LINUX.ORG.RU
ФорумAdmin

виды bind'a (типа view «v» IN {};) ?


0

0

Использовать или не использовать виды bind'a?
Есть локалка, есть выход в инет.

Какие могут быть проблемы, если из локальной сети хост
mail.domain.com резолвится в 192.168.0.1
а из инета в реальный ип ?

То же с www.domain.com, proxy.domain.com, ns.domain.com.
Сервисы вроде стандартные, squid, mail,pop3(s).

Желание сделать виды возникло не с потолка, а после аудита правил iptables, где часто встречаются строки

$iptables -A tcplan -p tcp -s 192.168.0.25 -d 192.168.0.1 --dport 3128 -j DROP
$iptables -A tcplan -p tcp -s 192.168.0.25 -d a.b.c.d --dport 3128 -j DROP

где a.b.c.d реальный ип.

Хочется развязать локальные адреса и инет полностью, т.е. чтобы при коннектах к mail. proxy. все шло на 192.168.

anonymous

> Использовать или не использовать виды bind'a?
Можно использовать, а можно и нет :-) Я бы использовал.
1) А еще можно создать для локальной сети локальный домен (не существующий в inet-е) - "mycompany.domain", и везде в настройках клиентов использовать его: "mail.mycompany.domain" вместо "mail.domain.com".
2) После использования view проблема с "-d 192.168.0." и "-d a.b.c.d" не исчезнет (клиенты могут ведь и сами явно внешний IP адрес прописать в настройках). По-моему проще использовать имя входящего интерфейса для пакетов:
$iptables -A tcplan -p tcp -s 192.168.0.25 -i eth0 --dport 3128 -j DROP
где eth0 - локальный интерфейс.

spirit ★★★★★
()
Ответ на: комментарий от spirit

1) вот это мне не нравится - был домен local.net, сразу проблемы
с почтовыми сертификатами, и прочее и прочее.

2) так я правило
$iptables -A tcplan -p tcp -s 192.168.0.0/24 -d a.b.c.d --dport 3128 -j allowed_chain
уберу ;) и пусть прописывают что угодно )).

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin