<br><br><div class="gmail_quote">On Sun, Nov 16, 2008 at 1:28 PM, Chris Thompson <span dir="ltr"><<a href="mailto:cet1@cam.ac.uk">cet1@cam.ac.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
On Nov 14 2008, blrmaani wrote:<br>
<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
 I use BIND 9.2 on Linux. <br>
</blockquote>
<br>
Horribly old. But I doubt whether anything has changed in the ACL logic<br>
since then.<br>
<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
                          I was experimenting with a feature to allow<br>
dynamic updates based on<br>
BOTH the following:<br>
1. Secret key ( TSIG )<br>
2. Subnet.<br>
<br>
Unfortunately, I realized that we can specify only one of the above in<br>
allow-update {} ACL.<br>
If I specify both, it doesn't work as expected.<br>
<br>
Question:<br>
1. Is there a way to achieve this?<br>
</blockquote>
[...]<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
here is what I'm expecting:<br>
<br>
// This should allow update only if the update is from 10/8 subnet AND<br>
key matches:<br>
allow-update { key "...." ; 10/8; }<br>
</blockquote>
<br>
That's an OR on the conditions, as Chris Buxton writes. <br>
But you *can* do what you want, provided you have a copious supply of iced drinks to keep you calm while trying to work out the consequences of using negations in ACLs. If I have it right, the following works:<br>
<br>
 allow-update { !{!10/8;any;}; key update-key; };</blockquote><div><br>Wouldn't this still permit any client on the 10/8 subnet to update the zones?<br><br></div></div><br>