Сетевые средства Debian/NSD: различия между версиями
Содержимое удалено Содержимое добавлено
м Ivan Shmakov переименовал страницу Сервер на Debian GNU/Linux/NSD в Сетевые средства Debian/NSD: Согласно [[Викиучебник:К переименованию/Октябрь 2014#Серв… |
Шаблоны через {{Book name}}; ведущие пробелы вместо <pre />; {{Примечания}}; →К переименованию: снят шаблон после переименования. |
||
Строка 1:
Основная функция [[../DNS|DNS]]-сервера [[w:NSD|NSD]] — обслуживание ''вторичных'' копий (реплик) зон. NSD может использоваться и для обслуживание ''первичных'' копий зон, однако эта функциональность в нем несколько ограничена — отсутствуют, в частности, функции [[w:DNSSEC|DNSSEC]] и [[w:Динамический DNS|динамического обновления]] зон — и, поэтому, не будет нами здесь рассмотрена. ''Рекурсивное разрешение имен'' не реализовано вовсе, что также отличает NSD от, к примеру, [[../BIND|BIND.]]
Строка 9 ⟶ 7 :
Отметим, что данный файл включает ''ключи транзакций,'' а значит ''доступ к нему должен быть ограничен.'' Проще всего этого добиться ограничив доступ к директории <code>/etc/nsd3</code>, подобно:
<!-- -->
{{Sh$ |# }}<kbd >chown -- root:nsd /etc/nsd3 </kbd>
{{Sh$ |# }}
<!-- -->
server:
hide-version: yes
zonesdir: "/var/cache/nsd3/cache"
key:
name: "betby-l33t"
algorithm: hmac-sha256
secret: "XXX"
zone:
name: "example.org"
zonefile: "example.org"
allow-notify: 2000::/3 "betby-l33t"
allow-notify: 192.0.2.53 "betby-l33t"
request-xfr: 2001:db8:42::53:53 "betby-l33t"
request-xfr: 192.0.2.53 "betby-l33t"
provide-xfr: ::1/128 NOKEY
### nsd.conf ends here
В данном примере, мы считаем, что первичную копию зоны следует запрашивать (опция <code>request-xfr:</code>) с сервера <code>betby</code>, доступного по IP-адресам <code>2001:db8:42::53:53</code> и <code>192.0.2.53</code>. На тот случай, если данный сервер обладает и другими IP-адресами (что не редкость в случае [[w:IPv6|IPv6]]), мы принимаем сообщения об обновлении зоны (<code>allow-notify:</code>) с ''любых'' [[w:Unicast|адресов одноадресной рассылки]] IPv6 (<code>2000::/3</code>), при условии, что они подписаны верным ключом (<code>betby-l33t</code>.)
Для [[w:Симметричные криптосистемы|шифрования]] ключом <code>betby-l33t</code> (обеспечивающим ''цифровые подписи транзакций''; англ. transaction signature, [[w:en:TSIG|TSIG]]) используется алгоритм <code>hmac-sha256</code>, регламентируемый {{
Собственно ключ (<code>secret:</code>) следует копировать с первичного DNS-сервера используя защищенный протокол, такой как, например, [[w:SSH|SSH.]]
Строка 48 ⟶ 44 :
Наконец, опцией <code>provide-xfr: ::1/128 NOKEY</code> мы разрешаем доступ к [[w:Передача зоны DNS|AXFR-запросу]] клиентам с адреса <code>::1</code> (<code>ip6-localhost</code>), что делает доступной полезную для диагностики команду <code>$ dig @::1 axfr example.org </code>.
Актуализировать внесенные в конфигурацию NSD изменения можно обычной для Debian командой {{
># service nsd3 restart ▼
<!-- -->
== Примечания ==
{{Примечания}}
== См. также ==
* [https://www.nlnetlabs.nl/svn/nsd/trunk/doc/README Файл README.]
* {{
* {{
{{BookCat}}
| |||