[root@workshop1 /]# ifconfig
eth0 Link encap:Ethernet HWaddr 08:00:27:AF:A3:28
inet addr:10.0.2.15 Bcast:10.0.2.255 Mask:255.255.255.0
inet6 addr: fe80::a00:27ff:feaf:a328/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:35311 errors:0 dropped:0 overruns:0 frame:0
TX packets:20174 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:50544153 (48.2 MiB) TX bytes:1108333 (1.0 MiB)
eth1 Link encap:Ethernet HWaddr 08:00:27:C4:A8:B6
inet addr:192.168.56.101 Bcast:192.168.56.255 Mask:255.255.255.0
inet6 addr: fe80::a00:27ff:fec4:a8b6/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3634 errors:0 dropped:0 overruns:0 frame:0
TX packets:213 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:498977 (487.2 KiB) TX bytes:32394 (31.6 KiB)
eth2 Link encap:Ethernet HWaddr 08:00:27:DB:B6:AB
inet addr:10.0.4.16 Bcast:10.0.4.255 Mask:255.255.255.0
inet6 addr: fe80::a00:27ff:fedb:b6ab/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:28 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:4147 (4.0 KiB)
No meu /etc/named.conf, quero configurar uma ACL para proibir o acesso à rede 10.0.4.0/24 ao meu servidor de nomes BIND.
Como posso verificar se os hosts de 10.0.4.0/24 não conseguem acessar o servidor de nomes usando ferramentas de rede? Como ainda deixarei o servidor de nomes do Google em /etc/named.conf, presumo que, se eles não puderem usar o servidor de nomes BIND, usarão 8.8.8.8 para resolução de nomes.
Responder1
Supondo que 10.0.2.15 seja o seu DNS, de qualquer um dos servidores da rede 10.0.4.0/24, use o seguinte comando para verificar isso:
cavar www.google.com @10.0.2.15
Este comando tentará resolver google.com (ou qualquer nome de host que você queira tentar) usando o servidor de nomes 10.0.2.15. Se o servidor dentro da rede 10.0.4.0/24 não conseguir resolver o nome do host com este comando, significa que eles estão impedidos de usar este servidor de nomes específico.
PS: Na saída do dig
, a ANSWER SECTION
seção estará vazia ou a ANSWER SECTION
própria não será vista na saída se 10.0.4.0/24 não tiver permissão para usar esse servidor de nomes.