Linux

綁定允許從區域文件中定義的 NS IP 進行區域傳輸

  • December 22, 2015

我正在設置綁定伺服器,並正在從曾經是負責 DNS 伺服器的 Windows Server 2003 遷移區域文件。

(我在Bind 9.9.5Ubuntu 14.04 LTS

在 Windows Server 上,可以將區域文件中的 NS 記錄用作能夠傳輸區域的允許 IP。

是否也可以在 Bind 中執行此操作?還是只能在配置文件中定義允許的地址allow-transfer { 1.2.3.4; };

在區域文件中,名稱伺服器的定義如下:

;
;  Zone NS records
;

@                       NS      ns1.example.org.
ns1.example.org.      A       1.2.3.3
@                       NS      ns2.example.org.
ns2.example.org.      A       5.6.7.8

不,BIND 中沒有選項可以自動將與區域NS名稱關聯的地址用於allow-transfer.

allow-transfer選項記錄如下:

允許轉移

指定允許哪些主機從伺服器接收區域傳輸。allow-transfer 也可以在 zone 語句中指定,在這種情況下,它會覆蓋選項 allow-transfer 語句。如果未指定,則預設允許傳輸到所有主機。

語法很簡單:

[ allow-transfer { address_match_list }; ]

address_match_list元素允許基於單個 IP 地址、IP 前綴(前綴/長度表示法)、ACLTSIG密鑰進行匹配。

定義 ACL(本質上是 named address_match_list)可能更可取,具體取決於您的情況(一方面,ACL 可以在很多地方引用)。

在可行的情況下,TSIG 通常是訪問控制的更好選擇,而不是簡單地允許基於客戶端 IP 地址的訪問。

引用自:https://serverfault.com/questions/744693