Re: bind offener dnsserver?
Jonas Meurer wrote:
hi,
ich habe auf meinem server, der nun seit einer weile online ist, bind
laufen, welches auch 2 domains und die 4 ips des server verwaltet.
mein problem ist nun, dass ich unmengen an dns-traffic habe, was ich
darauf zurückführe, dass bind jede anfrage freudig beantwortet, und
somit als offener dnsserver jedem zugänglich ist. beweis:
Sieh Dir mal
options {
recursion no;
};
an...
das wäre interessant damit ich den server trotzdem als dns-server für
meinem heim-pc benutzen kann.
Auf Deinem Rechner und für die lokale Auflösung auf dem Server solltest
Du vielleicht die NS Deines ISPs verwenden - macht es IMHO einfacher...
Ralf
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: bind: nicht-lokale domains nur lokal auflösen (was: bind offener dnsserver)
Moin Jonas Am Sam, 12 Jun 2004, schrieb Jonas Meurer: Andersrum gesagt: von aussen sollen nur die zwei wichtigen domains auflösbar sein, von innen alles. Und warum versuchst Du dann nicht den Ansatz, die Root-Zone zu entfernen und die Forwarders einzuschränken? Oder ist da auch ein allow-query nicht erlaubt? Dann würde er doch bei Anfragen von außen mit NXDOMAIN antworten, bei Anfragen der allow-IPs jedoch den forwarder befragen. Hagen -- 22/ 81 Reich ist man nicht durch das, was man besitzt, sondern durch das, was man mit Würde zu entbehren weiß. Immanuel Kant -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: bind: nicht-lokale domains nur lokal auflösen (was: bind offener dnsserver)
On 12/06/2004 Hagen Kühnel - debianlist wrote: Andersrum gesagt: von aussen sollen nur die zwei wichtigen domains auflösbar sein, von innen alles. Und warum versuchst Du dann nicht den Ansatz, die Root-Zone zu entfernen und die Forwarders einzuschränken? Oder ist da auch ein allow-query nicht erlaubt? scheint exakt wie du gesagt hast, auch die forwarders sektion erlaubt keine angabe von allow-query: Jun 12 11:30:06 host named[11909]: loading configuration from '/etc/bind/named.conf' Jun 12 11:30:06 host named[11909]: /etc/bind/named.conf.options:19: expected IP address near 'allow-query' Jun 12 11:30:06 host named[11909]: loading configuration: unexpected token Jun 12 11:30:06 host named[11909]: exiting (due to fatal error) Dann würde er doch bei Anfragen von außen mit NXDOMAIN antworten, bei Anfragen der allow-IPs jedoch den forwarder befragen. ja, wenn ... ;) bye jonas
Re: bind: nicht-lokale domains nur lokal auflösen (was: bind offener dnsserver)
Hallo Jonas, Am 2004-06-12 11:31:44, schrieb Jonas Meurer: scheint exakt wie du gesagt hast, auch die forwarders sektion erlaubt keine angabe von allow-query: Jun 12 11:30:06 host named[11909]: loading configuration from '/etc/bind/named.conf' Jun 12 11:30:06 host named[11909]: /etc/bind/named.conf.options:19: expected IP address near 'allow-query' Jun 12 11:30:06 host named[11909]: loading configuration: unexpected token Jun 12 11:30:06 host named[11909]: exiting (due to fatal error) Würde sagen, das du auf der Mailingliste mailto:[EMAIL PROTECTED] wohl besser aufgehoben bist. bye jonas Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: bind offener dnsserver?
Hallo Werner, Werner Mahr, 11.06.2004 (d.m.y): Am Freitag, 11. Juni 2004 18:01 schrieb Christian Schmidt: Und warum hattest Du dann einen entsprechenden Dienst aktiviert? ;-) Ich weiß bis heute nicht wo der Dienst herkam. In solchen Situationen koennen dann wieder Tools wie fuser oder lsof hilfreich sein... Gruss, Christian -- PS: Es heißt Country-Burger und schmeckt wie Fleisch! -- Mike Croon signature.asc Description: Digital signature
Re: bind offener dnsserver?
Am Samstag, 12. Juni 2004 11:41 schrieb Christian Schmidt: Hallo Werner, Werner Mahr, 11.06.2004 (d.m.y): Am Freitag, 11. Juni 2004 18:01 schrieb Christian Schmidt: Und warum hattest Du dann einen entsprechenden Dienst aktiviert? ;-) Ich weiß bis heute nicht wo der Dienst herkam. In solchen Situationen koennen dann wieder Tools wie fuser oder lsof hilfreich sein... Jetz weiß ich leider nicht wie du das meinst. -- MfG usw. Werner Mahr registered Linuxuser: 295882
Re: bind offener dnsserver?
* Werner Mahr [EMAIL PROTECTED] wrote: Am Samstag, 12. Juni 2004 11:41 schrieb Christian Schmidt: Werner Mahr, 11.06.2004 (d.m.y): Ich weiß bis heute nicht wo der Dienst herkam. In solchen Situationen koennen dann wieder Tools wie fuser oder lsof hilfreich sein... Jetz weiß ich leider nicht wie du das meinst. Dienst- und Prozesszuordnung. Gruß, Marcus -- My unofficial backports for Debian GNU/Linux Woody: http://www.gothgoose.net/debian/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: bind offener dnsserver?
Hallo Werner, Werner Mahr, 12.06.2004 (d.m.y): Am Samstag, 12. Juni 2004 11:41 schrieb Christian Schmidt: Hallo Werner, Werner Mahr, 11.06.2004 (d.m.y): Am Freitag, 11. Juni 2004 18:01 schrieb Christian Schmidt: Und warum hattest Du dann einen entsprechenden Dienst aktiviert? ;-) Ich weiß bis heute nicht wo der Dienst herkam. In solchen Situationen koennen dann wieder Tools wie fuser oder lsof hilfreich sein... Jetz weiß ich leider nicht wie du das meinst. Wenn Dir (z.B. dank eines Portscans) bekannt ist, dass auf Deinem Rechner irgendetwas an Port xyz lauscht, kannst Du z.B. diese beiden Tools verwenden, um herauszubekommen, welcher Prozess dafuer verantwortlich ist. Simples Beispiel: server:~# fuser 80/tcp 80/tcp:464 752 server:~# ps ax|grep 464 464 ?S 0:00 /usr/sbin/apache Gruss, Christian -- Was ist der Unterschied zwischen einem Motorrad und dem A-Klasse Mercedes? Das Motorrad kippt zur Kurveninnenseite hin um. signature.asc Description: Digital signature
Re: bind offener dnsserver?
Am Samstag, 12. Juni 2004 15:53 schrieb Marcus Frings: In solchen Situationen koennen dann wieder Tools wie fuser oder lsof hilfreich sein... Jetz weiß ich leider nicht wie du das meinst. Dienst- und Prozesszuordnung. Das ist mir schon klar, ich wusste aber nicht, wie ich die auf einen bestimmten Port loslassen kann. -- MfG usw. Werner Mahr registered Linuxuser: 295882
Re: bind: nicht-lokale domains nur lokal auflösen (was: bind offener dnsserver)
Am Sam, 12 Jun 2004, schrieb Jonas Meurer: On 12/06/2004 Hagen Kühnel - debianlist wrote: Und warum versuchst Du dann nicht den Ansatz, die Root-Zone zu entfernen und die Forwarders einzuschränken? Oder ist da auch ein allow-query nicht erlaubt? scheint exakt wie du gesagt hast, auch die forwarders sektion erlaubt keine angabe von allow-query: Kann dieser Bind überhaupt irgendetwas? Dann hilft eben nur noch der Paukenschlag. Nur noch die eigenen Zonen werden bedient (die root-Zone wird entfernt). In /etc/resolv.conf nüssen dann eben Nameserver des Providers rein, so das der Server selber auflösen kann, bind jedoch nicht. Das funktioniert. Hagen -- 04/ 81 W.I.Uljanow - Lernen, lernen, nochmals lernen -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: bind: nicht-lokale domains nur lokal auflösen (was: bind offener dnsserver)
On 12/06/2004 Hagen Kühnel - debianlist wrote: Dann hilft eben nur noch der Paukenschlag. Nur noch die eigenen Zonen werden bedient (die root-Zone wird entfernt). In /etc/resolv.conf nüssen dann eben Nameserver des Providers rein, so das der Server selber auflösen kann, bind jedoch nicht. Das funktioniert. jo, ich weiß ;-) werde ich auch als endlösung akzeptieren, wenn die bind-user mailingliste keine bessere hergibt. bye jonas
Re: bind offener dnsserver?
Moin, On Fri, Jun 11, 2004 at 12:04:26AM +0200, Hagen K?hnel - debianlist wrote: Am Don, 10 Jun 2004, schrieb Jonas Meurer: [...] was bedeutet 'hint' zone, kann ich den eintrag einfach auskommentieren? mein Woerterbuch sagt: hint : Tip, Wink, Andeutung, Fingerzeig, Anspielung. Vielleicht mal das HOWTO lesen? http://langfeldt.net/DNS-HOWTO/ Auch nuetzlich: http://caliban.physics.utoronto.ca/neufeld/Domain.HOWTO/ Gruss -- hgb -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: bind offener dnsserver?
* Hagen Kühnel - HagK: Wenn er tatsächlich zwei Netzwerkkarten hat, kann man (AFAIK mit listen) auch die Interfaces definieren, an denen er lauscht. Das ist übersichtlicher, als eine komplexe Konfiguration. Wenn ich die Doku richtig verstehe, will »listen« IP-Bereiche, keine Interfaces. Aber so läßt sich ja ebenfalls jede gewünschte Einschränkung formulieren. Grüße, kro -- Veteran of the Bermuda Triangle Expeditionary Force 1990-1951 (PGP/GPG 0xCE248A25) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: bind offener dnsserver?
* Werner Mahr: Wo man nicht weiß das was lauscht, kann mans auch nicht abschalten. Ein Paketfilter ist zwar nicht immer erforderlich, kann sowas aber zumindest entschärfen. Man sollte aber wissen, was lauscht. Ab und zu ein nmap von außen auf einen eigenen, ans Internet angebundenen Rechner halte ich für Pflicht. Grüße, kro -- Veteran of the Bermuda Triangle Expeditionary Force 1990-1951 (PGP/GPG 0xCE248A25) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: bind offener dnsserver?
* Jonas Meurer: dann beantwortet er aber auch anfragen für die domains für die er zuständig ist nur aus dem internen netz, richtig? das ist ja nicht was ich will. Dann hatte ich Dich falsch verstanden, sorry. Grüße, kro -- Veteran of the Bermuda Triangle Expeditionary Force 1990-1951 (PGP/GPG 0xCE248A25) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: bind offener dnsserver?
Am Donnerstag, 10. Juni 2004 23:59 schrieb Andreas Kroschel: * Werner Mahr: Wo man nicht weiß das was lauscht, kann mans auch nicht abschalten. Ein Paketfilter ist zwar nicht immer erforderlich, kann sowas aber zumindest entschärfen. Man sollte aber wissen, was lauscht. Ab und zu ein nmap von außen auf einen eigenen, ans Internet angebundenen Rechner halte ich für Pflicht. Das wäre empfehlenswert, aber man hat nicht immer die Möglichkeit dazu. -- MfG usw. Werner Mahr registered Linuxuser: 295882
Re: bind offener dnsserver?
* Werner Mahr: Man sollte aber wissen, was lauscht. Ab und zu ein nmap von außen auf einen eigenen, ans Internet angebundenen Rechner halte ich für Pflicht. Das wäre empfehlenswert, aber man hat nicht immer die Möglichkeit dazu. Muß man auch nicht immer, aber z.B. nach der Installation von Dämonen oder einem dist-upgrade. Außerdem gibt es einige Webdienste, falls man keine Möglichkeit für einen Remote-Zugriff hat. Grüße, kro -- Veteran of the Bermuda Triangle Expeditionary Force 1990-1951 (PGP/GPG 0xCE248A25) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: bind offener dnsserver?
Am Freitag, 11. Juni 2004 11:25 schrieb Andreas Kroschel: * Werner Mahr: Man sollte aber wissen, was lauscht. Ab und zu ein nmap von außen auf einen eigenen, ans Internet angebundenen Rechner halte ich für Pflicht. Das wäre empfehlenswert, aber man hat nicht immer die Möglichkeit dazu. Muß man auch nicht immer, aber z.B. nach der Installation von Dämonen oder einem dist-upgrade. Außerdem gibt es einige Webdienste, falls man keine Möglichkeit für einen Remote-Zugriff hat. Den Betreffenden Dämon hatte ich nicht installiert (zumindest wusste ich nichts davon), aber bei den Webseiten gibt es nicht viele die mir zusagen. Die letzte die ich ausprobiert habe, hat meinen Webserver einfach übersehen. -- MfG usw. Werner Mahr registered Linuxuser: 295882
Re: bind offener dnsserver?
Werner Mahr [EMAIL PROTECTED] writes: Am Freitag, 11. Juni 2004 11:25 schrieb Andreas Kroschel: * Werner Mahr: Man sollte aber wissen, was lauscht. Ab und zu ein nmap von außen auf einen eigenen, ans Internet angebundenen Rechner halte ich für Pflicht. Das wäre empfehlenswert, aber man hat nicht immer die Möglichkeit dazu. Muß man auch nicht immer, aber z.B. nach der Installation von Dämonen oder einem dist-upgrade. Außerdem gibt es einige Webdienste, falls man keine Möglichkeit für einen Remote-Zugriff hat. Den Betreffenden Dämon hatte ich nicht installiert (zumindest wusste ich nichts davon), aber bei den Webseiten gibt es nicht viele die mir zusagen. Die letzte die ich ausprobiert habe, hat meinen Webserver einfach übersehen. http://www.linux-sec.net/Audit/nmap.test.html HTH, Martin
Re: bind offener dnsserver?
* Werner Mahr: Den Betreffenden Dämon hatte ich nicht installiert (zumindest wusste ich nichts davon), aber bei den Webseiten gibt es nicht viele die mir zusagen. Die letzte die ich ausprobiert habe, hat meinen Webserver einfach übersehen. http://www.linux-sec.net/Audit/nmap.test.gwif.html macht keinen schlechten Eindruck. Grüße, kro -- Veteran of the Bermuda Triangle Expeditionary Force 1990-1951 (PGP/GPG 0xCE248A25) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: bind offener dnsserver?
Hallo Werner, Werner Mahr, 10.06.2004 (d.m.y): Am Donnerstag, 10. Juni 2004 21:42 schrieb Christian Schmidt: Das mag sein... Aber Du laesst Deine Haustuer doch auch nicht die ganze Zeit offen stehen und verlaesst Dich darauf, dass alle anderen das vor Deinem Haus haengende Schild Hier ist abgeschlossen beachten, oder? Nein, aber wenn ich vor die offene Tür einen Türsteher stelle, kommt auch keiner rein. Doch: Dazu muss man dem Tuersteher nur etwas Pfeffer in die Augen streuen. Denn: Wo nichts lauscht, kann auch nichts exploitet werden. Sagen wir es mal so, ich habe auch lange Zeit lpc nach drausen offen gehabt, ich weiß zwar immernoch wofür das ist, aber es jeißt irgendwas mit line printer, und ich habe mit sicherheit keinen Drucker an meinem Server. Und warum hattest Du dann einen entsprechenden Dienst aktiviert? ;-) Wo man nicht weiß das was lauscht, kann mans auch nicht abschalten. Ein Paketfilter ist zwar nicht immer erforderlich, kann sowas aber zumindest entschärfen. Man kann sich natuerlich auch den Output von netstat ansehen und ominoesen offenen Ports nachspueren. Oder den Rechner mal von aussen portscannen (lassen). Dann _weiss_ man auch, was wo lauscht. Gruss, Christian -- Keiner soll hungern ohne zu frieren. signature.asc Description: Digital signature
Re: bind offener dnsserver?
Hallo Werner, Werner Mahr, 11.06.2004 (d.m.y): Am Donnerstag, 10. Juni 2004 23:59 schrieb Andreas Kroschel: * Werner Mahr: Wo man nicht weiß das was lauscht, kann mans auch nicht abschalten. Ein Paketfilter ist zwar nicht immer erforderlich, kann sowas aber zumindest entschärfen. Man sollte aber wissen, was lauscht. Ab und zu ein nmap von außen auf einen eigenen, ans Internet angebundenen Rechner halte ich für Pflicht. Das wäre empfehlenswert, aber man hat nicht immer die Möglichkeit dazu. Dann kann man immer noch netstat benutzen. Gruss, Christian -- Neue Meldungen von Windows 2000: Windows Virus-scan 1.0. 'Windows gefunden' soll es entfernt werden, um Systemabsturz zu verhindern (j/n)? signature.asc Description: Digital signature
Re: bind offener dnsserver?
Am Freitag, 11. Juni 2004 18:01 schrieb Christian Schmidt: Sagen wir es mal so, ich habe auch lange Zeit lpc nach drausen offen gehabt, ich weiß zwar immernoch wofür das ist, aber es jeißt irgendwas mit line printer, und ich habe mit sicherheit keinen Drucker an meinem Server. Und warum hattest Du dann einen entsprechenden Dienst aktiviert? ;-) Ich weiß bis heute nicht wo der Dienst herkam. Wo man nicht weiß das was lauscht, kann mans auch nicht abschalten. Ein Paketfilter ist zwar nicht immer erforderlich, kann sowas aber zumindest entschärfen. Man kann sich natuerlich auch den Output von netstat ansehen und ominoesen offenen Ports nachspueren. Oder den Rechner mal von aussen portscannen (lassen). Dann _weiss_ man auch, was wo lauscht. Mittlerweile mache ich das auch, ich hatte nur solche Sachen erstmal verschoben, da ich noch ein paar andere Probleme hatte. -- MfG usw. Werner Mahr registered Linuxuser: 295882
Trsteher, Tren und Toiletten (Re: bind offener dnsserver?)
Hallo, Werner Mahr [EMAIL PROTECTED] schrieb: Nein, aber wenn ich vor die offene Tür einen Türsteher stelle, kommt auch keiner rein. Ich habe gerne sowohl eine abgeschlossene Tür als auch einen Türsteher. Selbst, wenn ich die Tür mal versehentlich auflasse oder der Türsteher gerade auf Toilette ist - sprich: Ich habe mich in der Konfiguration irgendwie vertan - habe ich eine realistische Chance, dass nicht beides gleichzeitig passiert ist, sprich, dass ich trotzdem noch sicher bleibe. Kind regards, Spiro. -- Spiro R. Trikaliotis http://www.trikaliotis.net/ http://www.viceteam.org/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Trsteher, Tren und Toiletten (Re: bind offener dnsserver?)
Am Freitag, 11. Juni 2004 20:14 schrieb Spiro Trikaliotis: Hallo, Werner Mahr [EMAIL PROTECTED] schrieb: Nein, aber wenn ich vor die offene Tür einen Türsteher stelle, kommt auch keiner rein. Ich habe gerne sowohl eine abgeschlossene Tür als auch einen Türsteher. Selbst, wenn ich die Tür mal versehentlich auflasse oder der Türsteher gerade auf Toilette ist - sprich: Ich habe mich in der Konfiguration irgendwie vertan - habe ich eine realistische Chance, dass nicht beides gleichzeitig passiert ist, sprich, dass ich trotzdem noch sicher bleibe. Wobei ein Bind der läuft nicht ständig umkonfiguriert wird, eine Firewall ebenso wenig, und ein Nameserver der Anfragen beantwortet auch kein Sicherheitsproblem darstellt. -- MfG usw. Werner Mahr registered Linuxuser: 295882
bind: nicht-lokale domains nur lokal auflösen (was: bind offener dnsserver)
hi nochmal, mh, da ich mir nicht vorstellen kann, dass das nicht geht, versuche ich es nochmal klarer zu formulieren: Bind auf meinem server verwaltet 2 domains, hat allerdings auch die normale . zone (mit root-nameservern) eingetragen, und kann somit jede domain auflösen. Ich möchte auch gerne, dass das so bleibt, nur sollten nicht-lokale domains - also alle ausser den beiden für die er 1st dnsserver ist - ausschließlich für localhost aufgelöst werden. Andersrum gesagt: von aussen sollen nur die zwei wichtigen domains auflösbar sein, von innen alles. Das Problem in einem einfachen allow-query liegt darin, dass es in zonen des type 'hint' prinzipiell nicht möglich ist, und die root-zone nunmal vom type 'hint' ist ;-( und nur zur klarstellung: weder firewall noch globale interface beschränkungen bringen mir was, da 2 domains für alle welt auf anfrage aufgelöst werden müssen. bye jonas
bind offener dnsserver?
hi, ich habe auf meinem server, der nun seit einer weile online ist, bind laufen, welches auch 2 domains und die 4 ips des server verwaltet. mein problem ist nun, dass ich unmengen an dns-traffic habe, was ich darauf zurückführe, dass bind jede anfrage freudig beantwortet, und somit als offener dnsserver jedem zugänglich ist. beweis: # host www.heise.de meinserver Using domain server: Name: meinserver Address: 62.???.???.???#53 Aliases: www.heise.de has address 193.99.144.71 nun meine frage, wie kann ich das ausstellen? gibt es eine möglichkeit, nicht einfach den eintrag für die db.root rauszunehmen, sondern weiterhin alles aufzulösen, nur für alle requests die nicht lokale domains betreffen auth regeln aufzustellen? das wäre interessant damit ich den server trotzdem als dns-server für meinem heim-pc benutzen kann. anyway, die schnellste und umfassenste lösung ist einfach nichts mehr ausser den lokalen domains aufzulösen, also den root dns server eintrag zu entfernen, richtig? bye jonas
Re: bind offener dnsserver?
* Jonas Meurer:
mein problem ist nun, dass ich unmengen an dns-traffic habe, was ich
darauf zurückführe, dass bind jede anfrage freudig beantwortet, und
somit als offener dnsserver jedem zugänglich ist. beweis:
# host www.heise.de meinserver
Using domain server:
Name: meinserver
Address: 62.???.???.???#53
Aliases:
Hast Du die Anfrage von »außen« gestellt? Daß er fürs interne Netz einen
Cache bereitstellt, kann ja gewünscht sein.
das wäre interessant damit ich den server trotzdem als dns-server für
meinem heim-pc benutzen kann.
Ich würde so etwas wie
,
| acl home {192.168.0.0/24; 10.0.0.0/8; 127.0.0.1;};
| options {
| // sonstiges Zeuch, z.B. forwarders auf den DNS des ISPs
| auth-nxdomain no;
| allow-query { home;};
| listen-on {home;};
| allow-transfer { none;};
| };
`
in die config aufnehmen, Subnetze natürlich nach Deinen Gegebenheiten.
Dann beantwortet er nur Anfragen aus dem internen Netz.
Grüße,
kro
--
Veteran of the Bermuda Triangle Expeditionary Force 1990-1951
(PGP/GPG 0xCE248A25)
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: bind offener dnsserver?
On 10/06/2004 Andreas Kroschel wrote:
# host www.heise.de meinserver
Using domain server:
Name: meinserver
Address: 62.???.???.???#53
Aliases:
Hast Du die Anfrage von »außen« gestellt? Daß er fürs interne Netz einen
Cache bereitstellt, kann ja gewünscht sein.
ja, ich habe die anfrage von meiner workstation zu hause aus gestellt.
,
| acl home {192.168.0.0/24; 10.0.0.0/8; 127.0.0.1;};
| options {
| // sonstiges Zeuch, z.B. forwarders auf den DNS des ISPs
| auth-nxdomain no;
| allow-query { home;};
| listen-on {home;};
| allow-transfer { none;};
| };
`
in die config aufnehmen, Subnetze natürlich nach Deinen Gegebenheiten.
Dann beantwortet er nur Anfragen aus dem internen Netz.
dann beantwortet er aber auch anfragen für die domains für die er
zuständig ist nur aus dem internen netz, richtig? das ist ja nicht was
ich will.
ein anderes problem ist, dass mein home-pc eine dynamische ip hat ;-P
aber egal, für den anfang wäre es schön, wenn er alle domains mit
eigener konfiguration allen verfügbar macht, nur nicht-lokale domains
(wozu er zb. root-server anfragen benötigt) ausschließlich für localhost
auflöst.
bye
jonas
Re: bind offener dnsserver?
Am Don, 10 Jun 2004, schrieb Andreas Kroschel:
* Jonas Meurer:
mein problem ist nun, dass ich unmengen an dns-traffic habe, was ich
darauf zurückführe, dass bind jede anfrage freudig beantwortet, und
somit als offener dnsserver jedem zugänglich ist. beweis:
das wäre interessant damit ich den server trotzdem als dns-server für
meinem heim-pc benutzen kann.
| acl home {192.168.0.0/24; 10.0.0.0/8; 127.0.0.1;};
in die config aufnehmen, Subnetze natürlich nach Deinen Gegebenheiten.
Dann beantwortet er nur Anfragen aus dem internen Netz.
Ich habe das eher so verstanden, dass es sich um eine Art
root-Server handelt, man selbst greift via dial-up darauf zu.
Wenn er tatsächlich zwei Netzwerkkarten hat, kann man (AFAIK mit
listen) auch die Interfaces definieren, an denen er lauscht. Das ist
übersichtlicher, als eine komplexe Konfiguration.
Ohne genauere Strukturkentnisse kann man aber wie so oft nur
Vermutungen anstellen, was der OP meint. Und vermuten würde ich,
dass er für sich einen SSH- oder VPN-Tunnel benötigt um an die
interne Schnittstelle heranzukommen, ansonsten beantwortet der DNS
nur Anfragen an die eigenen Domains.
Leider sind auch die unmengen an dns-traffic nicht genau voluminös
spezifiziert und wahrscheinlich auch nicht analysiert. Ich vermute,
der OP weiß nicht, wer nach was den Bind X befragt, da er noch kein
Logging eingeschaltet hat.
Hagen
--
79/ 81
Da nicht sicher ist, ob der Computer existiert, existiert möglicherweise
auch das Problem nicht. B.A.f.H.
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: bind offener dnsserver?
Am Don, 10 Jun 2004, schrieb Jonas Meurer:
,
| acl home {192.168.0.0/24; 10.0.0.0/8; 127.0.0.1;};
| options {
| allow-query { home;};
| };
`
dann beantwortet er aber auch anfragen für die domains für die er
zuständig ist nur aus dem internen netz, richtig? das ist ja nicht was
ich will.
Dann ebend nicht in die options sondern in die entsprchende Zone.
ein anderes problem ist, dass mein home-pc eine dynamische ip hat ;-P
Schonmal über eine Standleitung nachgedacht? Bestimmte
Konfigurationswünsche sind ebend nur mit Festverbindungen möglich.
Hier wäre es aber kostengünstiger, den DNS als Slave laufen zu
lassen, den Master an der dynamischen IP zu installieren und mittels
TSIG-Key die slaves upzudaten. Bei der Gelegenheit bräuchte man auch
nicht mehr den (dann) Slave befragen, weil man alles im lokalen Netz
hat.
aber egal, für den anfang wäre es schön, wenn er alle domains mit
eigener konfiguration allen verfügbar macht,
zone $foo {
allow-query { any; };
};
nur nicht-lokale domains
(wozu er zb. root-server anfragen benötigt)
ausschließlich für localhost auflöst.
zone . {
allow-query{ 127.0.0.1; };
};
HAgen
--
51/ 81
Quatsch. Aufgabe eines $CHEFs ist es auch, die Qualifikation der
Mitarbeiter im Auge zu behalten. Braucht man jemanden, der sich nicht
nur mit $DRECK, sondern auch mit $SCHUND gut auskennt, dann schickt man
ein oder zwei $DRECK-Experten fruehzeitig auf ein $SCHUNDSEMINAR. Das
ist weit besser, als einen $DRECK-Experten durch einen neu eingekauften
$SCHUND-Experten zu ersetzen, der vermutlich nicht mit dem auf $DRECK
aufsetzenden $HERUMGEFRICKEL zurechtkommt.
Mirko Liss in [EMAIL PROTECTED]
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: bind offener dnsserver?
Moin, On Thu, Jun 10, 2004 at 11:56:42AM +0200, Jonas Meurer wrote: [...] nun meine frage, wie kann ich das ausstellen? man bind und/oder man named.conf Ansonsten den Port 53 in der Firewall dichtmachen, fuer TCP und UDP. Gruss -- hgb -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: bind offener dnsserver?
On 10/06/2004 Hagen Kühnel - debianlist wrote:
nur nicht-lokale domains
(wozu er zb. root-server anfragen benötigt)
ausschließlich für localhost auflöst.
zone . {
allow-query{ 127.0.0.1; };
};
named.conf:
zone . {
allow-query{ 127.0.0.1; };
type hint;
file /etc/bind/db.root;
};
logs:
named[4654]: loading configuration from '/etc/bind/named.conf'
named[4654]: /etc/bind/named.conf:13: option 'allow-query' is not allowed in 'hint'
zone '.'
named[4654]: loading configuration: failure
...
was bedeutet 'hint' zone, kann ich den eintrag einfach auskommentieren?
bye
jonas
Re: bind offener dnsserver?
Hallo Hans-Georg,
Hans-Georg Bork, 10.06.2004 (d.m.y):
On Thu, Jun 10, 2004 at 11:56:42AM +0200, Jonas Meurer wrote:
[...]
nun meine frage, wie kann ich das ausstellen?
man bind und/oder man named.conf
Ansonsten den Port 53 in der Firewall dichtmachen, fuer TCP und UDP.
Ganz schlechte Idee...
Aus meiner named.conf:
options {
directory /var/cache/bind;
listen-on port 53 {
127.0.0.1;
192.168.2.1;
};
allow-query {
127.0.0.1;
192.168.2.0/24;
};
Damit lege ich fest, dass
- bind nur auf den nach innen weisenden Interfaces lauscht,
- Abfragen nur vom Server selbst sowie aus dem inneren Subnetz
gestattet sind.
Gruss,
Christian
--
Frauen haben viele Fehler.
Männer haben nur zwei:
alles, was sie sagen
und alles, was sie tun
signature.asc
Description: Digital signature
Re: bind offener dnsserver?
Am Donnerstag, 10. Juni 2004 17:48 schrieb Christian Schmidt: Ansonsten den Port 53 in der Firewall dichtmachen, fuer TCP und UDP. Ganz schlechte Idee... Warum? Ob er jetz mit Hilfe der Config nur ermöglicht, von einem Interface zuzugreifen, oder ob er einfach den Zugriff von allen anderen Interfaces unterbindet (bei Bind passender als verbieten) bleibt sich im Endeffekt doch wohl gleich. -- MfG usw. Werner Mahr registered Linuxuser: 295882
Re: bind offener dnsserver?
On Thu, Jun 10, 2004 at 07:45:57PM +0200, Werner Mahr wrote: [...] Warum? Ob er jetz mit Hilfe der Config nur ermöglicht, von einem Interface zuzugreifen, oder ob er einfach den Zugriff von allen anderen Interfaces unterbindet (bei Bind passender als verbieten) bleibt sich im Endeffekt doch wohl gleich. Eben, nur dass das Verbieten in der Firewall denn Traffic weiter draussen haelt und bind davon gar nichts mitbekommt ... damit ist der Server auch von aussen gesehen zu. Gruss -- hgb -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: bind offener dnsserver?
Hallo Werner, Werner Mahr, 10.06.2004 (d.m.y): Am Donnerstag, 10. Juni 2004 17:48 schrieb Christian Schmidt: Ansonsten den Port 53 in der Firewall dichtmachen, fuer TCP und UDP. Ganz schlechte Idee... Warum? Ob er jetz mit Hilfe der Config nur ermöglicht, von einem Interface zuzugreifen, oder ob er einfach den Zugriff von allen anderen Interfaces unterbindet (bei Bind passender als verbieten) bleibt sich im Endeffekt doch wohl gleich. Das mag sein... Aber Du laesst Deine Haustuer doch auch nicht die ganze Zeit offen stehen und verlaesst Dich darauf, dass alle anderen das vor Deinem Haus haengende Schild Hier ist abgeschlossen beachten, oder? Genau: Du schliesst die Tuer - damit kannst Du Dir dann auch das Schild sparen. Ein Paketfilter ist nicht immer unbedingt erforderlich, wenn man sein Linux-System abdichten will: Dadurch, dass man die angebotenen Dienste auf vertrauenswuerdige Interfaces beschraenkt, kann man sich den Paketfilter auch prinzipiell schenken. Denn: Wo nichts lauscht, kann auch nichts exploitet werden. Gruss, Christian -- Hallo Lebensplaner! signature.asc Description: Digital signature
Re: bind offener dnsserver?
Am Donnerstag, 10. Juni 2004 21:42 schrieb Christian Schmidt: Das mag sein... Aber Du laesst Deine Haustuer doch auch nicht die ganze Zeit offen stehen und verlaesst Dich darauf, dass alle anderen das vor Deinem Haus haengende Schild Hier ist abgeschlossen beachten, oder? Nein, aber wenn ich vor die offene Tür einen Türsteher stelle, kommt auch keiner rein. Denn: Wo nichts lauscht, kann auch nichts exploitet werden. Sagen wir es mal so, ich habe auch lange Zeit lpc nach drausen offen gehabt, ich weiß zwar immernoch wofür das ist, aber es jeißt irgendwas mit line printer, und ich habe mit sicherheit keinen Drucker an meinem Server. Wo man nicht weiß das was lauscht, kann mans auch nicht abschalten. Ein Paketfilter ist zwar nicht immer erforderlich, kann sowas aber zumindest entschärfen. -- MfG usw. Werner Mahr registered Linuxuser: 295882
Re: bind offener dnsserver?
Am Donnerstag, 10. Juni 2004 21:28 schrieb Hans-Georg Bork: On Thu, Jun 10, 2004 at 07:45:57PM +0200, Werner Mahr wrote: [...] Warum? Ob er jetz mit Hilfe der Config nur ermöglicht, von einem Interface zuzugreifen, oder ob er einfach den Zugriff von allen anderen Interfaces unterbindet (bei Bind passender als verbieten) bleibt sich im Endeffekt doch wohl gleich. Eben, nur dass das Verbieten in der Firewall denn Traffic weiter draussen haelt und bind davon gar nichts mitbekommt ... damit ist der Server auch von aussen gesehen zu. Was ja erwünscht ist. -- MfG usw. Werner Mahr registered Linuxuser: 295882
Re: bind offener dnsserver?
Am Don, 10 Jun 2004, schrieb Jonas Meurer:
zone . {
allow-query{ 127.0.0.1; };
type hint;
file /etc/bind/db.root;
};
logs:
named[4654]: loading configuration from '/etc/bind/named.conf'
named[4654]: /etc/bind/named.conf:13: option 'allow-query' is not allowed in 'hint'
zone '.'
named[4654]: loading configuration: failure
Das ist natürlich wieder typisch Amis. Ein Feature bauen, aber
tausende Ausnamen. :(
Hmm, dann bleibt wohl nur, dass er eben nicht die Root-Zonen
befragt, und eben die Forwarders (die DNS deines Providers/RZ) nur
vom loalhost befragt werden. Also zone . auskommentieren,
forwardes mit allow_query bestücken.
Lohnt sich der Aufwand wirklich, den Du da betreibst? Hast Du ein GB
DNS-Traffic? Kann der DNS nicht mal eine Weile unzuverlässig
arbeiten (öfters mal für ein paar Stunden stoppen), die eigenen
Domains liegen ja noch in einem 2nd-DNS bereit.
was bedeutet 'hint' zone, kann ich den eintrag einfach auskommentieren?
Google?!
http://www.rz.ifi.lmu.de/doku/
http://doc.rz.ifi.lmu.de/server/bind/Bv9ARM.html
Ansonsten hilft auch mal ein gutes Buch zum Nachschlagen, wenn man
ein Thema öfters am Wickel hat.
Hagen
--
73/ 81
Es gibt einen Gott, und er lacht mich gerade aus!
Felix von Leitner in [EMAIL PROTECTED]
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: bind offener dnsserver?
On 11/06/2004 Hagen Kühnel - debianlist wrote:
Am Don, 10 Jun 2004, schrieb Jonas Meurer:
zone . {
allow-query{ 127.0.0.1; };
type hint;
file /etc/bind/db.root;
};
logs:
named[4654]: loading configuration from '/etc/bind/named.conf'
named[4654]: /etc/bind/named.conf:13: option 'allow-query' is not allowed in
'hint' zone '.'
named[4654]: loading configuration: failure
Das ist natürlich wieder typisch Amis. Ein Feature bauen, aber
tausende Ausnamen. :(
Hmm, dann bleibt wohl nur, dass er eben nicht die Root-Zonen
befragt, und eben die Forwarders (die DNS deines Providers/RZ) nur
vom loalhost befragt werden. Also zone . auskommentieren,
forwardes mit allow_query bestücken.
Lohnt sich der Aufwand wirklich, den Du da betreibst? Hast Du ein GB
DNS-Traffic? Kann der DNS nicht mal eine Weile unzuverlässig
arbeiten (öfters mal für ein paar Stunden stoppen), die eigenen
Domains liegen ja noch in einem 2nd-DNS bereit.
naja, ich habe zur zeit keinen 2nd-DNS, mein server hat 2 ips aus
verschiedenen class-c netzen, spielt er zur zeit beide ns-server für die
domains.
Und ja, ich habe GB DNS-Traffic, diesen monat 2,5 GB.
bye
jonas
