DNS läuft, aber nur lokal?

[andrem]

Hallo!

Ich hab ein Problem mit meinem Bind 9.
Ich habe ihn mit dem HowTo von 1&1 eingerichtet, und er lief wunderbar. Hab dann bei ProviderDomain eine Domain bestellt und auf den Root konnektiert - war kein Problem und hat funktioniert.

Allerdings habe ich nun festgestellt (hatte keine Zeit mich weiter mit dem Root zu beschäftigen), das der DNS Dienst auf meinem Server nicht extern verfügbar ist. Als ich bei der Installation ein dig @localhost digital-w3.de ausführte, kam genau die Meldung die im HowTo beschrieben wurde. Mache ich nun allerdings ein dig @ns.vizzion.biz digital-w3.de oder ein dig @217.160.172.180 digital-w3.de, dann bekomm ich ein connection-timed out: no servers could be reached.

Port 53 in der Firewall ist freigeschaltet, die named.conf ist fast identisch mit der aus dem HowTo und auch die Zonendateien sind korrekt (laut named-checkzone und auch named-checkconf).

Um mir helfen zu können, was benötigt Ihr noch für weitere Informationen?
Habt Ihr evtl. eine Vermutung?

Vielen Dank für Eure Hilfe!

MfG
André

[jlinker]

Vermute mal, dass Du allow-query auf all setzen musst. In der named.conf Datei. Ob es jetzt aber all oder any heißt weiß ich nett so genau :?

Hintergrund: Du musst anderen Servern die Abfrage "allow-query" erlauben, sonst kommt halt keine Antwort.

[andrem]

Hiho!

Ich habe es auf any stehen, aber das ändert nichts. Wenn ich von einem Fremdrechner ein DIG ausführe, dann heisst es immer: Server Timed Out.

MfG
André

[jlinker]

Da gibt es noch ne andere Einstellung bzgl. der IP-Adressen auf denen BIND lauschen soll. Ach verdammt, wie heißt die Einstellung ..

#listen on port 53 {127.0.0.1;};

entweder auskommentieren, so wie hier oder aber die entsprechenden IP-Adressen eintragen.

Im Ã?brigen: Du hast DIch nicht zufällig mit IPTABLES selbst ausgetrickst oder so? :lol:

[andrem]

Hallo!

Also bei 'listen-on port 53' sind die richtigen IP Adressen drin (lokal und Internet).

Aber was meinst Du mit:

Im Ã?brigen: Du hast Dich nicht zufällig mit IPTABLES selbst ausgetrickst oder so?

???

Vielen Dank weiterhin!

MfG
André

[jlinker]

IPTABLES ist ne Art Firewall. Nicht dass Du damit Zugriffe von außen blockst

[andrem]

Hihi!

Nein, wie oben schon erwähnt, ist der Port 53 offen zum Internet.
Das hatte ich schon als erstes in Verdacht, aber der Port ist offen und es geht nicht. Apache und andere Dienste sind erreichbar von aussen her.

MfG
André

[Matthias Diehl]

Immer diese Firewalls ! :(

Hast Du denn Port 53 für UDP und TCP freigegeben ?

[andrem]

Hallo!

Ja, an der Firewall kann es definitiv nicht liegen. Per telnet kann ich auf den BIND zugreifen. Aber ein DIG von einem Fremdrechner erzeugt immer einen "connection timed out; no servers could be reached".

Und wie gesagt, wenn ich den DIG lokal auf dem Problemrechner ausführe, dann erhalte ich die korrekten Werte.

MfG
André

[duergner]

Was steht denn in der named.conf bei allow-query?

Nur so ne Vermutung.

[andrem]

Hiho!

Bei 'allow-query' steht any, also das alle eine Anfrage schicken dürfen. Hier mal die conf-Datei, vielleicht seht Ihr einen Fehler:

Code: Select all

options {

        directory "/var/named";

        forwarders { 195.20.224.234; 195.20.224.99; };

        forward first;

        listen-on port 53 { 127.0.0.1; 217.160.172.180; };

        listen-on-v6 { none; };

        allow-query { any; };

        notify yes;

        allow-transfer { 195.20.224.97; 195.20.225.34; };

        auth-nxdomain no;

        allow-recursion { 127.0.0.1; 217.160.172.180; };

        version "BIND DNS";

};

zone "localhost" in {
        type master;
        file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
        type master;
        file "127.0.0.zone";
};

zone "." in {
        type hint;
        file "root.hint";
};

# You can insert further zone records for your own domains below.

zone "172.160.217.in-addr.arpa" in {
        type master;
        file "217.160.172.zone";
};

zone "vizzion.biz" {
    type master;
    file "vizzion.biz.zone";
    allow-query { any; };
};

zone "digital-w3.de" {
    type master;
    file "digital-w3.de.zone";
    allow-query { any; };
};

Wenn Ihr hier nen Fehler findet, dann wäre das eine Erleichterung, damit der DNS endlich läuft.

MfG
André

[Matthias Diehl]

Schalte doch mal die Firewall ab und probiere es dann nochmal !
Möglicherweise ist zwar der Port 53 offen, aber die Antworten werden gefiltert.

[andrem]

Hallo!

Schalte doch mal die Firewall ab und probiere es dann nochmal !

Das war's! Also ist doch noch ein Fehler in der Firewall. Aber welcher? Wie kann ich das Filtern der Antworten abschalten?

Für diese letzte Hilfe wäre ich dankbar!

MfG
André

[duergner]

Das wird man dir schwer sagen können, wenn du uns nicht sagst, welche Regeln du erstellt hast.

