Межсетевое экранирование


              

Ограничение участников транзакций на основе IP-адреса


Некоторые реализации name-сервера, такие как BIND 9.x, предоставляют утверждения для управления доступом, с помощью которых можно указать хосты, которые могут участвовать в конкретной DNS-транзакции. Хосты могут быть указаны по их IP-адресам или указанием их IP-подсети (называемой IP-префиксом) в данных утверждениях.

Список, содержащий эти IP-адреса и/или IP-префиксы, называется списком соответствия адресов. Список соответствия адресов может быть создан на основе не только IP-адресов, но и IP-префиксов. Этот список используется в качестве аргумента в различных утверждениях управления доступом, которые определены в конфигурационных файлах BIND. Существуют отдельные утверждения управления доступом для каждого типа транзакции DNS. Синтаксис таких утверждений и транзакции DNS, для которых они используются, приведен ниже.

Синтаксис утверждения управления доступомТранзакция DNS
allow-query {address_match_list }DNS Query/Response
allow-recursion {address_match_list }Рекурсивный запрос
allow-transfer {address_match_list }Зонная пересылка
allow-update {address_match_list }Динамическое обновление
allow-update-forwarding {address_match_list }Динамическое обновление
allow-notify (address_match_list }DNS NOTIFY
blackhole {address_match_list }Хосты, попавшие в черный список

Цель каждого из этих утверждений управления доступом состоит в следующем:

  • allow-query: указывает список хостов, которым разрешено запрашивать все зоны name-сервера или конкретную зону внутри name-сервера.

  • allow-recursion: указывает список хостов, которым разрешено создавать рекурсивные запросы к name-серверу для всех зон или для конкретной зоны, обслуживаемой name-сервером.

  • allow-transfer: указывает список хостов, которым разрешено инициировать запросы зонной пересылки к name-серверу для всех зон или для конкретной зоны внутри name-сервера. Данное утверждение обязательно требуется в конфигурации первичного name-сервера.

  • allow-update: указывает список хостов, которым разрешено инициировать запросы динамического обновления.




  • Содержание  Назад  Вперед