спрятать DNS зону

что значит "При просмотре зоны mycompany.com из Интернета я вижу записи ..." ??? как ты ее просматриваешь? если у тебя ограничено zone-transfer ( allow-transfer в секции options), то ты несможешь просмотреть зону.

Извиняюсь, но я и написал, что при просмотре зоны mycompany.com (а не зоны private.mycompany.com) я вижу записи NS из зоны private.mycompany.com. Именно от этого я и хочу избавится. А опции allow-query и allow-trasfer стоят только для зоны private.mycompany.com.

а ограничить просмотр mycompany.com никак нельзя?

К сожелению я этого сделать не могу. Потому что mycompany.com зона, которую должны видеть все из Интернета.

а разнести 2 копии BIND по разным интерфейсам?

Често говоря я так никогда не делал. А на loop интерфейсе какой bind будет сидеть или оба будут обслуживать loop интерфейс (нужно чтобы сама машина обе зоны видела нормально)? Не будет ли здесь проблемм?

ну в общем я бы сделал немного подругому (будь моя воля), есть внутренний dns сервер (в локальной сети) и внешний (смотрящий в интернет), внутренний отвечает за внутренную сеть и его никак не видно извне, на случай если он не может что-то сресолвить, то отсылает запрос на внешний dns сервер - собственно все. Зачем привязывать внутреннюю зону на рабочий домен mycompany.com который виден с интернета - я незнаю, себе же проблемы создавать.

да кстати на клиентах выставить первым внутренний dns сервер в настройках сети и вторичным (на всякий случай) можно прописать внешний dns сервер.

Честно говоря так и сделано: есть внутренний DNS сервер (на нем зона private.mycompany.com), который расположен внутри сети, и внешний(на нем зона mycompany.com), который стоит на машине смотрящей в Интернет. Но на машине, которая стоит между Интернетом и локальной сетью, нужно разрешать (ресолвить) имена машин из private.mycompany.com, поэтому на этой машине расположенн вторичный сервер зоны private.mycompany.com. Исторически так сложилось, что зона private.mycompany.com появилась раньше зоны mycompany.com и в ней прописано более 120 машин, поэтому от этой зоны будет трудно избавится.

Отсюда и возник вопрос: можно ли не показывать определенные записи во внешний мир или каким образом можно настроить внешний DNS сервер, чтобы например он перенаправлял запросы о private.mycompany.com к внутреннему DNS серверу и не кешировал эти записи.

эмн... предлагаю так (named.conf):

...skip... acl adm { 192.168.1/24; }; acl dma { 192.168.2/24; }; acl intranet { adm; dma;}; acl dmz { ещё_там_всякие_IP; }; acl ras { если_такие_есть; }; acl bad { !dmz; !ras; !intranet; }; .....skip.... allow-transfer { none; }; allow-query { !intranet; any; }; .....skip.... zone "твой_компани.com" in { type master; file "путь/до_файла"; notify yes; allow-transfer { localhost; localnets; ISPNETS_если есть; }; allow-query { any; }; zone "private.mycompany.com" in { type master; file "путь/до_файла"; allow-query { intranet; dmz; ras; }; allow-transfer { localhost; localnets; intranet; }; };

.....skip.... это для примера ессесно!

эмн... предлагаю так (named.conf):<br> <br> ...skip...<br> acl adm { 192.168.1/24; };<br> acl dma { 192.168.2/24; };<br> acl intranet { adm; dma;};<br> acl dmz { ещё_там_всякие_IP; };<br> acl ras { если_такие_есть; };<br> acl bad { !dmz; !ras; !intranet; };<br> .....skip....<br> allow-transfer { none; };<br> allow-query { !intranet; any; };<br> .....skip....<br> zone "твой_компани.com" in {<br> type master;<br> file "путь/до_файла";<br> notify yes;<br> allow-transfer { localhost; localnets; ISPNETS_если есть; };<br> allow-query { any; };<br> zone "private.mycompany.com" in ;<br> type master;<br> file "путь/до_файла";<br> allow-query { intranet; dmz; ras; };<br> allow-transfer { localhost; localnets; intranet; };<br> };<br> <br> .....skip....<br> это для примера ессесно!<br>

брррр, млин и как тут с быть скажете?

ааа надо наверно млин по два энтера давить..

эмн... предлагаю так (named.conf):

...skip...

acl adm { 192.168.1/24; };

acl dma { 192.168.2/24; };

acl intranet { adm; dma;};

acl dmz { ещё_там_всякие_IP; };

acl ras { если_такие_есть; };

acl bad { !dmz; !ras; !intranet; };

.....skip....

allow-transfer { none; };

allow-query { !intranet; any; };

.....skip....

zone "твой_компани.com" in {

type master;

file "путь/до_файла";

notify yes;

allow-transfer { localhost; localnets; ISPNETS_если есть; }

allow-query { any; };

zone "private.mycompany.com" in ;

type master;

file "путь/до_файла";

allow-query { intranet; dmz; ras; };

allow-transfer { localhost; localnets; intranet; };

};

.....skip....

это для примера ессесно!

ой млин идиотизм ......

Все именно так и сделано. Извне зону private.mycompany.com не видно, а когда я просматриваю зону mycompany.com я вижу записи ns0.private.mycompany.com и ns1.private.mycompany.com, которые повсей видимости берутся из кеша. Вот от этого я и хочу избавится.

Чо вы тут пургу гоните с аклами? Все читать не стал, дебилизм.
Но если кто не сказал:

Все замечательно решается через 'view'. Каждый раз когда я сюда захожу
встречаю подобный вопрос. Это чо, специально?
Всем читать про "view" полчаса и радоваться. После медитировать сутки.

хыхы... :)
про вьювы хорошо сказано.. жалко не успел... а вообще плакаль :)