|
| ||||||||
|
巻き戻し中。
|
|
2009-12-31(木) はぁ [長年日記]
_ DHCP
内部DNS立てたついでに、dhcpdと連動でddnsにしてみた。 dhcpd側はddns-updates on; ddns-update-style interim; key "key.hoge.jp" { secret "hogehogehoge"; algorithm hmac-md5; } # Internal zone in.hoge.jp. { primary 192.168.0.x; key key.hoge.jp; } # 192.168.0 zone 0.168.192.in-addr.arpa. { primary 192.168.0.x; key key.hoge.jp; }で、対応するbindも内側のviewに
view "localnet" { notify no; match-clients { localnet; }; recursion yes; allow-query { localnet ; }; allow-transfer { localnet ; }; zone "0.0.127.IN-ADDR.ARPA" { type master; file "/etc/namedb/localhost.rev"; allow-update { none ; }; }; zone "in.hoge.jp" { type master; file "/etc/namedb/in.hoge.jp.hosts"; allow-update{ key "key.hoge.jp"; }; }; zone "0.168.192.in-addr.arpa" { type master; file "/etc/namedb/private-net.rev"; allow-update{ key "key.hoge.jp"; }; }; };と、globalな所に
acl localnet { 192.168.x.0/24; 127.0.0.0/16; }; key "key.hoge.jp" { algorithm hmac-md5; secret "hogehogehoge"; };でおk。
_ でもって
Webminの設定から覗いていて大体見当は付くんだけど、ちゃんとマニュアルみましょうw
TSIGkeyのsecretは「dnssec-keygen」で作って突っ込むんだけど、Webminの入力欄だとちょっとイミフ。
allow-updateはkeyで縛るか同じホスト上だから127.0.0.1/自分のIPで縛るかだなぁ。
SourceAddressを詐称される可能性も含めてどっちが安全なんだろう。
Tweets by RC31E | |||||||||
| |||||||||
| |||||||||
|