: SERVFAIL Забыл добавить. BIND у меня работал не через хинт механизм, а через слейв. Вот непонятно это с моим серваком или с мастером. В данном случае F.ROOT-SERVERS.NET ? Сейчас включил через хинт.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Трабла с BIND"	+/–
	Сообщение от Pahanivo (ok) on 30-Мрт-11, 09:13
	>[оверквотинг удален] >> Name: ya.ru >> Address: 77.88.21.3 >> relay# nslookup 87.250.250.3 >> Server: 127.0.0.1 >> Address: 127.0.0.1#53 >> ** server can't find 3.250.250.87.in-addr.arpa: SERVFAIL > Забыл добавить. BIND у меня работал не через хинт механизм, > а через слейв. Вот непонятно это с моим серваком или > с мастером. В данном случае F.ROOT-SERVERS.NET ? > Сейчас включил через хинт. дак заработал или нет? :)
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Трабла с BIND"	+/–
	Сообщение от Дядя_Федор on 30-Мрт-11, 13:16
	> Забыл добавить. BIND у меня работал не через хинт механизм, > а через слейв. Вот непонятно это с моим серваком или > с мастером. В данном случае F.ROOT-SERVERS.NET ? > Сейчас включил через хинт. А с чего Вы сделали вывод, что ВАШ ДНС является слейвом для одного из 13 корневых ДНС???? :-()
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	4. "Трабла с BIND"	+/–
	Сообщение от Pahanivo (ok) on 30-Мрт-11, 14:37
	>> Забыл добавить. BIND у меня работал не через хинт механизм, >> а через слейв. Вот непонятно это с моим серваком или >> с мастером. В данном случае F.ROOT-SERVERS.NET ? >> Сейчас включил через хинт. > А с чего Вы сделали вывод, что ВАШ ДНС является слейвом > для одного из 13 корневых ДНС???? :-() попробую телепатировать )) видно он взял "точку" на слейв, отключив хинт зону - допустимая конфигурация, _НО_ после описания данного способа настроки в мануале следует предупреждения о том, что надо внимательно следить в этом случае за корневой зоной, ибо при глюках например с трансфером можно получить нерабочий ДНС ...
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Трабла с BIND"	+/–
	Сообщение от artemrts (ok) on 30-Мрт-11, 17:19
	>[оверквотинг удален] >>> с мастером. В данном случае F.ROOT-SERVERS.NET ? >>> Сейчас включил через хинт. >> А с чего Вы сделали вывод, что ВАШ ДНС является слейвом >> для одного из 13 корневых ДНС???? :-() > попробую телепатировать )) > видно он взял "точку" на слейв, отключив хинт зону - допустимая конфигурация, > _НО_ > после описания данного способа настроки в мануале следует предупреждения о том, что > надо внимательно следить в этом случае за корневой зоной, ибо при > глюках например с трансфером можно получить нерабочий ДНС ... ООоо. Да ты телепат, однако))
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Трабла с BIND"	+/–
	Сообщение от artemrts (ok) on 30-Мрт-11, 22:43
	>> Забыл добавить. BIND у меня работал не через хинт механизм, >> а через слейв. Вот непонятно это с моим серваком или >> с мастером. В данном случае F.ROOT-SERVERS.NET ? >> Сейчас включил через хинт. > А с чего Вы сделали вывод, что ВАШ ДНС является слейвом > для одного из 13 корневых ДНС???? :-() А как понимать это из named.conf? // The traditional root hints mechanism. Use this, OR the slave zones below. zone "." { type hint; file "named.root"; }; /* Slaving the following zones from the root name servers has some significant advantages: 1. Faster local resolution for your users 2. No spurious traffic will be sent from your network to the roots 3. Greater resilience to any potential root server failure/DDoS On the other hand, this method requires more monitoring than the hints file to be sure that an unexpected failure mode has not incapacitated your server. Name servers that are serving a lot of clients will benefit more from this approach than individual hosts. Use with caution. To use this mechanism, uncomment the entries below, and comment the hint zone above. / / zone "." { type slave; file "slave/root.slave"; masters { 192.5.5.241; // F.ROOT-SERVERS.NET. }; notify no; }; zone "arpa" { type slave; file "slave/arpa.slave"; masters { 192.5.5.241; // F.ROOT-SERVERS.NET. }; notify no; }; zone "in-addr.arpa" { type slave; file "slave/in-addr.arpa.slave"; masters { 192.5.5.241; // F.ROOT-SERVERS.NET. }; notify no; };
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	7. "Трабла с BIND"	+/–
	Сообщение от Pahanivo (ok) on 31-Мрт-11, 07:49
	On the other hand, this method requires more monitoring than the hints file to be sure that an unexpected failure mode has not incapacitated your server оно вам надо? :)
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Трабла с BIND"	+/–
	Сообщение от artemrts (ok) on 31-Мрт-11, 18:28
	> On the other hand, this method requires more monitoring than the > hints file to be sure that an unexpected failure mode has not > incapacitated your server > оно вам надо? :) Да. Я с вами согласен. Просто давно это было, когда настраивал тот сервак. И канал адсл был слабым. Хотел на трафике немного сэкономить)) Интересует другое. Почему сам мастер перестал отдавать зону?
