DNS: Konfiguration von Zonentransfers (bind, acl)

Hallo zusammen,

Eine Verständnisfrage zum konfigurieren von Zonentransfers.

Geplant ist den DNS-Dienst des UCS Masters teilweise vom Internet aus erreichbar zu machen, um beispielsweise Zonentransfers zu gewissen Servern zu erlauben. Ja klar: Es gibt eine Firewall die das absichert, nur verlasse ich mich ungern darauf. Ich hätte das daher sehr gerne bereits auf Dienstebene vernünftig abgesichert bzw. eingeschränkt.

Die UCS Doku zur Konfiguration von Zonentransfers beschränkt sich zwar auf zwei Zeilen, gibt aber goldrichtig die Verweise zu den Variablen dns/allow/query sowie dns/allow/transfer.

Bingo, genau richtig, das suche ich! Die Hilfe zu den Variablen gibt mir dann etwas mehr Info: (full quote)

Also habe ich weisungsgemäß in /etc/bind/local.conf eine ACL definiert. Sinngemäß steht da in etwa folgendes drin:

acl zone-transfer-hosts { 127.0.0.0/8; # localhost 192.168.1.0/24; # localnet 192.109.XX.XX/XX; # PI-Netz ...schnipp... 2001:XXX:XXXX::/XX; # IPv6 PI-Netz };

Leider weiß ich jetzt nicht, wie ich die gemachte ACL-Definition genau in die Variable eintragen muss. Ohne ACL ist mir das fast klar, das wäre in etwa so:

ucr set dns/allow/transfer='127.0.0.0/8; 192.168.1.0/24; 192.109.XX.XX/XX; ... ; 2001:XXX:XXXX::/XX'

Richtig so?

Nur wie setze ich innerhalb der Variable eine Referenz auf die ACL? Kann mir da bitte jemand auf die Sprünge helfen? Ich habe dazu leider keine Doku gefunden. Mein Verständnis von Bind gibt mir folgende Syntax:

ucr set dns/allow/transfer='zone-transfer-hosts'

Richtig so?

Vielen Dank für erhellende Antworten bzw. Korrekturen
Lutz Willek

Hallo,

Ihre Vermutung sollte korrekt sein :slight_smile:

root@master:~# ucr search --verbose dns/allow/transfer [...] In addition an ACL can be defined in /etc/bind/local.conf and referenced in the variable. [...]

Mit freundlichen Grüßen,
Tim Petersen

Hallo,

So ist es dann auch, wie schon vermutet. Thema gelöst. Danke!

Mit freundlichen Grüßen
Lutz Willek

[quote=“Petersen”]Hallo,

Ihre Vermutung sollte korrekt sein :slight_smile:

root@master:~# ucr search --verbose dns/allow/transfer [...] In addition an ACL can be defined in /etc/bind/local.conf and referenced in the variable. [...]

Mit freundlichen Grüßen,
Tim Petersen[/quote]

Mastodon