Re: Respostas diferentes no BIND
Sergio Luz wrote: Lazarini; Pense no seguinte: você tem uma **pequena** rede local atrás de um firewall fazendo NAT, seu firewall trem 3 (três) placas de rede (uma pra rede local, uma pra Internet e outra pra DMZ, segmento onde ficam servdiores públicos como os de e-mail, Web e DNS). Tá tudo bonitinho, sua rede redondinha, mas aí a rede local começa a crescer e entram uns servidores. Com o crescimento da rede, vem a necessidade de um DNS interno e você: 1. Sugere a aquisiçãod e um servidor para rodar o DNS na rede interna; 2. Coloca o DNS pra rodar em um outro servidor da rede interna; 3. Configura o DNS que já existe para responder adequadamente. Todas as três respostas estão corretas, mas por restrições orçamentárias (para adquirir um servidor apenas para o DNS interno) ou de desempenho (pra colocar o DNS no servidor de banco de dados que já está no talo) a terceira resposta responde a sua pergunta. Claro que algumas considerações de segurança devem ser feitas e existem outras utilizações para esta funcionalidade do BIND, mas foi o cenário mais simples que consegui imaginar para ilustrar o uso do match-clients. Sergio, muito boa a explicação! E eu diria que com uma probabilidade bastante alta de acontecer, infelizmente... Agradecemos o comentário! -- Marcos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Respostas diferentes no BIND
Marcos;
Muito boa solução, acho que isto vai resolver o problema do Luiz Felipe.
Mas é bom lembrar que esta solução não vincula a resposta DNS à
interface de rede por onde entra a consulta, e sim ao IP do cliente que
faz a consulta no servidor DNS.
Estou dizendo isto apenas por que fiquei com a impressão que o Felipe
quer colocar um servidor DNS com duas interfaces de rede, uma na rede
interna e outra na Internet - fazendo com que o servidor dê respostas
diferentes dependendo de onde venha a solicitação.
Claro que num caso destes a sua solução vai funcionar, mas se for isto
mesmo a arquitetura da rede do Felipe fica com um zero bem grande em
segurança. Além disto, se a solução proposta por você for utilizada em
servidores DNS atrás de um firewall, em uma DMZ por exemplo, fatores
como NAT deverãos er levados em consideração.
[]'s,
Sergio Luz
Marcos Aurelio Rodrigues wrote:
Existe sim, e so voce usar a opcao chamada view no
named.conf
Por exemplo aqui eu crio um dominio chamado exemplo,
cada um com seu arquivo de hosts
view interno {
match-clients { 10.1.1.0/8; };
recursion yes;
zone exemplo{
type master;
file exemplo.hosts.interno;
};
};
view externo {
match-clients { any; };
recursion no;
zone exemplo{
type master;
file exemplo.hosts.externo;
};
};
Quando a requisicao vier da rede 10.1.1.0/8, ele lera
a tabela de hosts do arquivo exemplo.hosts.interno, e
se vier de qualquer outra rede, ele lera do
exemplo.hosts.externo.
Entao voce nao precisara de dois binds e nem de duas
portas.
falow,
Marcos
--- unholycurse [EMAIL PROTECTED] escreveu:
vixe...
vi isso ontem (ou parecido) no djbdns...
procura no google por alias de placa de rede para
bind =)
Flw
Em 04/08/05, Marcos Vinicius
Lazarini[EMAIL PROTECTED] escreveu:
Luiz Felipe wrote:
Existe alguma forma de fazer com que o BIND
responda de forma diferente
sobre um host, informando dois IPs diferentes,
dependendo de qual
interface veio a requisicão ?
Ou eu preciso rodar uma nova instancia dele ?
No caso dessa ultima ser positiva, isso é
possível na mesma máquina ?
Sobre a ultima pergunta, na mesma porta não é
possivel.
Sobre a primeira, acho que não é possivel fazer.
Alias, acho que nenhum
programa que eu conheco faz isso.
