[Tech] resolver

Marco Ermini markoer@markoer.org
Mer 28 Feb 2001 00:27:51 CET


Leonardo Boselli wrote:

> Problema:
> ho una intranet con il suo DNS, e alcune macchine collegate a 
> internet (con due schede) .
> Ho un DNS interno ed uno esterno.
> Ambedue servono lo stesso dominio.
> Su quello esterno ci sono solo le macchine su internet, su quello 
> interno solo le macchine visibili dall'interno .
> Le macchine "di frontiera" debbono ovviamente vederli tutti e due.
> Ho messo come dns primario quello interno e secondario quello 
> esterno. sembra funzionare anche se non e`un granché veloce.
> E`corretto come funzionamento ?

Mah, forse faresti meglio a fargli vedere un unico DNS (per es. quello interno)
e quello poi configurarlo per risolvere le cose non di sua competenza sull'altro.
Sarebbe sicuramente piu' veloce, forse anche leggermente piu' "sicuro".


> Posso montare un terzo DNS (interno) che "consolidi" i due DNS, 
> ossia mi crei un file locale con i record presi dall'uno e dall'altro (i 
> record in gnere sono complementare, se esistono record uguali 
> allora sono uguali o equivalenti) ? come configuro bind ?

Questa potrebbe essere un'altra soluzione: mettiamo che ti crei un server "schiavo" che
risolve gli indirizzi interni leggendo un DNS, e quelli esterni leggendone un altro. Buona
idea anche per la sicurezza, perche' definisci chiaramente un server "di confine" da
presidiare. Devi configurare il bind dello schiavo per risolvere gli indirizzi della rete
.local presso un server, e tutti gli altri indirizzi presso l'altro.
Tipo:


zone "local" {
    type slave; // per dire che sei soltanto uno "schiavo" del vero DNS
    file "db.local";
    masters { ip.vero.server.local; };
    allow-query { "LOCAL-NET"; };
};

definendo ovviamente il file db.local e definendo prima la rete LOCAL-NET. Farai la stessa
cosa per il resto di Internet.

Magari per security puoi dire che limiti il trasferimento delle zone soltanto al tuo
server "schiavo". Sul server master puoi mettere una cosa tipo:

zone "local" {
    type master;
    file "db.local";
    allow-transfer { ip.dello.schiavo.local; };
};

Sullo schiavo aggiungi allow-transfer { none; };
In pratica cosi' hai definito un minimo anche un minimo di sicurezza. Non so se mi sono
spiegato, penso ti sia chiaro.


ciao ciao ciao

-- 
Marco Ermini
http://www.markoer.org - ICQ # 50825709
There are two major products that come out of Berkeley: LSD and UNIX.
We don't believe this to be a coincidence.      -- Jeremy S. Anderson





Maggiori informazioni sulla lista flug-tech