Можно ли отфильтровать пользователей по ip для определенной сети в Bind9?

Question

[good_sefore]

Разьясню: к примеру есть сеть с внешним ip адресом 205.67.89.01. В ней находятся устройства с локальными ip адресами 192.168.1.2, 192.168.1.3, 192.168.1.4 и т.д.. И есть сервер Bind9 с внешним ip адресом 56.34.77.129. Все устройства обращаются к этому серверу. Можно ли в этой ситуации сделать так, чтобы для, допустим, одних локальных ip адресов сервер возвращал один ответ, а для других - другой?

Answer 1

[hint000]

чтобы для, допустим, одних локальных ip адресов сервер возвращал один ответ, а для других - другой

Нет, потому что для него они все будут под одним внешним 205.67.89.1, он не сможет их различить.
Но если сеть за 56.34.77.129 под вашим управлением, тогда да. Тогда вы сможете пробросить VPN между двумя сетями, и 192.168.1.2, 192.168.1.3, 192.168.1.4 смогут ходить на Bind прямо со своими локальными адресами через VPN, без NAT. И тогда можно исхитриться в настройке Bind, чтобы он разным клиентам давал разные ответы.

Comments

[Karpion]

для него они все будут под одним внешним 205.67.89.1, он не сможет их различить.

Верно - но за исключением случая, когда Bind9 имеет прямой доступ в ту сеть. Но можно приказать Bind9'у - отвечать особым образом для запросов, идущих с 205.67.89.1!

И тогда можно исхитриться в настройке Bind, чтобы он разным клиентам давал разные ответы.

Вроде, исхитряться не нужно - штатная функция.

Answer 2

[Александр]

Нет. Ответ уже был ))) Но это если один сервер (Один ip Адрес).
Тогда скажу - Да. Можно. Если установите еще несколько серверов Bind9. В каждом прописывайте кто имеет право считывать зону.
Вообще то для локальных пользователей лучше держать сервер внутри локальной сети.

Comments

[Karpion]

А зачем "несколько серверов Bind9"?

[Александр]

Karpion, Несколько - для паранойи по безопасности )))
Сервер всегда может вырубиться. Надо второй, но нужна точная копия первого. Значит нужен главный (ведущий) и два ведомых кеширующих. К текущему вопросу отношение не имеет. )))
А также по RFC ты должен иметь 2 IP адреса для поддержки DNS домена.

Если у тебя псевдо публичная сеть, несколько отделов, которые в некоторых вопросов не должны пресекается. Можно поставить несколько DNS серверов и для каждого отдела сервер с именем test будет давать разный ip адрес.

[Karpion]

Видите ли, для того, чтобы обслуживать несколько отделов - совершенно не требуется несколько DNS-серверов. Можно взять один DNS-сервер (или для надёжности - несколько идентичных, с одинаковым содержимым) и научить его давать разные ответы - в зависимости от IP-адреса клиента.

[Александр]

Karpion,

научить его давать разные ответы

Пожалуйста, Инструкцию в студию )))
a) BIND?
б) Mikrosoft?

Я знаю что можно разрешать\запрещать обращение к зоне. На клиентах прописываем ДНС сервер, но для 192.168.1.2 work1.loc запрещено обращаться и можно обратиться к work2.loc. Это когда разные домены. А вот когда требуют просто test - (пример - http://test/)
Очень давно пытался через nginx подменять - сейчас даже не помню чем закончилось )))