====== Access control list (ACL) ======
リモートからサーバへの要求の可否ルール
各ACLルールは、特定のアドレス/サブネットまたはTSIGに対して1つ以上のアクションを許可したり、拒否したりすることが可能
1つのZoneに複数のルールがある場合ルールは表示順で適用され、一致する**最初のルールのみ**が適用されます
=== 例1 ===
* 192.168.2.100へのZone転送を不許可
* 2001:db8::1, 192.168.2.0/24へのZone転送を許可
acl:
- id: address_rule
address: [2001:db8::1, 192.168.2.0/24]
action: transfer
- id: deny_rule
address: 192.168.2.100
action: transfer
deny: on
zone:
- domain: acl1.example.com.
acl: [deny_rule, address_rule] # deny_rule が優先
=== 例2 ===
* key1という名前の暗号鍵定義
* 192.168.3.0/24からのアクセスは全て拒否
* Key1を利用したアクセスにはZone転送とゾーン更新通知を許可
key:
- id: key1 # The real TSIG key name
algorithm: hmac-md5 # hashアルゴリズム
secret: Wg==............ # 鍵
acl:
- id: deny_all
address: 192.168.3.0/24
deny: on # アクションが定義されていないので全て拒否される
- id: key_rule
key: key1 # TSIG keyで認証する
action: [transfer, notify]
zone:
- domain: acl2.example.com
acl: [deny_all, key_rule]