};

};

Создаем внешние зоны. Поскольку просмотр ACL идет по схеме «first win», то есть используется первое совпадение, то все клиенты, которые не могут быть отнесены к внутренним, автоматически попадут во внешние, следовательно, нет необходимости в специальном описании ACL. Для запроса от внешнего клиента сервер является нерекурсивным, то есть в ответе может содержаться не только положительный или отрицательный результат, но и ссылка на другой сервер (DNS NXDOMAIN). В нашем случае это не имеет значения, но могло бы понадобиться, если бы мы определяли подзоны (например, end.tail.krokodil.ru потребует отдельной зоны tail.krokodil.ru, которая может администрироваться другим человеком, и соответственно наш сервер должен отсылать клиента к серверу зоны tail.krokodil.ru).

view "external" {

        match-clients { any; };

        recursion no;

Определяем основную зону прямого преобразования. Для этой зоны сервер является основным и полностью блокирует любые обновления.

        zone "krokodil.ru" {

                type master;

                file "direct-ru.ext";

                allow-update { none; };

        };

Определяем основную зону обратного преобразования. Для этой зоны сервер является основным и полностью блокирует любые обновления. Определение этой зоны не нужно, если провайдер предоставляет блок адресов размером менее сети класса С.

        zone "5.20.212.in-addr.arpa" {

                type master;

                file "zone212.rev";

                allow-update { none; };

        };

};

Здесь мы рассмотрели только основные параметры для описания зон. Множество других параметров – опции настройки клиентской части («резолвера»), настройки канала управления RNDC – остались в стороне, поскольку они непосредственно не связаны с настройкой зон, хотя достаточно существенны для работы локальных программ и сопровождения.

Запуск и сопровождение

Для запуска named достаточно добавить

named_enable="YES"

в /etc/rc.conf. По умолчанию в нынешних версиях рабочий каталог named делается с рассчетом на jail, и поэтому вынесен в /var/named, где уже созданы подкаталоги /dev, /etc и /var, а /etc/namedb является символическим линком на /var/named/etc/namedb. Меня это не устроило, и я расположил рабочий каталог в более привычном месте – /etc/namedb. Для этого в /etc/rc.conf пришлось добавить строки:

named_flags="-c /etc/namedb/named.conf -4 -u bind"