Имея некоторый опыт ведения большого Intranet-a советую ежели на
frigate, botik, lipky живут 8-ые named-ы держать их два, один под
Internet часть, второй под Intranet часть (например /etc/namedb-int/ - internal,
/etc/namedb-ext/ - external), соотв. как минимум в конфигах Intranet части
обратить внимание на:
include "/etc/namedb-int/security.acls"
options
{
.....
allow-query { int-hosts.acl; };
allow-transfer { int-servers.acl; };
listen-on { int-interfaces.acl; );
query-source address 10.x.x.x port *; // где 10.x.x.x адрес наиболее
// стабильного интерфейса, советую
// alias на lo0 или на крайняк eth0
.....
};
при этом /etc/namedb-int/security.acls содержит нечто вида:
acl int-hosts.acl
{
// описываем все Intranet субнеты с которых нас могут спрашивать
};
acl int-servers.acl
{
// описываем primary интерфесы всех Intranet name серверов (это которые
// алиасы на lo0 или крайняковый eth0)
};
acl int-interfaces.acl
{
// тут советую ограничится lo0 алиасом, или "крайниковым" eth0
};
ну и если делать по такой схеме, то еще и
forward first;
forwarders {
127.0.0.1; // perform external resolution
};
причем ATTENTION!, при этом все Intranet-ы должны быть взаимно-засекондарины,
ибо пришедший от клиента запрос смотрится сначала в своии зонах, потом в
secondary зонах, а потом отдается на forward address.
У этой схемы есть как свои преймущества так и свои недостатки но первых
IMHO больше (еще совет -- не увлекаться большими буквами в зонах, с ними
переодически грабли вылазят).
Такая схема у меня работала при ~160 зонах.
> У кого есть желание довести до реализации? Igor,Aad,Avp?
>Там не много возни - восстановить туннели, посочинять rc.firewall,
>посочинять доступы в named.conf.
>
> Goo
-- Regards, Vladimir.