Szia!
Csak egy kérdés: Az egyetem többi rendszergazdája, informatikai
osztálya, informatikai vezetője nem tud esetleg segíteni?
Ha már egyszer ők találták ki, hogy nem lehet kívülről használható DNS-t
üzemeltetni... ;)
Takács Zoltán írta:
ráment az éjszakám, de csak annyit tudtam elérni a
Csak egy kérdés: Az egyetem többi rendszergazdája, informatikai osztálya,
informatikai vezetője nem tud esetleg segíteni?
Ha már egyszer ők találták ki, hogy nem lehet kívülről használható DNS-t
üzemeltetni... ;)
Már ők is feladták - többségében linuxot használunk...
Nem, semmiképp. A névszerver elérhető kell hogy legyen kívülről, hogy
feloldja azokat a domaineket, amiért ő felelős. A kérdés arra vonatkozott,
hogy olyanokra ne válaszoljon, amiért nem ő a felelős. Ez mindenképp a
névszerver beállítás.
olyan beállítási lehetőséget találtam, ahol a resolver
...@lista.sulinet.hu
[mailto:techinfo-boun...@lista.sulinet.hu] On Behalf Of Ambróz Zoltán
Sent: Thursday, December 10, 2009 8:44 AM
To: techinfo@lista.sulinet.hu
Subject: RE: DNS open resolver tiltása
Csak kerdem, nem a tuzfalnak kellene ezt a fajta forgalmat kontrollalnia?
Udv, AZ
-Original Message
, 2009 9:07 AM
To: techinfo@lista.sulinet.hu
Subject: RE: DNS open resolver tiltása
Hello
Egy kicsit pontosabban megtudnad fogalmazni a kerdesed?
esetleg valami kis peldaval?
mik azok a kulso gepek konkretan?
Udvozlettel:Sneff Gabor
___
Techinfo mailing
és milyen jó lett volna, ha megoldás tartalmazó linket nem csak a bme belső
rendszeréből lett volna elérhető... ;)
Amúgy, igen - erről van szó.
Ugyan nem nekem szolt a keres, de itt jol leirja a kollega:
http://lists.bme.hu/pipermail/sysman/2006-February/004556.html
Udv, AZ
vagyis figyelmesebben olvasva ott ISC BIND-ot futtatnak... azzal nálunk is
ment, de most win2008 dns-re kell a megoldás.
Még olvasgatom az előbb ajánlott microsoftos cuccokat, hátha...
és milyen jó lett volna, ha megoldás tartalmazó linket nem csak a bme
belső rendszeréből lett volna
open resolver tiltása
Hali!
Pár hónapja áttértünk a linuxos serverről windows 2008-ra és az ő DNS szerverét
kezdtük használni.
Az egyetemen belül tilos olyan DNS szervert üzemeltetni, amelyet külső gépeken
is be lehet állítani DNS kiszolgálónak... (persze a név feloldás kivülre is
megy - csak
Esetlegesen: itt
(http://social.technet.microsoft.com/Forums/en/winserverNIS/thread/e117f600-4dea-4fcf-8827-eb2a34c49391)
a moderator azt ecsetelgeti, hogy mas-mas dolog a rekurzivitas tiltasa
(disable recursion), illetve az, hogy ne hasznaljon rekurziot (do not use
recursion). Nem volt idom
Ha már ott jársz akkor ezt a fejezetet is nézd át:
DNS-kiszolgáló korlátozása csak a megadott címeken történő figyelésre
http://technet.microsoft.com/hu-hu/library/cc755068%28WS.10%29.aspx
Szerintem ha úgy állítod be, hogy csak a belső IP -n figyelje a DNS
kéréseket, akkor külső hálózatból
Hello,
Csak félig követtem a problémát ill. hozzászólásokat.
De egy lényeges kérdés felmerült bennem:
A belső dns kiszolgáló miért külső is egyben?
Nem megoldható, hogy a belső csak belső legyen?
Külső-re meg valami netes szolgáltató dns szerverei adjanak választ.
Üdv,
Gyafi
Csak félig követtem a problémát ill. hozzászólásokat.
De egy lényeges kérdés felmerült bennem:
A belső dns kiszolgáló miért külső is egyben?
Nem megoldható, hogy a belső csak belső legyen?
Külső-re meg valami netes szolgáltató dns szerverei adjanak választ.
A belső dns kiszolgálón van tárolva
On Thu, Dec 10, 2009 at 09:02:52AM +0100, Takács Zoltán wrote:
Nem, semmiképp. A névszerver elérhető kell hogy legyen kívülről, hogy
feloldja azokat a domaineket, amiért ő felelős. A kérdés arra
vonatkozott, hogy olyanokra ne válaszoljon, amiért nem ő a felelős. Ez
mindenképp a névszerver
Tenyleg nincs benne :(
(Viszont megneztem, a WS2003 DNS kezelojeben van ilyen checkbox.) Marad a
manualis modszer: dnscmd ServerName /ResetForwarders MasterIPaddress
... [/TimeOut Time] [/Slave]
ahol a /Slave: Determines whether or not the DNS server uses recursion
when it queries for the
Zoltán
Sent: Thursday, December 10, 2009 3:22 PM
To: techinfo@lista.sulinet.hu
Subject: Re: DNS open resolver tiltása
Tenyleg nincs benne :(
(Viszont megneztem, a WS2003 DNS kezelojeben van ilyen checkbox.)
Marad a manualis modszer: dnscmd ServerName /ResetForwarders
MasterIPaddress
Ez arra való, hogy ha a szerverben több hálókártya van (de legalábbis
több IP), akkor automatikusan felhozza a használt ip-ket (csak a
szerverét!) és azok közül válogathatsz.
Én kipróbálnám, hogy adok neki egy belső IP -címet is (a belső a
tartományból amiben a kliensek is vannak) és beállítom
Én kipróbálnám, hogy adok neki egy belső IP -címet is (a belső a
tartományból amiben a kliensek is vannak) és beállítom a lentiek szerint.
(Ehhez nem kell több kártya)
Ha már megvolt de akkor sem ment akkor bocs!
Nem volt meg - de nem akarom a teljes belső hálót teljesen belős IP-re
rakni...
ráment az éjszakám, de csak annyit tudtam elérni a rekurzio tiltásával, hogy
csak a belős címeket lehet elérni és kész...
Ezek szerint ez a rekurzió nem egyenló a resolver-rel...
___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és
Amúgy van itt egy tesztelő kis progi, akit érdekel, az megnézheti a saját
rendszerét is:
http://dns.measurement-factory.com/cgi-bin/openresolvercheck.pl
___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás:
Hali!
Pár hónapja áttértünk a linuxos serverről windows 2008-ra és az ő DNS
szerverét kezdtük használni.
Az egyetemen belül tilos olyan DNS szervert üzemeltetni, amelyet külső
gépeken is be lehet állítani DNS kiszolgálónak... (persze a név feloldás
kivülre is megy - csak akkor nem, ha dns
Subject: DNS open resolver tiltása
Hali!
Pár hónapja áttértünk a linuxos serverről windows 2008-ra és az ő DNS szerverét
kezdtük használni.
Az egyetemen belül tilos olyan DNS szervert üzemeltetni, amelyet külső gépeken
is be lehet állítani DNS kiszolgálónak... (persze a név feloldás kivülre is
megy
Elképzelhető - bár nem tom, hogy milyen szabállyal lehetne megoldani, mert
ugye az 53-as portot nem tilthatom, mert akkor soha nem fognak megtalálni...
A linuxon meg oly egyszerű volt - a dns konfigjába fel lehetett sorolni és
kész...
Csak kerdem, nem a tuzfalnak kellene ezt a fajta forgalmat
22 matches
Mail list logo
