Hallo, eine Frage zu der Bind konfiguration: bisher hatte ich in meinem einen Zonenfile (richtige Wort) drin stehen: 99.133.213.in-addr.arpa. IN SOA webserver.stonki.de. support.stonki.de. ( [....] IN NS webserver.stonki.de. 140.99.133.213.in-addr.arpa. IN PTR webserver.stonki.de. 140.99.133.213.in-addr.arpa. IN PTR ns1.stonki.de. waehrend dann in dem anderen Zonenfile folgendes drinstand: ORIGIN stonki.de. $TTL 2D @ IN SOA webserver.stonki.de. support.stonki.de. ( [....] IN NS ns1.stonki.de. IN NS ns1.first-ns.de. IN MX 5 webserver.stonki.de. IN A 213.133.99.140 www IN A 213.133.99.140 ftp IN A 213.133.99.140 mail IN A 213.133.99.140 nun meint ein Kumpel, dass die fuer "www, ftp, mail etc" auch in die erste Datei eintraege gehoeren, also 140.99.133.213.in-addr.arpa. IN PTR www.stonki.de. 140.99.133.213.in-addr.arpa. IN PTR ftp.stonki.de. Ebenso dann fuer die anderen Domains 140.99.133.213.in-addr.arpa. IN PTR www.proftpd.de. usw. usw. Was stimmt nun ? cu stonki -- Deutsche ProFTPD Doku: www.proftpd.de Renamer for KDE: www.krename.net Barcode Solution for KDE: www.kbarcode.net
*** Stefan Onken (support@stonki.de) schrieb in suse-linux heute:
[...] bisher hatte ich in meinem einen Zonenfile (richtige Wort) drin stehen: [...]
"Stimmen"!? Mit _dieser_ Fragestellung wirst Du möglicherweise einen weiteren Glaubenskrieg herausbeschworen haben. Die Frage hätte besser lauten solen, was _sinnvoll_ ist. IMHO kann ein Rechner nur einen "nativen" Namen haben, während die restlichen Bezeichnungen "aliase" oder referenzen sind. Darüber hinaus ist Dein Vorgehen bei forward und reverse lookup nicht konsistent. Ich persönlich halte das setzen von ORIGINs für Lötzinn. Insbesondere bei kleinen (damit auch privaten) Sites und auch in anbetracht der Tatsache, dass heutzutage oft "alias domains" verwendet werden, also sowas wie "freshmeat.net" und "freshmeat.org" identisch sind. Setzt man kein ORIGIN kann man ein und das selbe File für beide Domains verwenden, was inkonsistenzen vermeidet. Alles in allem würde ich sagen, dass Deine Files wie folgt aussehen sollten (Siehe Attachments). BTW: Du solltest nicht _jedem_ einen zone transfer Deiner Domain erlauben (SIGH!) MfG Henning Hucke -- Das Universum ist eine sphaeroide Region mit einem Durchmesser von 705 Metern. -- STNG "Das Experiment"
* On Mon, 27 Jan 2003 at 6:26 +0000, Stefan Onken wrote:
am 26 January 2003 um 22:41 schrieb Henning Hucke: [Zone Transfer nicht]
erlauben (SIGH!)
Sorry, aber was meinst Du ?
Tipp mal auf einem beliebigen Rechner dig stonki.de axfr @ns1.stonki.de Und voila, Dein komplettes Zonenfile ist da. Du solltest mit Hilfe des Schlüsselwortes allow-transfer in der /etc/named.conf die Anzahl der Hosts, die dies dürfen, einschränken. -- Adalbert GPG welcome, request public key: mailto:adalbert+key@lopez.at
Hallo, am 27 January 2003 um 07:33 schrieb Adalbert Michelic:
Und voila, Dein komplettes Zonenfile ist da. Du solltest mit Hilfe des Schlüsselwortes allow-transfer in der /etc/named.conf die Anzahl der Hosts, die dies dürfen, einschränken.
sorry, wenn ich so doof frage: Wo ist da genau das Problem, wenn das erlaubt ist ? Sicherheit ? cu stonki -- Deutsche ProFTPD Doku: www.proftpd.de Renamer for KDE: www.krename.net Barcode Solution for KDE: www.kbarcode.net
* On Mon, 27 Jan 2003 at 7:46 +0000, Stefan Onken wrote:
am 27 January 2003 um 07:33 schrieb Adalbert Michelic:
Und voila, Dein komplettes Zonenfile ist da. Du solltest mit Hilfe des Schlüsselwortes allow-transfer in der /etc/named.conf die Anzahl der Hosts, die dies dürfen, einschränken.
sorry, wenn ich so doof frage: Wo ist da genau das Problem, wenn das erlaubt ist ? Sicherheit ?
Ist eh Deine Entscheidung ob Du wem x-beliebigen alle Informationen auf dem Silbertabelett präsentierst (wobei bei Dir zugegebenermassen nicht viel interessantes zu holen ist), oder nicht - ich würds abdrehen, das geht IMO keinen was an, was da für Hosts herumschwirren. Oder anders: Ich weiß nicht, welche Sicherheitslücken Dein Bind hat, aber wenn er grad welche in dem Bereich hat, die sich mit Abdrehen der zone-transfers einsperren lassen, bringts Dir was. -- Adalbert GPG welcome, request public key: mailto:adalbert+key@lopez.at
participants (3)
-
Adalbert Michelic
-
Henning Hucke
-
Stefan Onken