Agora fiquei curioso pra saber em que situação
esssa máquina está pra
precisar fazer uma 'gambi' dessas... :-)
--
Marcos
--
To UNSUBSCRIBE, email to
[EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact
[EMAIL PROTECTED]
--
-
O linux eh um sistema operacional amigável, ele so
eh seletivo com os
seus amigos! =P
UIN: 1992397
MSN: [EMAIL PROTECTED]
e-mAiL: [EMAIL PROTECTED]
hP: http://info.campus2.br/~mdapaz
__
Converse com seus amigos em tempo real com o Yahoo! Messenger
http://br.download.yahoo.com/messenger/
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Respostas diferentes no BIND
Eu acho que nao entendi voce ou voce nao entendeu a
solução.
A segurança esta na lista de ip dos clientes, ou seja
somente os ips da rede local acessarão, agora e obvio
que voce tem ter um rede nao roteavel atras.
Agora para segurança na interface seria voce
acrescentar algo como
listen-on { 10.1.1.1; };]
E entao ele so escutara na interface com este ip.
Por padrao o named escuta com
listen-on {any; };
Espero que seja isso que voce quis dizer.
Agora, nao me leve a mal, mas eu realmente nao entendi
o que a DMZ e o NAT tem a ver com isso.
Marcos Aurelio
--- Sergio Luz [EMAIL PROTECTED] escreveu:
Marcos;
Muito boa solução, acho que isto vai resolver o
problema do Luiz Felipe.
Mas é bom lembrar que esta solução não vincula a
resposta DNS à
interface de rede por onde entra a consulta, e sim
ao IP do cliente que
faz a consulta no servidor DNS.
Estou dizendo isto apenas por que fiquei com a
impressão que o Felipe
quer colocar um servidor DNS com duas interfaces de
rede, uma na rede
interna e outra na Internet - fazendo com que o
servidor dê respostas
diferentes dependendo de onde venha a solicitação.
Claro que num caso destes a sua solução vai
funcionar, mas se for isto
mesmo a arquitetura da rede do Felipe fica com um
zero bem grande em
segurança. Além disto, se a solução proposta por
você for utilizada em
servidores DNS atrás de um firewall, em uma DMZ por
exemplo, fatores
como NAT deverãos er levados em consideração.
[]'s,
Sergio Luz
Marcos Aurelio Rodrigues wrote:
Existe sim, e so voce usar a opcao chamada view no
named.conf
Por exemplo aqui eu crio um dominio chamado
exemplo,
cada um com seu arquivo de hosts
view interno {
match-clients { 10.1.1.0/8; };
recursion yes;
zone exemplo{
type master;
file exemplo.hosts.interno;
};
};
view externo {
match-clients { any; };
recursion no;
zone exemplo{
type master;
file exemplo.hosts.externo;
};
};
Quando a requisicao vier da rede 10.1.1.0/8, ele
lera
a tabela de hosts do arquivo
exemplo.hosts.interno, e
se vier de qualquer outra rede, ele lera do
exemplo.hosts.externo.
Entao voce nao precisara de dois binds e nem de
duas
portas.
falow,
Marcos
--- unholycurse [EMAIL PROTECTED] escreveu:
vixe...
vi isso ontem (ou parecido) no djbdns...
procura no google por alias de placa de rede para
bind =)
Flw
Em 04/08/05, Marcos Vinicius
Lazarini[EMAIL PROTECTED] escreveu:
Luiz Felipe wrote:
Existe alguma forma de fazer com que o BIND
responda de forma diferente
sobre um host, informando dois IPs diferentes,
dependendo de qual
interface veio a requisicão ?
Ou eu preciso rodar uma nova instancia dele ?
No caso dessa ultima ser positiva, isso é
possível na mesma máquina ?
Sobre a ultima pergunta, na mesma porta não é
possivel.
Sobre a primeira, acho que não é possivel fazer.
Alias, acho que nenhum
programa que eu conheco faz isso.
