我已经设置了 BIND 9 服务器并配置了加密密钥,以便允许来自客户端的更新。现在在我的 中named.conf,我设置了以下内容:
allow-update { key dns1.example.org.; };
这有效,我可以从我的客户端(nsupdate命令)执行更新(添加、删除区域记录)。
我想知道我是否可以将它与 ACL 结合使用。基本上我希望客户端需要正确的密钥,但也必须来自某个子网或 IP 地址。我能以某种方式做到这一点吗?我未能在文档中找到有关该场景的任何信息。
小智 9
阿尔茨是第一场比赛。如果您排除了您想要的地址,您可以使用 any 拒绝所有不匹配的地址;然后检查密钥是否匹配。
allow-update { !{ !allowed; any; }; key keyname; };
我知道你可以定义一个 match_list 但我不确定你是否可以组合键和匹配列表。
allow-update { address_match_list };
例如:
options {
allow-update { !192.168.2.7;192.168.2/24;};
};