особенности настройки dns

Во Freeipa есть особенность настройки dns для сетей, в которых freeipa не находится - в некоторых последних версиях по умолчанию там включены списки доступа, как результат он отвечает только тем клиентам, что находятся в одной сети с ним, остальным же он отвечает только на запросы в свою зону, пересылку же в другие сети он игнорирует и отвечает reject. Для настройки этих ограничений и прочих поользовательских параметров используются 2 файла в папке /etc/bind - ipa-ext.conf и ipa-options-ext.conf В первом описываются элементы acl списка, например:

acl "trusted_network" {
localnets;
localhosts;
192.168.1.0/24
192.168.3.0/24
}

Таким образом описывается просто список доступа - кому вы собираетесь что-то разрешать, сам по себе этот список ничего не делает, без последующих настроек в файле ipa-options-ext.conf - в этом файле описываются дополнительные опции для dns, например:

allow-recursion { trusted_network; };
dnssec-validation no;

В данном примере описаны 2 опции, одна из которых разрешает рекурсивные запросы от списка trusted_network, который мы описали файлом ранее. Несомненно можно при желании отредактировать сам файл named.conf, однако следует помнить, что он может видоизменяться в атоматическом режиме, что может привести к непредсказуемым последствия, о чём в самом начале конфига говориться в комментарии. Для вступления настроек в силу необходимо перезагрузить bind

systemctl restart bind