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Трабла с BIND"	+/–
	Сообщение от Pahanivo (ok) on 31-Мрт-11, 18:30
	аааааа они не все ее и отдают собстна )
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "Трабла с BIND"	+/–
	Сообщение от Дядя_Федор on 01-Апр-11, 10:35
	Потому что передача файла зоны комы-либо, кроме вторичного ДНС-сервера (не произвольного сервера, который вдруг захотел быть вторичным для данного домена, а того вторичного - который действительно является вторичным для первичного сервера - и IP этого сервера записан в конфиге первчиного ДНС в качестве сервера, которому разрешен трансфер зоны) - является дырой в безопасности Веб-сервера. Нельзя кому ни попадя отдавать файл зоны. Точно так же - как и нельзя кому ни попадя разрешать рекурсивные запросы.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	11. "Трабла с BIND"	+/–
	Сообщение от Дядя_Федор on 01-Апр-11, 10:37
	>является дырой в безопасности Веб-сервера. ТЬфу ты. Очепятка. ДНС-сервера, конечно же. :)
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "Трабла с BIND"	+/–
	Сообщение от Pahanivo (ok) on 01-Апр-11, 14:46
	> Нельзя кому ни попадя отдавать файл зоны. Точно так же - как > и нельзя кому ни попадя разрешать рекурсивные запросы. что может быть секретного в данных которые вы открыто раздаете на весь инренет? )) если "псевдо секретность" еще может как то проявлятся в прямой зоне, то скажем /24 реверс можно высканить целиком сделав 256 запроса
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	13. "Трабла с BIND"	+/–
	Сообщение от universite (ok) on 03-Апр-11, 22:33
	>> Нельзя кому ни попадя отдавать файл зоны. Точно так же - как >> и нельзя кому ни попадя разрешать рекурсивные запросы. > что может быть секретного в данных которые вы открыто раздаете на весь > инренет? )) Кто сказал открыто? Есть зоны, которые должны быть доступны только из локалки. > если "псевдо секретность" еще может как то проявлятся в прямой зоне, то > скажем /24 реверс можно высканить целиком сделав 256 запроса Высканивайте.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "Трабла с BIND"	+/–
	Сообщение от Pahanivo (ok) on 04-Апр-11, 08:15
	> Кто сказал открыто? привидите пжлста пример записей который вы раздаете в WAN закрыто > Есть зоны, которые должны быть доступны только из локалки. естно, но это лишь частный случай, не более того то что вы делаете в своёй LAN это касается только вас > Высканивайте. кагбы не понял намёка ...
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "Трабла с BIND"	+/–
	Сообщение от universite (ok) on 04-Апр-11, 14:35
	>> Кто сказал открыто? > привидите пжлста пример записей который вы раздаете в WAN закрыто зачем? я закрываю все по умолчанию и открываю доступ наружу выборочным сервисам/зонам >> Есть зоны, которые должны быть доступны только из локалки. > естно, но это лишь частный случай, не более того > то что вы делаете в своёй LAN это касается только вас так какого хрена я должен разрешать это наружу? из-за того, что вы не поняли смысл директив allow-query и allow-recursion ? >> Высканивайте. > кагбы не понял намёка ... вы делаете сизифов труд.
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	16. "Трабла с BIND"	+/–
	Сообщение от Pahanivo (ok) on 04-Апр-11, 16:01
	>>> Кто сказал открыто? >> привидите пжлста пример записей который вы раздаете в WAN закрыто > зачем? > я закрываю все по умолчанию и открываю доступ наружу выборочным сервисам/зонам ну здорово, а при чем тут ДНС? приватные сервисы в паблик ДНС как бы и не нужны совсем >>> Есть зоны, которые должны быть доступны только из локалки. >> естно, но это лишь частный случай, не более того >> то что вы делаете в своёй LAN это касается только вас > так какого хрена я должен разрешать это наружу? ну дак и юзайте ваши приватные зоны внутри локалки сколько угодно ) > из-за того, что вы не поняли смысл директив allow-query и allow-recursion ? ну есть у вас зона domain.ru, ну сайт есть аналогичный, ну и какой смысл ограничивать запросы к этой зоне?
