电梯直达

1楼 [收藏(0)] [报告]

发表于 2005-12-31 17:21 |只看该作者 |倒序浏览

在 dns.bob.com 上配置了 allow-query { localhost; };

但在另外一台 winXP 的机器上用 ls -d bob.com 仍然可以看到全部记录。

为什么呢？

2楼 [报告]

发表于 2006-01-01 20:54 |只看该作者

allow-query理解错了

设allow-query{localhost}是只允许本地主机查询DNS记录.但是其他计算机仍然可以查看bob.com的区域文件,如果你没有从服务器可以使用 allow-transfer{none;}; 如果有从服务器将none该从服务器的IP地址就可以了

3楼 [报告]

发表于 2006-01-01 21:00 |只看该作者

我关心的不是这个，而是在执行 zone transfer 会向权威服务器发送一个 SOA 查询，为什么该查询没有被拦截？

4楼 [报告]

发表于 2006-01-01 21:06 |只看该作者

因为你没有限制区域传送文件

5楼 [报告]

发表于 2006-01-01 22:00 |只看该作者

终于搞明白了

通过 ethereal 抓图后发现，在 winxp 下执行 ls 命令，并不会发送 SOA query，而是直接建立 TCP 连接

进行 AXFR ；而在 linux 下，则因为需要先发送 SOA query，所以 allow-query 就可以限制 zone

transfer 了。