Le 28/01/16 à 20:52, Pascal Hambourg <pas...@plouf.fr.eu.org> a écrit :
PH> Eric Degenetais a écrit :
PH> > Le 28 janvier 2016 à 14:43, Daniel Caillibaud <m...@lairdutemps.org> a
écrit :
PH> >> Ok, mais dans ce cas ça marche pas chez lui parce qu'il ne faut pas
mixer acl et ip ?
PH> >
PH> > l'explication ne serait-elle pas tout simplement que pour lister les
PH> > interfaces à écouter {localhost, 192.168.1.12} est interprêté comme
PH> > {toutes les interfaces + 192.168.1.12}, soit au final {toutes les
PH> > interfaces} ?
PH>
PH> Bien sûr. Il me semblait que c'était assez clair.
Pas si évident que "localhost" désigne "toutes les ips assignées à une
interface locale", dans
un contexte ip on pourrait s'attendre à ce que ce soit la ou les ip de loopback.
(ok, ce localhost prend plus de sens dans une acl "allow {localhost}", où on
veut autoriser
toutes les ips locales).
Il faut aller voir la doc de bind (https://www.isc.org/downloads/bind/doc/,
mais sous mon
iceweasel la page est quasi vide) car c'est pas dans les fichiers de conf
(c'est un built in),
cf 6.2.2, acl Statement Definition and Usage
The following ACLs are built-in:
- any Matches all hosts.
- none Matches no hosts.
- localhost Matches the IPv4 and IPv6 addresses of all network interfaces on
the system. When
addresses are added or removed, the localhost ACL element is updated to
reflect the changes.
- localnets Matches any host on an IPv4 or IPv6 network for which the system
has an interface.
When addresses are added or removed, the localnets ACL element is updated
to reflect the
changes. Some systems do not provide a way to determine the prefix lengths
of local IPv6
addresses. In such a case, localnets only matches the local IPv6 addresses,
just like
localhost.
--
Daniel
Il faut choisir, dans la vie, entre gagner de l'argent et le dépenser,
on n'a pas le temps de faire les deux.
Edouard Bourdet
