URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 80742
[ Назад ]

Исходное сообщение
"bind9 + views + zone transfer"
Отправлено Neved , 14-Июн-08 14:21

Здравствуйте!
В интернете имеется 2 DNS-сервера на BIND9. Один мастер, второй слайв. У каждого один интерфейс с одним ip-адресом. В настройках BIND9 активно используются access-листы и views. Это необходимо для того, чтобы на запросы с различных ip-адресов, выдавать разные ответы. Существует проблема в том, что slave-сервер не хочет синхронизировать все views, а синхронизируется в соответствии с access-листом, на master-сервера. Может быть что-то работал с этим? Можно конечно отключить синхронизацию и синхронизировать вручную или вообще повесить на один сервер 2 адреса из различных подсетей класса С, но это снижает удобство и отказоустойчивость системы

Содержание

bind9 + views + zone transfer,PavelR, 14:41 , 14-Июн-08
- bind9 + views + zone transfer,shutdown now, 02:27 , 15-Июн-08
  - bind9 + views + zone transfer,PavelR, 09:33 , 15-Июн-08

Сообщения в этом обсуждении

"bind9 + views + zone transfer"
Отправлено PavelR , 14-Июн-08 14:41

>[оверквотинг удален]
>
>В интернете имеется 2 DNS-сервера на BIND9. Один мастер, второй слайв. У
>каждого один интерфейс с одним ip-адресом. В настройках BIND9 активно используются
>access-листы и views. Это необходимо для того, чтобы на запросы с
>различных ip-адресов, выдавать разные ответы. Существует проблема в том, что slave-сервер
>не хочет синхронизировать все views, а синхронизируется в соответствии с access-листом,
>на master-сервера. Может быть что-то работал с этим? Можно конечно отключить
>синхронизацию и синхронизировать вручную или вообще повесить на один сервер 2
>адреса из различных подсетей класса С, но это снижает удобство и
>отказоустойчивость системы
можно сделать между серверами туннель. Два адреса не обязательно должны быть из разных подсетей класса С, достаточно чтобы они просто были различны.

"bind9 + views + zone transfer"
Отправлено shutdown now , 15-Июн-08 02:27

>[оверквотинг удален]
>>access-листы и views. Это необходимо для того, чтобы на запросы с
>>различных ip-адресов, выдавать разные ответы. Существует проблема в том, что slave-сервер
>>не хочет синхронизировать все views, а синхронизируется в соответствии с access-листом,
>>на master-сервера. Может быть что-то работал с этим? Можно конечно отключить
>>синхронизацию и синхронизировать вручную или вообще повесить на один сервер 2
>>адреса из различных подсетей класса С, но это снижает удобство и
>>отказоустойчивость системы
>
>можно сделать между серверами туннель. Два адреса не обязательно должны быть из
>разных подсетей класса С, достаточно чтобы они просто были различны.
этот способ для детей, настоящие пацаны делают по-другому, через TSIG:
view "internal-in" in {
        match-clients { key internal-key; !key external-key; my-users; };
        server 10.250.65.2 { keys { internal-key; }; };
; ...
};
view "external-in" in {
        match-clients { key external-key; !key internal-key; any; };
        server 10.250.65.2 { keys { external-key; }; };
; ...
};

"bind9 + views + zone transfer"
Отправлено PavelR , 15-Июн-08 09:33

>этот способ для детей, настоящие пацаны делают по-другому, через TSIG:
>
Я, к сожалению, пока не делаю никак %)
Спасибо за способ для реальных пацанов, запомню.