
<div dir="ltr"><div class="im" style="font-family:arial,sans-serif;font-size:12.727272033691406px"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

Expire time should be at least a week. If your firewall blocks<br>connections for that long, you have bigger problems than this.</blockquote></div><div style="font-family:arial,sans-serif;font-size:12.727272033691406px">Unless our sites change for disaster recovery, in which expire times might be exceeded. However, I suppose one week would give me enough time to adjust where the master is located at the DR site.</div>

<div class="im" style="font-family:arial,sans-serif;font-size:12.727272033691406px"><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

You don't have to put the hidden master in the public zone file.</blockquote></div><div style="font-family:arial,sans-serif;font-size:12.727272033691406px">you're right, I was mixed up between zone file and named.conf.</div>

</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Nov 7, 2013 at 2:23 PM, Barry Margolin <span dir="ltr"><<a href="mailto:barmar@alum.mit.edu" target="_blank">barmar@alum.mit.edu</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">In article <<a href="mailto:mailman.1637.1383850377.20661.bind-users@lists.isc.org">mailman.1637.1383850377.20661.bind-users@lists.isc.org</a>>,<br>


 Jonathan Reed <<a href="mailto:cronstate@gmail.com">cronstate@gmail.com</a>> wrote:<br>

<br>

> I'd like my global BIND server to slave a copy of my zone from the master<br>

> being hosted on my LAN. It appears that this is called a stealth setup. I<br>

> figured I'd achieve this by having the secondary on the internet slave a<br>

> view, but I've read that this is not ideal from a security standpoint. The<br>

> argument being that the zone file contains an IP address of it's master. So<br>

> whats the best way to do this?<br>

<br>

You don't have to put the hidden master in the public zone file.<br>

<br>

><br>

> A stealth scenario also seems susceptible to a higher chance where the<br>

> connection is lost between master and slave (complicated by a LAN<br>

> firewall/ISP in between) and the expire exceeding. We're hosting our global<br>

<br>

Expire time should be at least a week. If your firewall blocks<br>

connections for that long, you have bigger problems than this.<br>

<br>

> DNS through a provider, so there doesnt seem like an easy way to monitor<br>

> and confirm a zone transfer from our master alone. Any recommendations?<br>

<span class="HOEnZb"><font color="#888888"><br>

--<br>

Barry Margolin<br>

Arlington, MA<br>

_______________________________________________<br>

Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>

<br>

bind-users mailing list<br>

<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a><br>

<a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>

</font></span></blockquote></div><br></div>