我正在build立一个绑定服务器,并且正在从一个曾经是DNS服务器的Windows Server 2003迁移区域文件。
(我在Ubuntu 14.04 LTS上运行Bind 9.9.5 )
在Windows Server上,可以在区域文件中使用NSlogging作为允许传输区域的IP。
在绑定中也可以这样做吗? 或者只能在configuration文件中使用allow-transfer { 1.2.3.4; }; allow-transfer { 1.2.3.4; }; ?
在区域文件中,名称服务器是这样定义的:
; ; Zone NS records ; @ NS ns1.example.org. ns1.example.org. A 1.2.3.3 @ NS ns2.example.org. ns2.example.org. A 5.6.7.8
不,BIND中没有选项可自动使用与区域的NS名称相关联的地址进行allow-transfer 。
allow-transfer选项logging如下:
允许转移
指定哪些主机可以从服务器接收区域传输。 allow-transfer也可以在zone语句中指定,在这种情况下,它将覆盖选项allow-transfer语句。 如果未指定,则默认为允许传输到所有主机。
语法很简单:
[ allow-transfer { address_match_list }; ]
address_match_list元素允许基于单独的IP地址,IP前缀(前缀/长度表示法), ACL或TSIG密钥进行匹配。
定义一个ACL(本质上是一个命名的address_match_list )可能是最好的,这取决于你的情况(ACL可以在很多地方被引用)。
在可行的情况下,TSIG通常是一种比简单地允许基于客户端IP地址的访问更好的访问控制选项。
NSlogging的通知只是指向服务器处理特定区域请求的其他服务器/客户端。
您不能指定允许传输,默认是允许传输到所有主机。 这是不安全的,并可能导致服务器上的重大负载。
换句话说,NSlogging就是关于信息。
允许传输选项指定权限。