Викиучебник

Сетевые средства Debian/NSD: различия между версиями

Интерактивная навигация по истории
← Предыдущая правка
Содержимое удалено Содержимое добавлено
ВизуальныйВики-текст
Шаблоны через {{Book name}}; ведущие пробелы вместо <pre />; {{Примечания}}; →‎К переименованию: снят шаблон после переименования.
Использованы <var /> для имен, шаблоны {{lang|}}, {{Sh$|}}, {{Unix man|}} (был: /man), {{Cite IETF|}} (был: /rfc), {{Cite web|}}; <ref /> вынесены в {{Примечания|}}.
 
Строка 20:
 
key:
name: "<var >betby-l33t</var>"
algorithm: hmac-sha256
secret: "XXX"
 
zone:
name: "<var >example.org</var>"
zonefile: "<var >example.org</var>"
 
allow-notify: 2000::/3 "<var >betby-l33t</var>"
allow-notify: 192.0.2.53 "<var >betby-l33t</var>"
request-xfr: 2001:db8:42::53:53 "<var >betby-l33t</var>"
request-xfr: 192.0.2.53 "<var >betby-l33t</var>"
provide-xfr: ::1/128 NOKEY
 
### nsd.conf ends here
 
В данном примере, мы считаем, что первичную копию зоны следует запрашивать (опция <code >request-xfr:</code>) с сервера <codevar >betby</codevar>, доступного по IP-адресам <code >2001:db8:42::53:53</code> и <code >192.0.2.53</code>. На тот случай, если данный сервер обладает и другими IP-адресами (что не редкость в случае [[w:IPv6 |IPv6]]), мы принимаем сообщения об обновлении зоны (<code >allow-notify:</code>) с ''любых'' [[w:Unicast |адресов одноадресной рассылки]] IPv6 (<code >2000::/3</code>), при условии, что они подписаны верным ключом (<codevar >betby-l33t</codevar>.)
 
Для [[w:Симметричные криптосистемы|шифрования]] ключом <codevar >betby-l33t</codevar> (обеспечивающим ''цифровые подписи транзакций''; англ. {{lang |en|transaction signature, [[w:en:TSIG|TSIG]]}}) используется стандартный<ref name="rfc4635" /> алгоритм <code >hmac-sha256</code>, регламентируемый {{{{Book name}}/rfc |4635}}. Кроме него, NSD поддерживает алгоритмы <code >HMAC-MD5.SIG-ALG.REG.INT</code> и <code >hmac-sha1</code>, обозначенные как обязательные там же. (Прочие, необязательные алгоритмы на текущий момент не поддерживаются NSD.) <ref>[https://www.nlnetlabs.nl/svn/nsd/trunk/ name="tsig.h" nsd/tsig.h]</ref>
 
Собственно ключ (<code>secret:</code>) следует копировать с первичного DNS-сервера используя защищенный протокол, такой как, например, [[w:SSH|SSH.]]
 
Наконец, опцией <code >provide-xfr: ::1/128 NOKEY</code> мы разрешаем доступ к [[w:Передача зоны DNS|AXFR-запросу]] клиентам с адреса <code >::1</code> (<code >ip6-localhost</code>), что делает доступной полезную для диагностики команду <code>{{Sh$ }}<kbd >dig @::1 axfr <var >example.org</var> </codekbd>.
 
Актуализировать внесенные в конфигурацию NSD изменения можно обычной для Debian командой {{{{BookUnix name}}/man |service|8}}, подобно:
 
<!-- -->
Строка 50:
 
== Примечания ==
{{Примечания}} | refs =
<!-- Пожалуйста поддерживайте алфавитный порядок для name. Спасибо. -->
<ref name="rfc4635" >{{Cite IETF | rfc = 4635 | title = HMAC SHA (Hashed Message Authentication Code, Secure Hash Algorithm) TSIG Algorithm Identifiers. | author = D. Eastlake 3rd. | datepublished = August 2006}}</ref>
<ref name="tsig.h" >{{Cite web | title = tsig.h – TSIG definitions (RFC 2845) | url = //www.nlnetlabs.nl/svn/nsd/trunk/tsig.h | accessdate = 2014-11-27 | archiveurl = //web.archive.org/web/20141127195047/https://www.nlnetlabs.nl/svn/nsd/trunk/tsig.h | archivedate = 2014-11-27}}</ref>
}}
 
== См. также ==
 
* [https://www.nlnetlabs.nl/svn/nsd/trunk/doc/README Файл README.]
* {{{{BookUnix name}}/man |nsdc|8}}
* {{{{Book name}}/rfc |4635}}
 
{{BookCat}}
Источник — https://ru.wikibooks.org/wiki/Сетевые_средства_Debian/NSD