Die Glaskugel funktioniert meist recht schlecht.

[andrem]

Hallo!

Ich arbeite einzig mit der Yast Firewall... mit IPTables arbeite ich vorerst nur lokal, nicht auf dem Root.

Ich habe ein 'netstat' ausgeführt um zu sehen, auf welchen Ports Bind lauscht, und habe erfolglos den Port 1025 hinzugefügt.

MfG
André

[duergner]

Die YaST Firewall besiert aber auch auf iptables. Die YaST Firewall konfiguriert eigentlich nur das in meinen Augen total kranke SuSEFirewall2 Script, dass dann die iptables Regeln schreibt.

Mal ne Frage, wozu brauchst du die Firewall eigentlich?

[andrem]

Hiho!

Irgendwie bin ich von dieser Frage überrascht und verwirrt:

Mal ne Frage, wozu brauchst du die Firewall eigentlich?

Da es sich um einen Rootserver handelt, der als Webserver für Webseiten dient und über den auch eMails versendet und empfangen werden, wäre es da nicht sträflich jede Möglichkeit zur Sicherung des Systems auszulassen?

MfG
André

[captaincrunch]

Da es sich um einen Rootserver handelt, der als Webserver für Webseiten dient und über den auch eMails versendet und empfangen werden, wäre es da nicht sträflich jede Möglichkeit zur Sicherung des Systems auszulassen?

Wie du in diversen Threads in diesem Forum nachlesen kannst, ist eine "Firewall" für einen Standalone-(Linux-)Rechner überflüssig wie ein Kropf, denn da wo nichts auf einem Port lauscht, brauchst du auch keine "Firewall"

[duergner]

Da es sich um einen Rootserver handelt, der als Webserver für Webseiten dient und über den auch eMails versendet und empfangen werden, wäre es da nicht sträflich jede Möglichkeit zur Sicherung des Systems auszulassen?

Und wie genau meinst du sichert die Firewall deinen Root-Server ab?

[static]

Da es sich um einen Rootserver handelt, der als Webserver für Webseiten dient und über den auch eMails versendet und empfangen werden, wäre es da nicht sträflich jede Möglichkeit zur Sicherung des Systems auszulassen?

Aha, vor was schützt dich diese Firewall denn jetzt genau?

so long
static

[andrem]

Hallo!

Wie du in diversen Threads in diesem Forum nachlesen kannst, ist eine "Firewall" für einen Standalone-(Linux-)Rechner überflüssig wie ein Kropf, denn da wo nichts auf einem Port lauscht, brauchst du auch keine "Firewall"

Wer lesen kann ist klar im Vorteil. Ich habe ganz sicher nicht geschrieben das es ein Standalonerechner ist, sondern ein Server bei 1&1. Und es lauschen etliche Programme auf etlichen Ports (HTTP,SMTP,POP3,NAMED).
Also wer behauptet, das da eine Firewall überflüssig ist, sollte sich nochmal überlegen, auf welchem System er arbeitet und wie er das Internet sieht.

MfG
André

[jlinker]

Hi Andre,

also doch die Firewall - lag ich nicht ganz falsch mit meiner Vermutung.

Vor was schützt Dich denn die Firewall? Die Firewall blockt Dir verschiedene Ports. Aber warum blockst Du z. B. einen PORT 53? Den musst du öffnen, weil Du ja BIND am Laufen hast. Also nutzt Dir die Firewall für diesen Port nix mehr. Dann blockst Du sicherlich noch andere Ports- aber warum, wenn sich hinter den geblockten Ports, z. B. 143 für IMAP gar kein Dienst befindet?? Also auch in diesem Fall nutzt Dir die Firewall nix.

Einzig und allein wenn Du mal bestimmte IP-Adressen blocken willst ist eine Firewall hilfreich.

Grüße :lol:

[duergner]

Wer lesen kann ist klar im Vorteil. Ich habe ganz sicher nicht geschrieben das es ein Standalonerechner ist, sondern ein Server bei 1&1. Und es lauschen etliche Programme auf etlichen Ports (HTTP,SMTP,POP3,NAMED).
Also wer behauptet, das da eine Firewall überflüssig ist, sollte sich nochmal überlegen, auf welchem System er arbeitet und wie er das Internet sieht.

Als 'Standalone-Rechner' werden hier einzelne Rechner angesehen, auch wenn sie am Internet hängen. IMHO macht eine Firewall nur auf einem Gateway-Rechner, d.h. auf einem Rechner der am Ã?nergang eines Teilnetzes zu einem anderen Sinn. Auf einem einzelnen Rechner ist es viel viel sinnvoller, die entsprechenden Dienste sauber zu konfigurieren. U.U. kann es bei sehr speziellen Anwendungen, die sich evtl nicht ans lokale Interface binden lassen, aber nur da lauschen sollen, sinnvoll sein, den entsprechenden Port dann durch eine Firewall abzusichern. Wobei ich mich in so einem Fall lieber nach einer Alternative für die Anwendung umsehen würde.

In allen andern Fällen macht eine Firewall IMHO weitaus mehr Probleme als sie bríngt. (Siehe deinen Fall)

[andrem]

@static & duergner:

Habt Ihr beide einen eigenen oder mehrere Rootserver? Wenn JA, wie sichert ihr Eure Maschinen?

MfG
André

[duergner]

Einzig und allein wenn Du mal bestimmte IP-Adressen blocken willst ist eine Firewall hilfreich.

Wobei da auch zu überlegen wäre ob es nicht sinnvoller ist, den Dienst über xinetd oder ähnliches anzubieten und da dann zu filtern.