Вопрос к UNIX-гуру
Oct. 20th, 2004 03:58 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
a_jellyКороче, начальство доставало меня просьбами сделать так, чтобы имена корпоративных серверов (типа www.peerio.com) правильно resolve-лись как изнутри так и снаружи (т.к. все время таскало домой нотебяки). Т.е. чтобы снаружи сервер был виден как
213.244.28.83 (к примеру) а изнутри (по тому же имени) как 192.168.1.83. Писать имена в /etc/hosts никто не хотел. Сами DNS-сервера стоят внутри, и не в DMZ, а на самых что ни на есть fake-адресах.
Я не долго думая применил split horison, т.е. начал отдавать внутрь зону из файла peerio.com.int (c 192.168.1.x) а наружу - нормальную (из peerio.com). Но тут началось страшное. Народ снаружи вдруг начал получать внутренние адреса! Это меня весьма повеселило. Как так вышло? Разумеется, сам авторитетный сервер не отдавал внутреннюю зону нуружу. Но другой (который slave) получал ее изнутри, и по доброте душевной разумеется анонсировал всем желающим...
Отсюда вопрос: как с этим бороться?
Вижу пока несколько выходов, разной степени радикальности:
1. Убрать вообще отношения master/slave. Типа, пусть зону отдает только авторитетный сервер и basta.
Легко сделать, но вроде как не кошерно.
2. Сделать чтобы зонный трансфер на slave отдавал внешнюю зону only. Тоже можно, но тогда внутренний клиент, случайно
нарвавшийся на slave-сервер, огребет внешние адреса.
3. Вернуть все взад и не парить себе мозги...
Такие дела.
213.244.28.83 (к примеру) а изнутри (по тому же имени) как 192.168.1.83. Писать имена в /etc/hosts никто не хотел. Сами DNS-сервера стоят внутри, и не в DMZ, а на самых что ни на есть fake-адресах.
Я не долго думая применил split horison, т.е. начал отдавать внутрь зону из файла peerio.com.int (c 192.168.1.x) а наружу - нормальную (из peerio.com). Но тут началось страшное. Народ снаружи вдруг начал получать внутренние адреса! Это меня весьма повеселило. Как так вышло? Разумеется, сам авторитетный сервер не отдавал внутреннюю зону нуружу. Но другой (который slave) получал ее изнутри, и по доброте душевной разумеется анонсировал всем желающим...
Отсюда вопрос: как с этим бороться?
Вижу пока несколько выходов, разной степени радикальности:
1. Убрать вообще отношения master/slave. Типа, пусть зону отдает только авторитетный сервер и basta.
Легко сделать, но вроде как не кошерно.
2. Сделать чтобы зонный трансфер на slave отдавал внешнюю зону only. Тоже можно, но тогда внутренний клиент, случайно
нарвавшийся на slave-сервер, огребет внешние адреса.
3. Вернуть все взад и не парить себе мозги...
Такие дела.