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	17. "Трабла с BIND"	+/–
	Сообщение от universite (ok) on 04-Апр-11, 16:22
	>>>> Кто сказал открыто? >>> привидите пжлста пример записей который вы раздаете в WAN закрыто >> зачем? >> я закрываю все по умолчанию и открываю доступ наружу выборочным сервисам/зонам > ну здорово, а при чем тут ДНС? > приватные сервисы в паблик ДНС как бы и не нужны совсем вы путаете понятие "паблик ДНС". >>>> Есть зоны, которые должны быть доступны только из локалки. >>> естно, но это лишь частный случай, не более того >>> то что вы делаете в своёй LAN это касается только вас >> так какого хрена я должен разрешать это наружу? > ну дак и юзайте ваши приватные зоны внутри локалки сколько угодно ) спасибо, что разрешили! >> из-за того, что вы не поняли смысл директив allow-query и allow-recursion ? > ну есть у вас зона domain.ru, ну сайт есть аналогичный, ну и > какой смысл ограничивать > запросы к этой зоне? allow-query к этой зоне не ограничиваю а вот allow-transfer и allow-recursion - ограничиваю.
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	18. "Трабла с BIND"	+/–
	Сообщение от Pahanivo (ok) on 04-Апр-11, 21:55
	> allow-query к этой зоне не ограничиваю ну? и? а по чему не ограничиваете? потому что смысла нет? потому что смысл изначально раздать записи зоны на весь инет? какая тогда в _опу секурность? > а вот allow-transfer и allow-recursion - ограничиваю. 1) ну да бог с ним, с трасфером, да, можно его ограничивать ... уговорил )) ведь просто не показывать секурную зону это как то не по нашему, сначала покажем, а потом что-то то будем в ней ограничивать ... так увлекательней ... не проще allow-query сразу прикрутить? или view воспользоваться? 2) allow-recursion тут то каким боком? вы топ сначала читаете или только знакомые слова выдергиваете? изначально речь шла о зоне, какое отношение к этому предмету имеет рекурсия как-то слабо понятно в принципе у бинда есть еще много опций allow-xxxxx - можно еще подискутировать о какой-нибудь фегне ...
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	19. "Трабла с BIND"	–1 +/–
	Сообщение от universite (ok) on 04-Апр-11, 23:17
	>> allow-query к этой зоне не ограничиваю > ну? и? а по чему не ограничиваете? потому что смысла нет? > потому что смысл изначально раздать записи зоны на весь инет? какая тогда > в _опу секурность? вы запутались в своих тезисах. прочтите внимательно топик заново. >> а вот allow-transfer и allow-recursion - ограничиваю. > 1) ну да бог с ним, с трасфером, да, можно его ограничивать > ... уговорил )) ведь просто не показывать секурную зону это как > то не по нашему, сначала покажем, а потом что-то то будем > в ней ограничивать ... так увлекательней ... > не проще allow-query сразу прикрутить? или view воспользоваться? при чем тут view? > 2) allow-recursion тут то каким боком? вы топ сначала читаете или только > знакомые слова выдергиваете? изначально речь шла о зоне, какое отношение к > этому предмету имеет рекурсия как-то слабо понятно вы путаете allow-query и allow-recursion, прочтите внимательно про них. > в принципе у бинда есть еще много опций allow-xxxxx - можно еще > подискутировать о какой-нибудь фегне ... вот и приведите еще парочку allow-*
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	20. "Трабла с BIND"	+/–
	Сообщение от Pahanivo (ok) on 05-Апр-11, 09:14
	> прочтите внимательно топик заново. а сами то его читали с начала? > при чем тут view? забыли про виды > вы путаете allow-query и allow-recursion, прочтите внимательно про них. я не путаю эти диррективы, и весьма отчетливо представляю себе их смысл изначально речь шла о зонах и о трансфере allow-recursion ну ни как к этому не пришить рекурсия задача рекурсора - не более того > вот и приведите еще парочку allow-* скачайте мануал бинды и воспользуйтесь Ctrl+F - мне както не досу(г\|к) ))
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору