Jonas Meurer wrote:
hi,
ich habe auf meinem server, der nun seit einer weile online ist, bind
laufen, welches auch 2 domains und die 4 ips des server verwaltet.
mein problem ist nun, dass ich unmengen an dns-traffic habe, was ich
darauf zurückführe, dass bind jede anfrage freudig beantwortet, und
Moin Jonas
Am Sam, 12 Jun 2004, schrieb Jonas Meurer:
Andersrum gesagt: von aussen sollen nur die zwei wichtigen domains
auflösbar sein, von innen alles.
Und warum versuchst Du dann nicht den Ansatz, die Root-Zone zu
entfernen und die Forwarders einzuschränken?
Oder ist da auch ein
On 12/06/2004 Hagen Kühnel - debianlist wrote:
Andersrum gesagt: von aussen sollen nur die zwei wichtigen domains
auflösbar sein, von innen alles.
Und warum versuchst Du dann nicht den Ansatz, die Root-Zone zu
entfernen und die Forwarders einzuschränken?
Oder ist da auch ein allow-query
Hallo Jonas,
Am 2004-06-12 11:31:44, schrieb Jonas Meurer:
scheint exakt wie du gesagt hast, auch die forwarders sektion erlaubt
keine angabe von allow-query:
Jun 12 11:30:06 host named[11909]: loading configuration from '/etc/bind/named.conf'
Jun 12 11:30:06 host named[11909]:
Hallo Werner,
Werner Mahr, 11.06.2004 (d.m.y):
Am Freitag, 11. Juni 2004 18:01 schrieb Christian Schmidt:
Und warum hattest Du dann einen entsprechenden Dienst aktiviert? ;-)
Ich weiß bis heute nicht wo der Dienst herkam.
In solchen Situationen koennen dann wieder Tools wie fuser oder
Am Samstag, 12. Juni 2004 11:41 schrieb Christian Schmidt:
Hallo Werner,
Werner Mahr, 11.06.2004 (d.m.y):
Am Freitag, 11. Juni 2004 18:01 schrieb Christian Schmidt:
Und warum hattest Du dann einen entsprechenden Dienst aktiviert? ;-)
Ich weiß bis heute nicht wo der Dienst herkam.
In
* Werner Mahr [EMAIL PROTECTED] wrote:
Am Samstag, 12. Juni 2004 11:41 schrieb Christian Schmidt:
Werner Mahr, 11.06.2004 (d.m.y):
Ich weiß bis heute nicht wo der Dienst herkam.
In solchen Situationen koennen dann wieder Tools wie fuser oder lsof
hilfreich sein...
Jetz weiß ich leider
Hallo Werner,
Werner Mahr, 12.06.2004 (d.m.y):
Am Samstag, 12. Juni 2004 11:41 schrieb Christian Schmidt:
Hallo Werner,
Werner Mahr, 11.06.2004 (d.m.y):
Am Freitag, 11. Juni 2004 18:01 schrieb Christian Schmidt:
Und warum hattest Du dann einen entsprechenden Dienst aktiviert? ;-)
Am Samstag, 12. Juni 2004 15:53 schrieb Marcus Frings:
In solchen Situationen koennen dann wieder Tools wie fuser oder lsof
hilfreich sein...
Jetz weiß ich leider nicht wie du das meinst.
Dienst- und Prozesszuordnung.
Das ist mir schon klar, ich wusste aber nicht, wie ich die auf einen
Am Sam, 12 Jun 2004, schrieb Jonas Meurer:
On 12/06/2004 Hagen Kühnel - debianlist wrote:
Und warum versuchst Du dann nicht den Ansatz, die Root-Zone zu
entfernen und die Forwarders einzuschränken?
Oder ist da auch ein allow-query nicht erlaubt?
scheint exakt wie du gesagt hast, auch
On 12/06/2004 Hagen Kühnel - debianlist wrote:
Dann hilft eben nur noch der Paukenschlag. Nur noch die eigenen
Zonen werden bedient (die root-Zone wird entfernt). In
/etc/resolv.conf nüssen dann eben Nameserver des Providers rein, so
das der Server selber auflösen kann, bind jedoch nicht.
Moin,
On Fri, Jun 11, 2004 at 12:04:26AM +0200, Hagen K?hnel - debianlist wrote:
Am Don, 10 Jun 2004, schrieb Jonas Meurer:
[...]
was bedeutet 'hint' zone, kann ich den eintrag einfach auskommentieren?
mein Woerterbuch sagt: hint : Tip, Wink, Andeutung, Fingerzeig, Anspielung.
Vielleicht
* Hagen Kühnel - HagK:
Wenn er tatsächlich zwei Netzwerkkarten hat, kann man (AFAIK mit
listen) auch die Interfaces definieren, an denen er lauscht. Das ist
übersichtlicher, als eine komplexe Konfiguration.
Wenn ich die Doku richtig verstehe, will »listen« IP-Bereiche, keine
Interfaces. Aber
* Werner Mahr:
Wo man nicht weiß das was lauscht, kann mans auch nicht abschalten. Ein
Paketfilter ist zwar nicht immer erforderlich, kann sowas aber zumindest
entschärfen.
Man sollte aber wissen, was lauscht. Ab und zu ein nmap von außen auf
einen eigenen, ans Internet angebundenen Rechner
* Jonas Meurer:
dann beantwortet er aber auch anfragen für die domains für die er
zuständig ist nur aus dem internen netz, richtig? das ist ja nicht was
ich will.
Dann hatte ich Dich falsch verstanden, sorry.
Grüße,
kro
--
Veteran of the Bermuda Triangle Expeditionary Force 1990-1951
Am Donnerstag, 10. Juni 2004 23:59 schrieb Andreas Kroschel:
* Werner Mahr:
Wo man nicht weiß das was lauscht, kann mans auch nicht abschalten. Ein
Paketfilter ist zwar nicht immer erforderlich, kann sowas aber zumindest
entschärfen.
Man sollte aber wissen, was lauscht. Ab und zu ein nmap
* Werner Mahr:
Man sollte aber wissen, was lauscht. Ab und zu ein nmap von außen auf
einen eigenen, ans Internet angebundenen Rechner halte ich für Pflicht.
Das wäre empfehlenswert, aber man hat nicht immer die Möglichkeit dazu.
Muß man auch nicht immer, aber z.B. nach der Installation von
Am Freitag, 11. Juni 2004 11:25 schrieb Andreas Kroschel:
* Werner Mahr:
Man sollte aber wissen, was lauscht. Ab und zu ein nmap von außen auf
einen eigenen, ans Internet angebundenen Rechner halte ich für Pflicht.
Das wäre empfehlenswert, aber man hat nicht immer die Möglichkeit dazu.
Werner Mahr [EMAIL PROTECTED] writes:
Am Freitag, 11. Juni 2004 11:25 schrieb Andreas Kroschel:
* Werner Mahr:
Man sollte aber wissen, was lauscht. Ab und zu ein nmap von außen auf
einen eigenen, ans Internet angebundenen Rechner halte ich für Pflicht.
Das wäre empfehlenswert, aber man
* Werner Mahr:
Den Betreffenden Dämon hatte ich nicht installiert (zumindest wusste
ich nichts davon), aber bei den Webseiten gibt es nicht viele die mir
zusagen. Die letzte die ich ausprobiert habe, hat meinen Webserver
einfach übersehen.
http://www.linux-sec.net/Audit/nmap.test.gwif.html
Hallo Werner,
Werner Mahr, 10.06.2004 (d.m.y):
Am Donnerstag, 10. Juni 2004 21:42 schrieb Christian Schmidt:
Das mag sein...
Aber Du laesst Deine Haustuer doch auch nicht die ganze Zeit offen
stehen und verlaesst Dich darauf, dass alle anderen das vor Deinem
Haus haengende Schild Hier
Hallo Werner,
Werner Mahr, 11.06.2004 (d.m.y):
Am Donnerstag, 10. Juni 2004 23:59 schrieb Andreas Kroschel:
* Werner Mahr:
Wo man nicht weiß das was lauscht, kann mans auch nicht abschalten. Ein
Paketfilter ist zwar nicht immer erforderlich, kann sowas aber zumindest
entschärfen.
Am Freitag, 11. Juni 2004 18:01 schrieb Christian Schmidt:
Sagen wir es mal so, ich habe auch lange Zeit lpc nach drausen offen
gehabt, ich weiß zwar immernoch wofür das ist, aber es jeißt irgendwas
mit line printer, und ich habe mit sicherheit keinen Drucker an meinem
Server.
Und warum
Hallo,
Werner Mahr [EMAIL PROTECTED] schrieb:
Nein, aber wenn ich vor die offene Tür einen Türsteher stelle, kommt auch
keiner rein.
Ich habe gerne sowohl eine abgeschlossene Tür als auch einen Türsteher.
Selbst, wenn ich die Tür mal versehentlich auflasse oder der Türsteher
gerade auf
Am Freitag, 11. Juni 2004 20:14 schrieb Spiro Trikaliotis:
Hallo,
Werner Mahr [EMAIL PROTECTED] schrieb:
Nein, aber wenn ich vor die offene Tür einen Türsteher stelle, kommt auch
keiner rein.
Ich habe gerne sowohl eine abgeschlossene Tür als auch einen Türsteher.
Selbst, wenn ich die Tür
hi nochmal,
mh, da ich mir nicht vorstellen kann, dass das nicht geht, versuche ich
es nochmal klarer zu formulieren:
Bind auf meinem server verwaltet 2 domains, hat allerdings auch die
normale . zone (mit root-nameservern) eingetragen, und kann somit jede
domain auflösen.