Agora fiquei curioso pra saber em que situação
esssa máquina está pra
precisar fazer uma 'gambi' dessas... :-)
--
Marcos
--
To UNSUBSCRIBE, email to
[EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact
[EMAIL PROTECTED]
--
-
O linux eh um sistema operacional amigável, ele so
eh seletivo com os
seus amigos! =P
UIN: 1992397
MSN: [EMAIL PROTECTED]
e-mAiL: [EMAIL PROTECTED]
hP: http://info.campus2.br/~mdapaz
__
Converse com seus amigos em tempo real com o
Yahoo! Messenger
http://br.download.yahoo.com/messenger/
--
To UNSUBSCRIBE, email to
[EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact
[EMAIL PROTECTED]
__
Converse com seus amigos em tempo real com o Yahoo! Messenger
http://br.download.yahoo.com/messenger/
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Respostas diferentes no BIND
Lazarini; Pense no seguinte: você tem uma **pequena** rede local atrás de um firewall fazendo NAT, seu firewall trem 3 (três) placas de rede (uma pra rede local, uma pra Internet e outra pra DMZ, segmento onde ficam servdiores públicos como os de e-mail, Web e DNS). Tá tudo bonitinho, sua rede redondinha, mas aí a rede local começa a crescer e entram uns servidores. Com o crescimento da rede, vem a necessidade de um DNS interno e você: 1. Sugere a aquisiçãod e um servidor para rodar o DNS na rede interna; 2. Coloca o DNS pra rodar em um outro servidor da rede interna; 3. Configura o DNS que já existe para responder adequadamente. Todas as três respostas estão corretas, mas por restrições orçamentárias (para adquirir um servidor apenas para o DNS interno) ou de desempenho (pra colocar o DNS no servidor de banco de dados que já está no talo) a terceira resposta responde a sua pergunta. Claro que algumas considerações de segurança devem ser feitas e existem outras utilizações para esta funcionalidade do BIND, mas foi o cenário mais simples que consegui imaginar para ilustrar o uso do match-clients. Marcos V Lazarini wrote: Marcos Aurelio Rodrigues wrote: Existe sim, e so voce usar a opcao chamada view no named.conf Vivendo e aprendendo! Boa dica, xará :-) Agora, poderia me dizer uma situação em que esse tipo de comportamento é interessante? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Respostas diferentes no BIND
Marcos Aurelio Rodrigues wrote: Eu acho que nao entendi voce ou voce nao entendeu a solução. (...) Agora, nao me leve a mal, mas eu realmente nao entendi o que a DMZ e o NAT tem a ver com isso. Marcos Aurelio Oi Marcos; Acho que tive a impressao errada do problema pois respondi a mensagem antes de ver todas as respostas que já haviam sido enviadas para a lista. De qualquer forma, a parametrizção correta de named.conf é a melhor forma de garantir o correto funcionamento do BIND, sem abrir mão da segurança. []'s, Sergio Luz -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Respostas diferentes no BIND
Sim..posso
Voce responde por DNS na internet, porem voce hospeda
a sua pagina na sua rede local, com redirecionamento
da porta 80, entao para fazer as maquinas da rede
local responderem para o ip local e a as maquinas da
internet responderem para o ip externo.
Essa e uma.
Marcos
--- Marcos V Lazarini [EMAIL PROTECTED]
escreveu:
Marcos Aurelio Rodrigues wrote:
Existe sim, e so voce usar a opcao chamada view no
named.conf
Por exemplo aqui eu crio um dominio chamado
exemplo,
cada um com seu arquivo de hosts
view interno {
match-clients { 10.1.1.0/8; };
recursion yes;
zone exemplo{
type master;
file exemplo.hosts.interno;
};
};
view externo {
match-clients { any; };
recursion no;
zone exemplo{
type master;
file exemplo.hosts.externo;
};
};
Quando a requisicao vier da rede 10.1.1.0/8, ele
lera
a tabela de hosts do arquivo
exemplo.hosts.interno, e
se vier de qualquer outra rede, ele lera do
exemplo.hosts.externo.
