[5] Użycie widoków (View)

31 maja 2020 Wyłączono przez Adam [zicherka] Nogły

Skonfigurujemy teraz BIND’a do obsługi zarówno sieci zewnętrznej jak i sieci wewnętrznej, dzięki użyciu widoków (VIEV) w [named.conf].

[1] Adresy sieci zewnętrznej to [192.168.1.0/24], nazwa domeny to [zicher.lab]. Adresy sieci wewnętrznej to [192.168.100.0/24], nazwa domeny to [zicher.lab]. Ustaw zmieniane parametry według Twojej potrzeby/sieci.
Wiem, że te adresy należą do puli adresów prywatnych, jednak użyjemy ich tutaj jako adresy rutowalne i widziane w sieci Internet.

[root@lsr01vm ~]# mcedit /etc/named.conf

...
...
# dodaj: ustaw ACL dla sieci wewnętrznej/lokalnej
acl internal-network {
        192.168.100.0/24;
};

options {
        # zmień ( listen all )
        listen-on port 53 { any; };
        # zmień jeśli potrzebujesz, (jeśli nie potrzebujesz nasłuchiwać na IPv6 ustaw [none])
        listen-on-v6 { any; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        secroots-file   "/var/named/data/named.secroots";
        recursing-file  "/var/named/data/named.recursing";
        # dodaj lokalną sieć ustawioną w [acl] w ssekcji powyżej
        # zasięg sieci, której pozwalasz na odbieranie zapytań od hostów
        allow-query     { localhost; internal-network; };
        # zasięg sieci, której pozwalasz transferować pliki stref do klientów
        # dodaj dodatkowy serwer DNS jeśli istnieje
        allow-transfer  { localhost; };
        ...
        ...
        recursion yes;

        dnssec-enable yes;
        dnssec-validation yes;

        managed-keys-directory "/var/named/dynamic";

        pid-file "/run/named/named.pid";
        session-keyfile "/run/named/session.key";

        /* https://fedoraproject.org/wiki/Changes/CryptoPolicy */
        include "/etc/crypto-policies/back-ends/bind.config";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

# zmień wszystkie linie poniżej
# ustaw strefy sieci wewnętrznej
view "internal" {
        match-clients {
                localhost;
                internal-network;
        };
        zone "." IN {
                type hint;
                file "named.ca";
        };
        zone "zicher.lab" IN {
                type master;
                file "zicher.lab.lan";
                allow-update { none; };
        };
        zone "100.168.192.in-addr.arpa" IN {
                type master;
                file "100.168.192.db";
                allow-update { none; };
        };
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
};

# ustaw strefy sieci zewnętrznej
view "external" {
# zezwalaj wszystkim z wyjątkiem celow zdefiniowanych w [match-clients] w sekcji [internal]
        match-clients { any; };
        allow-query { any; };
 # nie zezwalaj nan rekursywne zapytania
        recursion no;
        zone "zicher.lab" IN {
                type master;
                file "zicher.lab.wan";
                allow-update { none; };
        };
        zone "1.168.192.in-addr.arpa" IN {
                type master;
                file "1.168.192.db";
                allow-update { none; };
        };
};

[2] Jak skonfigurować pliki stref opisałem tutaj.