Конфигурация файла “/etc/named.conf” для первичного мастер сервера
Используйте эту конфигурацию для серверов, которые выступают как мастер сервер имен. После компиляции DNS, вам необходимо установить первичное доменное имя сервера. Мы используем “openna.com”, как пример домена, предполагая, что используем IP сеть с адресом 208.164.186.0. Для этого, добавьте следующие строки файл “/etc/named.conf”.
Создайте файл named.conf (touch /etc/named.conf) и добавьте следующее:
options { directory "/var/named"; fetch-glue no; recursion no; allow-query { 208.164.186/24; 127.0.0/8; }; allow-transfer { 208.164.186.2; }; transfer-format many-answers; }; // Эти файлы не привязаны к какой-либо зоне zone "." in { type hint; file "db.cache"; }; zone "0.0.127.in-addr.arpa" in { type master; file "db.127.0.0"; }; // Это файл вашей первичной зоны zone "openna.com" in { type master; file "db.openna "; }; zone "186.164.208.in-addr.arpa" in { type master; file "db.208.164.186"; };
Опция “fetch-glue no” может использоваться в связке с опцией “recursion no” для предотвращения роста и разрушения кэша сервера. Также, отключение рекурсии переведет ваш сервер имен в пассивный режим, говорящий ему никогда не посылать запросы от имени другого сервера имен или ресолвера. Не рекурсивные сервера имен очень сложно обмануть при помощи атаки spoof, так как они не отправляют никакие запросы и следовательно не кэшируют никакие данные.
В строке “allow-query”, 208.164.186/24 и 127.0.0/8 определяются IP адреса, которым разрешено осуществлять обычные запросы к серверу.
В строке “allow-transfer”, 208.164.186.2 это IP адрес, которому разрешается принимать пересылки зон с сервера. Вы должны обеспечить, чтобы только ваши вторичные сервера могли получать зоны с сервера. Эта информация часто используется спаммерами и IP spoofers.
ЗАМЕЧАНИЕ. Опции “recursion no”, “allow-query” и “allow-transfer” в файле “named.conf” используются для обеспечения большей безопасности сервера имен.
Используйте эту конфигурацию для сервера вполняющего роль вторичного сервера имен. Вы должны модифицировать файл “named.conf” на вторичном сервере имен. Измените каждое вхождение master на slave, сделав исключение для “0.0.127.in-addr.arpa”, и добавьте строку с IP адресом первичного сервера, как это показано ниже.
Создайте файл named.conf (touch /etc/named.conf) и добавьте в него:
options { directory "/var/named"; fetch-glue no; recursion no; allow-query { 208.164.186/24; 127.0.0/8; }; allow-transfer { 208.164.186.1; }; transfer-format many-answers; }; // These files are not specific to any zone zone "." in { type hint; file "db.cache"; }; zone "0.0.127.in-addr.arpa" in { type master; file "db.127.0.0"; }; // These are our slave zone files zone "openna.com" in { type slave; file "db.openna"; masters { 208.164.186.1; }; }; zone "186.164.208.in-addr.arpa" in { type slave; file "db.208.164.186"; masters { 208.164.186.1; }; };
Этот файл говорит серверу, что он является вторичным для зоны “openna.com” и должен брать информацию об этой зоне с хоста “208.164.186.1”. Вторичному серверу имен нет необходимости получать все файлы (db) через сеть, так как db файлы “db.127.0.0” и “db.cache” одинаковы как для основного так и для вторичных серверов, поэтому вы можете создать их локальные копии на вторичном сервере.