Entao voce nao precisara de dois binds e nem de
duas
portas.
falow,
Marcos
Vivendo e aprendendo!
Boa dica, xará :-)
Agora, poderia me dizer uma situação em que esse
tipo de comportamento é
interessante?
--
Marcos
--
To UNSUBSCRIBE, email to
[EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact
[EMAIL PROTECTED]
___
Yahoo! Acesso Grátis - Internet rápida e grátis.
Instale o discador agora! http://br.acesso.yahoo.com/
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Respostas diferentes no BIND
Justamente. Você disse exatamente a minha situação.
Obrigado pela ajuda.
Marcos Aurelio Rodrigues wrote:
Sim..posso
Voce responde por DNS na internet, porem voce hospeda
a sua pagina na sua rede local, com redirecionamento
da porta 80, entao para fazer as maquinas da rede
local responderem para o ip local e a as maquinas da
internet responderem para o ip externo.
Essa e uma.
Marcos
--- Marcos V Lazarini [EMAIL PROTECTED]
escreveu:
Marcos Aurelio Rodrigues wrote:
Existe sim, e so voce usar a opcao chamada view no
named.conf
Por exemplo aqui eu crio um dominio chamado
exemplo,
cada um com seu arquivo de hosts
view interno {
match-clients { 10.1.1.0/8; };
recursion yes;
zone exemplo{
type master;
file exemplo.hosts.interno;
};
};
view externo {
match-clients { any; };
recursion no;
zone exemplo{
type master;
file exemplo.hosts.externo;
};
};
Quando a requisicao vier da rede 10.1.1.0/8, ele
lera
a tabela de hosts do arquivo
exemplo.hosts.interno, e
se vier de qualquer outra rede, ele lera do
exemplo.hosts.externo.
Entao voce nao precisara de dois binds e nem de
duas
portas.
falow,
Marcos
Vivendo e aprendendo!
Boa dica, xará :-)
Agora, poderia me dizer uma situação em que esse
tipo de comportamento é
interessante?
--
Marcos
--
To UNSUBSCRIBE, email to
[EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact
[EMAIL PROTECTED]
___
Yahoo! Acesso Grátis - Internet rápida e grátis.
Instale o discador agora! http://br.acesso.yahoo.com/
--
Atenciosamente,
Luiz Felipe de souza Gomes
Network Administrator
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Respostas diferentes no BIND
Existe alguma forma de fazer com que o BIND responda de forma diferente sobre um host, informando dois IPs diferentes, dependendo de qual interface veio a requisicão ? Ou eu preciso rodar uma nova instancia dele ? No caso dessa ultima ser positiva, isso é possível na mesma máquina ? -- Atenciosamente, Luiz Felipe de souza Gomes Network Administrator -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Respostas diferentes no BIND
Luiz Felipe wrote: Existe alguma forma de fazer com que o BIND responda de forma diferente sobre um host, informando dois IPs diferentes, dependendo de qual interface veio a requisicão ? Ou eu preciso rodar uma nova instancia dele ? No caso dessa ultima ser positiva, isso é possível na mesma máquina ? Sobre a ultima pergunta, na mesma porta não é possivel. Sobre a primeira, acho que não é possivel fazer. Alias, acho que nenhum programa que eu conheco faz isso. Agora fiquei curioso pra saber em que situação esssa máquina está pra precisar fazer uma 'gambi' dessas... :-) -- Marcos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Respostas diferentes no BIND
