allow-transfer

日期:2015/7/28 主機房暑期訓練

說明:

定義某些主機或網段,允許從DNS主機上將zone資訊(zone file)移轉出去。
預設是任何主機都能進行移轉,那代表任何人都可以取得完整DNS資訊,是非常危險的。

但若DNS有分為master與slave,則又必須進行zone file的更新與移轉,
則可以使用allow-transfer功能。

方法:

  1. 修改named.conf

    % vi /etc/namedb/named.conf

  2. 加入此行

    zone "example.com" {
   ...
    allow-transfer { 61.60.59.57; };    # 只有這個 IP能移轉DNS的zone file
    allow-transfer { Private-IP; };       # 可搭配ACLs使用
};

  3. Slave dns記得將移轉設定為none,避免檔案外流

    zone "example.com" {
    ...
     allow-transfer {"none";};   # 任何主機皆無法移轉zone file
};

results matching ""

    No results matching ""