Необходимо понять вопрос, который Вы задаете. Это похоже на выяснение "У моего здания, безопасно?". Само здание не действительно "безопасно" или не - оно просто находится там. То, что действительно предназначено, "Я могу всегда доверять кому-либо в здании?", и ответ является почти всегда "нет", так как Вы никогда не можете защищать отлично от инсайдеров. Аналогично с сетями, что Вы действительно спрашиваете, "Я могу положить, что каждый пакет, который я получаю, является подлинным и что каждый пакет, который я отправляю, не будет прерван или заменен?". Это, конечно, необходимо понять, никогда не может быть верным, так как Вы никогда не можете реалистично свидетельствовать безопасность и степень доверия каждого компьютера в сети.
Это оставляет отсутствие безопасности, которая должна быть заполнена путем задавания немного отличающихся вопросов, которым можно ответить утвердительно, как "Я могу так или иначе удостовериться, что, когда я думаю, что отправляю пакеты на шлюз маршрутизаторов, это действительно - шлюз, который получает их и не некоторый другой хост?" или "Я могу удостовериться, что пакеты между моим хостом и моим сервером входа в систему/файла/интранет не прерываются и подслушали?". Ответы на эти вопросы - "Да"., с тех пор с IPsec или другими технологиями можно удостовериться, что, с кем Вы говорите в сети действительно, то, кто они говорят, что они, и что трафик между ними не слушают.
(Необходимо вывести из ума понятие, что IPsec является технологией "VPN". Это не - это - технология шифрования и аутентификации.)
Во-первых, Ваш комментарий Chris S выше разъясняется (действительно, изменяет), Ваш исходный вопрос значительно, и я надеюсь, что Вы простите мне редактирующий его в Ваш исходный вопрос.
Во-вторых, пустые записи не разрешены, как другие отметили.
В-третьих, я думаю способ сделать то, что Вы хотите, должен объявить local.example.com
быть надлежащим субдоменом:
local IN NS ns1.example.com
local IN NS ns2.example.com
при списке тех же двух серверов имен, поскольку Вы в настоящее время работаете за example.com (примечание: Я не знаю PowerDNS, таким образом, мои записи выше находятся в формате BIND). Затем на тех серверах имен (то, которое я предполагаю, является этим сервером имен) Вы объявляете zonefile для local.example.com, который содержит только хосты, которые Вы хотите разрешить, и никакая подстановочная запись.
Таким образом, когда люди ищут foo.example.com
, принятие этого не перечислено, оно будет соответствовать существующей подстановочной записи и возврату 1.2.3.4
(или безотносительно). Но когда люди ищут foo.local.example.com
, сервер имен записывает для local.example.com
будет возвращен и дальнейшая рекурсия произойдет с Вашим сервером имен, теперь смотрящим на zonefile для local.example.com
, и говоря (в отсутствие определенной записи для нечто и подстановочного знака в local.example.com) "нет, нет такой записи".
Было бы полезно знать точно, какие ответы Вы после. Первые две строки, заключенные в кавычки в Вашем вопросе, устанавливают ответ по умолчанию для домена и несопоставленный рекордный ответ также. Следовательно example.com будет обслуживаться запись, и anything-that-doesnt-exist.exmaple.com будет обслуживаться "*" запись. Они не необходимы, можно избавиться от обоих. Установка их для очищения значений является недопустимой конфигурацией (в большинстве систем).
Я не могу думать о способе "аннулировать" запись. Опустейте, записи не разрешены.
Возможно, *.example.com A 1.2.3.4
предотвратил бы переопределение записей .local.example.com? Это кажется, что PowerDNS неправильно себя ведет от спецификации. Определенный домен Having local.example.com должен препятствовать тому, чтобы подстановочный знак топал на чем-либо в том домене. Можно ли отправить полные зональные файлы? Это разрешило бы много небольших вопросов.
Необходимо посмотреть на определенное поведение сервера, который Вы выполняете, потому что эта опция последовательно не реализовалась:
Для заключения в кавычки из RFC 4592 много реализаций DNS отличаются, по-разному, из исходного определения подстановочных знаков.
Подстановочные знаки на практике
То, что Вы хотите, чтобы подстановочная запись сделала, исправить, поскольку я понимаю определение подстановочного использования (лучше для размышления о ней как о значении по умолчанию последней инстанции). Я попытаюсь найти время, чтобы читать разъяснение RFC и обновление здесь...