lug-bg: BIND + TSIG

[Alexander Iliev <sasoiliev@xxxxxxxxxxxxxxxx>]

Здравейте.

Имам следната схема - два домейна, два
name сървъра, единия е master за единия домейн,
другия master за другия домейн, двата са си
slave един на друг съответно.

Идеята е да се пусне TSIG, т.е. двата сървъра
да си трансферират зоните подписани.

Генериран е ключ, който е добавен на двете
машини:

key ns1-ns2. {
	algorithm hmac-md5;
	secret "blabla";
};

(наясно съм, че е добре ключа да е
 в отделен include-нат файл с chmod 640,
 но това в случая не съществено)

Да приемем, че ns1 е 192.168.1.1, а ns2 е 10.0.0.1.

В named.conf на ns1 има:

server 10.0.0.1 {
	keys { ns1-ns2.; };
};

В named.conf на ns2 има:

server 192.168.1.1 {
	keys { ns1-ns2.; };
};

Въпроса ми е следния - какво трябва да
се укаже в директивата allow-transfer за
зоната за да се позволят единствено подписани
трансфери между двата сървъра?

От експериментите, които си направих установих,
че ефекта се постига като се сложи:

zone "blabla.com" {
	type master;
	file "...";
	allow-transfer { key ns1-ns2.; };
};

Въпроса ми е, ако в някакъв момент ключа се сложи
на трети сървър, при горната конфигурация ще може
ли третия сървър да трансферира зоната (макар и
подписано)?

Също не можах да разбера server директивата не
указва ли, че при комуникация с дадения сървър
всички съобщения към него ще бъдат подписани с
указания ключ, и че всички съобщения получавани от
дадения сървър ще бъдат проверявани спрямо същия
ключ? Ако е така не би ли следвало да е достатъчно
в allow-transfer на зоната да се укаже само IP адреса
на slave сървъра и named съдейки по server директивата
и ключа конфигуриран в нея да подписва и проверява
съобщенията от/към този сървър без изрично да е
указано 'key ns1-ns2.;' в allow-transfer?

И друг въпрос (принципен) - доколко е добре зоната
да може свободно да се трансферира от  всеки (от
произволна машина да може да се прави AXFR)?

Благодаря за вниманието. :)

Поздрави,
Александър Илиев