vixe... vi isso ontem (ou parecido) no djbdns... procura no google por alias de placa de rede para bind =) Flw Em 04/08/05, Marcos Vinicius Lazarini[EMAIL PROTECTED] escreveu: Luiz Felipe wrote: Existe alguma forma de fazer com que o BIND responda de forma diferente sobre um host, informando dois IPs diferentes, dependendo de qual interface veio a requisicão ? Ou eu preciso rodar uma nova instancia dele ? No caso dessa ultima ser positiva, isso é possível na mesma máquina ? Sobre a ultima pergunta, na mesma porta não é possivel. Sobre a primeira, acho que não é possivel fazer. Alias, acho que nenhum programa que eu conheco faz isso. Agora fiquei curioso pra saber em que situação esssa máquina está pra precisar fazer uma 'gambi' dessas... :-) -- Marcos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- - O linux eh um sistema operacional amigável, ele so eh seletivo com os seus amigos! =P UIN: 1992397 MSN: [EMAIL PROTECTED] e-mAiL: [EMAIL PROTECTED] hP: http://info.campus2.br/~mdapaz
Re: Respostas diferentes no BIND
Existe sim, e so voce usar a opcao chamada view no
named.conf
Por exemplo aqui eu crio um dominio chamado exemplo,
cada um com seu arquivo de hosts
view interno {
match-clients { 10.1.1.0/8; };
recursion yes;
zone exemplo{
type master;
file exemplo.hosts.interno;
};
};
view externo {
match-clients { any; };
recursion no;
zone exemplo{
type master;
file exemplo.hosts.externo;
};
};
Quando a requisicao vier da rede 10.1.1.0/8, ele lera
a tabela de hosts do arquivo exemplo.hosts.interno, e
se vier de qualquer outra rede, ele lera do
exemplo.hosts.externo.
Entao voce nao precisara de dois binds e nem de duas
portas.
falow,
Marcos
--- unholycurse [EMAIL PROTECTED] escreveu:
vixe...
vi isso ontem (ou parecido) no djbdns...
procura no google por alias de placa de rede para
bind =)
Flw
Em 04/08/05, Marcos Vinicius
Lazarini[EMAIL PROTECTED] escreveu:
Luiz Felipe wrote:
Existe alguma forma de fazer com que o BIND
responda de forma diferente
sobre um host, informando dois IPs diferentes,
dependendo de qual
interface veio a requisicão ?
Ou eu preciso rodar uma nova instancia dele ?
No caso dessa ultima ser positiva, isso é
possível na mesma máquina ?
Sobre a ultima pergunta, na mesma porta não é
possivel.
Sobre a primeira, acho que não é possivel fazer.
Alias, acho que nenhum
programa que eu conheco faz isso.
Agora fiquei curioso pra saber em que situação
esssa máquina está pra
precisar fazer uma 'gambi' dessas... :-)
--
Marcos
--
To UNSUBSCRIBE, email to
[EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact
[EMAIL PROTECTED]
--
-
O linux eh um sistema operacional amigável, ele so
eh seletivo com os
seus amigos! =P
UIN: 1992397
MSN: [EMAIL PROTECTED]
e-mAiL: [EMAIL PROTECTED]
hP: http://info.campus2.br/~mdapaz
__
Converse com seus amigos em tempo real com o Yahoo! Messenger
http://br.download.yahoo.com/messenger/
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Respostas diferentes no BIND
Marcos Aurelio Rodrigues wrote:
Existe sim, e so voce usar a opcao chamada view no
named.conf
Por exemplo aqui eu crio um dominio chamado exemplo,
cada um com seu arquivo de hosts
view interno {
match-clients { 10.1.1.0/8; };
recursion yes;
zone exemplo{
type master;
file exemplo.hosts.interno;
};
};
view externo {
match-clients { any; };
recursion no;
zone exemplo{
type master;
file exemplo.hosts.externo;
};
};
Quando a requisicao vier da rede 10.1.1.0/8, ele lera
a tabela de hosts do arquivo exemplo.hosts.interno, e
se vier de qualquer outra rede, ele lera do
exemplo.hosts.externo.
Entao voce nao precisara de dois binds e nem de duas
portas.
falow,
Marcos
Vivendo e aprendendo!
Boa dica, xará :-)
Agora, poderia me dizer uma situação em que esse tipo de comportamento é
interessante?
--
Marcos
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
