|
|
| |||||||
| |||||||||
巻き戻し中。
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2009-12-31(木) はぁ [長年日記]
_ 
DHCP
内部DNS立てたついでに、dhcpdと連動でddnsにしてみた。
dhcpd側は
ddns-updates on;
ddns-update-style interim;
key "key.hoge.jp" {
secret "hogehogehoge";
algorithm hmac-md5;
}
# Internal
zone in.hoge.jp. {
primary 192.168.0.x;
key key.hoge.jp;
}
# 192.168.0
zone 0.168.192.in-addr.arpa. {
primary 192.168.0.x;
key key.hoge.jp;
}
で、対応するbindも内側のviewに
view "localnet" {
notify no;
match-clients { localnet; };
recursion yes;
allow-query { localnet ; };
allow-transfer { localnet ; };
zone "0.0.127.IN-ADDR.ARPA" {
type master;
file "/etc/namedb/localhost.rev";
allow-update { none ; };
};
zone "in.hoge.jp" {
type master;
file "/etc/namedb/in.hoge.jp.hosts";
allow-update{ key "key.hoge.jp"; };
};
zone "0.168.192.in-addr.arpa" {
type master;
file "/etc/namedb/private-net.rev";
allow-update{ key "key.hoge.jp"; };
};
};
と、globalな所に
acl localnet {
192.168.x.0/24;
127.0.0.0/16;
};
key "key.hoge.jp" {
algorithm hmac-md5;
secret "hogehogehoge";
};
でおk。
_ でもって
Webminの設定から覗いていて大体見当は付くんだけど、ちゃんとマニュアルみましょうw
TSIGkeyのsecretは「dnssec-keygen」で作って突っ込むんだけど、Webminの入力欄だとちょっとイミフ。
allow-updateはkeyで縛るか同じホスト上だから127.0.0.1/自分のIPで縛るかだなぁ。
SourceAddressを詐称される可能性も含めてどっちが安全なんだろう。
[ツッコミを入れる]
| Tweets by RC31E | |||||||||
| |||||||||
| |||||||||