allow-transfer & forward

[m.tinnemeier]

Salute!

Ich hab auf meinem Rooty meinen Primary DNS laufen, Secondary übernimmt Schlund, Domains sind bei Schlundtech.

Sodenn. Soll ich meinen DNS Server (bind9) so konfigurieren, dass er die Zones nur mit Schlund abgleicht, quasi

Code: Select all

allow-transfer { Ip_der_schlund_ns; }; 

oder soll ich es allen ermöglichen

Code: Select all

allow-transfer { any; };

?? Was bringt mir welche Mehtode?

Des Weiteren: brauche ich forwarders mit forward first? Welche sollen das sein? Was sind vor / Nachteile?

Grüße
Matthias

[Matthias Diehl]

Also den Transfer solltest Du nur den secondary Nameservern zulassen.
Wenn Du auch für andere den Transfer zulassen würdest, könnte sich jeder Nameserver bei Dir den Inhalt aller Zonefiles holen. Da dies nicht benötigt wird und Traffic generieren könnte, würde ich das wie oben geschildert machen.
Die forwarders benötigst Du nicht wirklich. Die sind dafür da, wenn Du Deinen eigenen Nameserver befragst und der nachfragen muss, weil er die Domains selbst nicht kennt. Das tut er dann bei den dort eingetragenen Nameservern.

[dodolin]

Die forwarders benötigst Du nicht wirklich.

Wären aber IMHO sinnvoll.

Ich hatte deshalb mal beim Support nachgefragt:

> 3) Darf man die Schlund-Nameserver in seinem DNS auf dem
> Root-Server als "Forwarder" eintragen oder muss der eigene DNS alles selbst
> über die Root-Nameserver auflösen?

Sie können die unsrigen benutzen.

> Wenn ja, wie heissen die IP's der
> Schlund-Nameserver, die man hierzu (als Forwarder) verwenden darf?

% host -t a nsa.schlund.de
nsa.schlund.de has address 195.20.224.98
% host -t a nsa2.schlund.de
nsa2.schlund.de has address 195.20.225.40

[macindy]

Wenn mein Server nicht bei Schlund steht (=lokales Netz) bringt mir das doch nix oder?
(Mein Server steht demnächst bei Level3 in Düsseldorf)

[dodolin]

Wenn mein Server nicht bei Schlund steht (=lokales Netz) bringt mir das doch nix oder?

Du meinst die "forward" Konfiguration in Bind? Nein, das bringt nix. Als Forwarder sollte man wenn überhaupt, dann nur netztechnisch "nahe" gelegene Server eintragen (also vom eigenen Provider etc.).