Ich möchte auch gerne,
hi,
ich habe auf meinem server, der nun seit einer weile online ist, bind
laufen, welches auch 2 domains und die 4 ips des server verwaltet.
mein problem ist nun, dass ich unmengen an dns-traffic habe, was ich
darauf zurückführe, dass bind jede anfrage freudig beantwortet, und
somit als offener
* Jonas Meurer:
mein problem ist nun, dass ich unmengen an dns-traffic habe, was ich
darauf zurückführe, dass bind jede anfrage freudig beantwortet, und
somit als offener dnsserver jedem zugänglich ist. beweis:
# host www.heise.de meinserver
Using domain server:
Name: meinserver
Address:
On 10/06/2004 Andreas Kroschel wrote:
# host www.heise.de meinserver
Using domain server:
Name: meinserver
Address: 62.???.???.???#53
Aliases:
Hast Du die Anfrage von »außen« gestellt? Daß er fürs interne Netz einen
Cache bereitstellt, kann ja gewünscht sein.
ja, ich habe die
Am Don, 10 Jun 2004, schrieb Andreas Kroschel:
* Jonas Meurer:
mein problem ist nun, dass ich unmengen an dns-traffic habe, was ich
darauf zurückführe, dass bind jede anfrage freudig beantwortet, und
somit als offener dnsserver jedem zugänglich ist. beweis:
das wäre interessant damit
Am Don, 10 Jun 2004, schrieb Jonas Meurer:
,
| acl home {192.168.0.0/24; 10.0.0.0/8; 127.0.0.1;};
| options {
| allow-query { home;};
| };
`
dann beantwortet er aber auch anfragen für die domains für die er
zuständig ist nur aus dem internen netz, richtig? das ist ja
Moin,
On Thu, Jun 10, 2004 at 11:56:42AM +0200, Jonas Meurer wrote:
[...]
nun meine frage, wie kann ich das ausstellen?
man bind und/oder man named.conf
Ansonsten den Port 53 in der Firewall dichtmachen, fuer TCP und UDP.
Gruss
-- hgb
--
Haeufig gestellte Fragen und Antworten
On 10/06/2004 Hagen Kühnel - debianlist wrote:
nur nicht-lokale domains
(wozu er zb. root-server anfragen benötigt)
ausschließlich für localhost auflöst.
zone . {
allow-query{ 127.0.0.1; };
};
named.conf:
zone . {
allow-query{ 127.0.0.1; };
type hint;
Hallo Hans-Georg,
Hans-Georg Bork, 10.06.2004 (d.m.y):
On Thu, Jun 10, 2004 at 11:56:42AM +0200, Jonas Meurer wrote:
[...]
nun meine frage, wie kann ich das ausstellen?
man bind und/oder man named.conf
Ansonsten den Port 53 in der Firewall dichtmachen, fuer TCP und UDP.
Ganz
Am Donnerstag, 10. Juni 2004 17:48 schrieb Christian Schmidt:
Ansonsten den Port 53 in der Firewall dichtmachen, fuer TCP und UDP.
Ganz schlechte Idee...
Warum? Ob er jetz mit Hilfe der Config nur ermöglicht, von einem Interface
zuzugreifen, oder ob er einfach den Zugriff von allen anderen
On Thu, Jun 10, 2004 at 07:45:57PM +0200, Werner Mahr wrote:
[...]
Warum? Ob er jetz mit Hilfe der Config nur ermöglicht, von einem Interface
zuzugreifen, oder ob er einfach den Zugriff von allen anderen Interfaces
unterbindet (bei Bind passender als verbieten) bleibt sich im Endeffekt doch
Hallo Werner,
Werner Mahr, 10.06.2004 (d.m.y):
Am Donnerstag, 10. Juni 2004 17:48 schrieb Christian Schmidt:
Ansonsten den Port 53 in der Firewall dichtmachen, fuer TCP und UDP.
Ganz schlechte Idee...
Warum? Ob er jetz mit Hilfe der Config nur ermöglicht, von einem Interface
Am Donnerstag, 10. Juni 2004 21:42 schrieb Christian Schmidt:
Das mag sein...
Aber Du laesst Deine Haustuer doch auch nicht die ganze Zeit offen
stehen und verlaesst Dich darauf, dass alle anderen das vor Deinem
Haus haengende Schild Hier ist abgeschlossen beachten, oder?
Nein, aber wenn ich
Am Donnerstag, 10. Juni 2004 21:28 schrieb Hans-Georg Bork:
On Thu, Jun 10, 2004 at 07:45:57PM +0200, Werner Mahr wrote:
[...]
Warum? Ob er jetz mit Hilfe der Config nur ermöglicht, von einem
Interface zuzugreifen, oder ob er einfach den Zugriff von allen anderen
Interfaces unterbindet
Am Don, 10 Jun 2004, schrieb Jonas Meurer:
zone . {
allow-query{ 127.0.0.1; };
type hint;
file /etc/bind/db.root;
};
logs:
named[4654]: loading configuration from '/etc/bind/named.conf'
named[4654]: /etc/bind/named.conf:13: option 'allow-query' is not allowed in
On 11/06/2004 Hagen Kühnel - debianlist wrote:
Am Don, 10 Jun 2004, schrieb Jonas Meurer:
zone . {
allow-query{ 127.0.0.1; };
type hint;
file /etc/bind/db.root;
};
logs:
named[4654]: loading configuration from '/etc/bind/named.conf'
named[4654]:
41 matches
Mail list logo