Restreindre l’accès

de clients sur les réseaux 192.168.10.0/24 et 192.168.11.0/24. Cependant, il est difficile d’appliquer cette restriction sur un serveur BIND DNS externe parce que, en principe, on ne connaît pas les clients qui demanderont à  y accéder. Mais vous pouvez utiliser des instructions similaires dans la section options du fichier named.conf pour refuser l’accès à  des utilisateurs connus comme indésirables (à  condition de connaître leurs adresses IP) ou à  des serveurs douteux. Si vous savez, par exemple, qu’un intrus particulier utilise souvent une adresse source dans la plage de 172.36.0.0/16 pour attaquer votre serveur DNS, vous pouvez inclure une instruction blackhole, illustrée dans le listing 7, pour refuser les requêtes de l’intrus. Quand vous connaissez l’adresse d’un serveur DNS (172.36.2.2, par exemple) avec lequel vous ne voulez pas que votre serveur DNS communique, vous pouvez utiliser l’instruction server du listing 8 pour empêcher la communication. Pour ne permettre qu’à  certains serveurs DNS (les serveurs DNS secondaires 192.168.10.10 et 198.168.11.10, par exemple) d’effectuer un transfert de zone provenant d’un serveur DNS spécifique (le serveur DNS primaire, par exemple), vous pouvez ajouter l’instruction du listing 9 à  la section options du fichier named.conf du serveur primaire. Si vous exécutez une zone dynamique sur votre serveur BIND DNS, vous pouvez ajouter une instruction à  la définition de zone de named. conf pour restreindre quels clients (serveurs DHCP et ordinateurs Win2K, par exemple) peuvent mettre à  jour dynamiquement la zone. Ainsi, l’instruction zone du listing 10 permet aux systèmes sur 192.168.10.0/24 de mettre à  jour la zone dynamique pour exampleco.com.