Помогите разобраться с логикой.
Есть шлюз на FreeBSD 6.4. На нём NAT, pf и DNS. DNS отвечает за смотрящие в инет зоны, соответственно отвечая на вопросы внешним клиентам. За шлюзом спрятана локалка.
Задача: пересобрать шлюз с наименьшими потерями (в том числе и психическими). Решил начать с ДНСа и перенести его ЗА pf, настроив соответствующее перенаправление портов с 53го на шлюзе и на 53ий на ДНС, который будет спрятан за шлюзом. Машинка, куда переношу ДНС - FreeBSD 9.0, вся установка из портов в том числе и последняя лежащая там версия BIND/
Удаленное управление по 953 порту отключено и ДНС управляется только с 127.0.0.1 через RNDC.
Вопрос мой касается этого:
Код: Выделить всё
Modern versions of BIND use a random UDP port for each outgoing
query by default in order to dramatically reduce the possibility
of cache poisoning. All users are strongly encouraged to utilize
this feature, and to configure their firewalls to accommodate it.
AS A LAST RESORT in order to get around a restrictive firewall
policy you can try enabling the option below. Use of this option
will significantly reduce your ability to withstand cache poisoning
attacks, and should be avoided if at all possible.
До этого настраивал только почту в различнейших вариациях, а с настройкой (или перенастройкой) NAT, pf, DNS столкнулся впервые, поэтому прошу сильно не пинать, если вопрос глупый.
И второй вопрос: вдохновленный BIND 9 Administrator Reference Manual и книгой DNS и BIND (Крикет Ли и Пол Альбитц) хочу, для пущей безопасности, настроить TSIG.
Вторичные ДНСы распогаются в nic.ru - кто-нибудь знает, возможно ли это сделать с ними или TSIG реально использовать, только если вторичные ДНСы принадлежат тебе?