два DNS

Если не секрет а зачем собственно 2 BIND ?

запустить то можно. Только кто будет искать второй named не на 53 порту ?
прийдется тем клиентам менять services и они смогут только ко второму бинду
коннектится.

А ты скажи что нужно.
Я на 99.9% уверен, что то, что тебе нужно решается с помощью views в бинде.

>А ты скажи что нужно.
>Я на 99.9% уверен, что то, что тебе нужно решается с помощью views в бинде.
Подскажи чайнику, нужно чтобы юниксовые и NT'евые(для начала юниксовые)
машины пинговались по имени. Во все hosts все прописывать тяжко,
в DNS заносить структуру внутренней сети не верно вроде как.

Наверное DNS оставить один, а для внутренней сети завести отдельную зону

Два DNS нужны для того что бы один обслуживал запросы на домен из внешнего мира, которые будут NAT_ится firewall_ом с 53 на XX порт. Так что клиентам ничего менять и искать не нужно.

Второй DNS должен обслуживать запросы с внутренних хостов на своем родном 53 порту. А нужна вся эта бодяга что для того что бы одно и тоже имя хоста резолвилось на разные адреса в зависимости от того откуда пришел запрос - с внешнего мира или из локалки.

Есть ли способ сделать это не через Ж как, указано выше, а правильно ?

>Наверное DNS оставить один, а для внутренней сети завести отдельную зону Поясни плз, на примерчике.

> Два DNS нужны для того что бы один обслуживал запросы на домен из внешнего
>мира, которые будут NAT_ится firewall_ом с 53 на XX порт.
Поясни чайнику, вот одна машина, с двумя карточками, подключена
к inet, на ней стоит ipchains, который будет натить или форвардить (будет?) запросы на порт 53 на другую машину, с установленным DNS для внешнего мира, так? Или еще что нужно? А для внутреннего резолва будет внутренний DNS?
А что будет прописано в /etc/resolv.conf ?
Т.е. почтовик, к примеру, из внешнего мира найдется, а как же пойдут
запросы наружу по HTTP,FTP?

Попутный чайниковский вопрос.
Для получения почты, IP'шник почтовика должен быть прописан в DNS.
Может ли это быть IP'шник машины подключенной к Inet?
Ну той машины с двумя карточками и ipchains?
Такой же вопрос к DNS?
Чтобы наружу был выставлен только один IPэшник защищенной
машины (с firewall)?
Или все-таки у DNS сервера и почтовика обязаны быть
реальные IP-адреса и никак это не обойдешь?

По поводу почты: в DNS'е должна быть MX запись для почтовика. А на счет DNS раздели его на forwad зоны, т.е. у тебя стоить DNS, который смотрит какое имя надо резольвить и отправляет на разные DNS'ы, которые могут распознать это имя.

>>А ты скажи что нужно.
>>Я на 99.9% уверен, что то, что тебе нужно решается с помощью views в бинде.
>Подскажи чайнику, нужно чтобы юниксовые и NT'евые(для начала юниксовые)
>машины пинговались по имени. Во все hosts все прописывать тяжко, в DNS заносить структуру внутренней сети не верно вроде как.

А в чем трабла? Делаешь себе зону типа mycool.zo.ne
и заносишь туды машины, типа pc1.mycool.zo.ne, etc.
На машинах (или в конфиге dhcpd) прописываешь их DNS и домен. Все хоккей. Ну а если к тебе кто-то извне должен стучаться и не должен видеть эту зон, просто вынеси ее в отдельный view, доступный
только для нужных машин, и все.

Мультик видели про тигренка его маму, черепаху и ежика?
Тигренок глупый был, никак не мог запомнить кого надо выцарапывать из панцыря,
а кого топить? Эти два мудрых орла (черепаха и ежик) окончательно его
запутали, и он пытался выцарапывать ежа, ну и топить черепаху.
Так и тут, похоже проблему можно решить двумя способами.
Т.е. два DNS и с помощью зоны. Если не жалко, приведите вырезки из
ваших конфигов, поясняющие оба варианта.

>А в чем трабла? Делаешь себе зону типа mycool.zo.ne
>и заносишь туды машины, типа pc1.mycool.zo.ne, etc.


>На машинах (или в конфиге dhcpd) прописываешь их DNS и домен. Все хоккей.
>Ну а если к тебе кто-то извне должен стучаться и не должен видеть эту зон,
Ну да будут почтовик и web-сайт искать в DNS'се.

>просто вынеси ее в отдельный view, доступный
>только для нужных машин, и все.
Я конечно почитаю, про view, но если не жалко примерчик, наверняка у вас
уже так все и крутится.

Заранее благодарен,
Замыльте, что не жалко на ig_l@mail.ru

> Замыльте, что не жалко на ig_l@mail.ru

Мне, увы, жалко. Вернее ломы дикие. Может позже, не знаю.

Настраивается элементарно:

В named.conf есть объявления зон типа (пример из рабочего намеда):


zone "." {
       type hint;
       file "named.root";
};
zone "0.0.127.IN-ADDR.ARPA" {
        type master;
        file "m/localhost.rev";
};

Теперь вставляем view и помещаем туда эти зоны:


view "myview" {
    zone "." {
            type hint;
            file "named.root";
    };
    zone "0.0.127.IN-ADDR.ARPA" {
            type master;
            file "m/localhost.rev";
    };
};

Итак, по умолчанию должен работать view myview.
Теперь делаем зону mycool.zo.ne (пример от балды):

-----
$TTL    3600
@       IN      SOA     mycool.zo.ne. root.mycool.zo.ne.  (
                                20000507        ; Serial
                                3600    ; Refresh
                                900     ; Retry
                                3600000 ; Expire
                                3600 )  ; Minimum
                IN      NS      mycool.zo.ne.

pc1   IN   A  192.168.0.1
pc2   IN   A  192.168.0.2

-----
в файле mycool.zone

И делаем второй view, который отличается от первого наличием этой зоны:


view "mycoolnet" {
    match-clients { 192.168.0.0/24; };
    zone "." {
            type hint;
            file "named.root";
    };
    zone "0.0.127.IN-ADDR.ARPA" {
            type master;
            file "localhost.rev";
    };
    zone "mycool.zo.ne" {
            type master;
            file "mycool.zone";
    };
};


Для полноты картины можно забацать и обратную зону для 0.168.192-IN-ADDR.ARPA

Теперь зона mycoolnet должна раздаваться для подсети, указанной в match-clients.

Да! Это все для 9-го бинда, в восьмом вроде бы view нету.

> Ну да будут почтовик и web-сайт искать в DNS'се.

А что им мешает глядеть в кривой view? Остальные-то адреса будут правильно резолвиться.

>Теперь зона mycoolnet должна раздаваться для подсети, указанной в match-clients.

Sorry, не зона mycoolnet, а зона mycool.zo.ne из view mycoolnet

anonymous (*) (2002-05-28 14:09:45.387)
>> Замыльте, что не жалко на ig_l@mail.ru
>
>Мне, увы, жалко. Вернее ломы дикие. Может позже, не знаю.
>
>Настраивается элементарно:
...
Огромное спасибо, вроде бы дошло!

Не по теме, вот подскажите, если в таблице маршрутизации(комп. в сети)
указана машина подключенная к интернет(с двумя карточками), и имеющая
такой ipchains, маскарадинг выполнится?
ipchains -L
MASQ all ------ 192.168.0.0/24 anywhere n/a
Т.е. не будет виден ip адрес локального компа сделавшего http запрос?
И достаточно ли этого для защиты сети ?