Gecenlerde DNS sunucumda girilen zone kayıtları icin farklı ip adreslerine farklı cevapların dönmesi gibi bir
ihtiyacim oldu. Cok uzun zaman önce benzer bir ihtiyac icin ISC bind kullanmistim ve nasil yapildigi aklimda kalmamisti. Bind kitabimi elime alarak anahtar kelime “view” ile ilgili konulara bir gözattim(burdan herseyi bilmek yerine anahtar kelimeleri bilerek is cikarmanin faydasini goruyoruz. tipki pointerlar misali)… Sonuclarini burda paylasmayi uygun gordum.
Amacimi biraz daha acayim:
DMZ bolgesinde bir adet DNS sunucunuz var ve bu dns sunucu hem sizin sahip oldugunuz domainler icin yetkili durumda(yani internetten example.com’a gelecek sorgulari karsilayan) hem de ic agda bulundurdugunuz cache-only dns sunucunuz icin forwarder görevi görüyor.
Intranet.example.com adli bir alan adini sadece ic aga acmak istiyorsunuz. Bunun icin DMZ bolgesinde gireceginiz kayit tüm internete açik olacaktir. Bu sebeple ya intranetteki DNS sunucuya bir sekilde ek kayitlar girmenin yolunu bulacaksiniz ya da DNS sunucunuzda bazi domainler icin sadece belirli(Yerel ag ip bloklari)iplerden gelen istekler icin cevap vermesini saglayacaksiniz.
Sadece bu tip istekler için degil , çok daha farkli durumlarda DNS sunucularin farkli ip/network ler için farkli cevaplar vermesi gerekebilir.
Örnek:
view “yerel_ag” {
match-clients { 192.168.0.0/24; }; // Yerel AG IP Blogu
recursion yes;
zone “lifeoverip.net” {
type master;
file “master/lifeoverip.net.in”;
};
};
view “dis_dunya” {
match-clients {“any”; };recursion no; //Recursive sorgulamalara izin yok!
zone “lifeoverip.net” {
type master;
file “master/lifeoverip.net.out”;
};
};
NOT: Eklenecek tum zone’lar viewlar icerisinde tanimlanmis olmali.
Sonrasinda master/lifeoverip.net.in dosyasina ic agdan gelen istekler icin dondurmek istedigimiz cevabi , master/lifeoverip.net.out dosyasina da dis dunyadan gelecek sorgulamalara donmek istedigimiz cevabi uygun formatta yazarak bind’i restart etmemiz gerekir.
Bundan sonra lifeoverip.net domaini icin yapilan sorgulamalar 192’li ip blogundan geliyorsa farkli cevaplancakti, bunun haricinde bir ip araligindan geliyorsa farkli cevaplanacaktir.
Burada yapilan islemler UNIX/Linux sistemler üzerinde kullanılan bind yazılımı için geçerlidir.
Windows sistemlerle birlikte gelen DNS sunucu yazilimi kullanarak farkli ip adreslerinden(ip bloklari) gelen istekler icin farkli tanimlar yapmak mümkün degil. (Arastirmalarim ve bilgisine guvendigim Windows adminlerden aldigim cevaplara istinaden soyluyorum).
