allg. frage zu resolv.conf und named

[wudmx]

hi,
ich hab ne verstaendnisfrage. auf meinem root-server laeuft bind. in der /etc/resolv.conf ist folgendes:

domain rootmaster.info
nameserver ip1
nameserver ip2
nameserver ip3
search rootmaster.info

keine der drei ip-adressen ist diejenige meines root-servers! allerdings laeuft bei mir named und ich hab auch die ganzen zonefiles unter /var/named liegen!

muesste da nicht noch ein "nameserver" eintrag mit meiner server-ip sein? woher kennt mein server die domains, die auf meinem server laufen? irgendwie steig ich da noch nicht durch!

gruss
wudmx

[dodolin]

muesste da nicht noch ein "nameserver" eintrag mit meiner server-ip sein? woher kennt mein server die domains, die auf meinem server laufen?

resolv.conf dient dazu, wenn dein Rechner als DNS *Client* arbeitet, ihm Anweisungen zu geben, wie er das zu tun hat. Es hat NICHTS damit zu tun, was dein DNS *Server* macht.

[wudmx]

ich habs jetzt glaub ich kapiert...

ich hab halt folgendes gedacht:
wenn ich den client von meinem rootserver bemuehe, eine domain zu suchen, die auf eben diesen rootserver registriert ist (und auch dort die zonefiles hat usw), woher kriegt er dann die positive antwort von den nameservern aus der /etc/resolv.conf? die sind doch fuer die domains gar nicht zustaendig...

ich hoff ich verstehe jetzt folgendes richtig:
denn dann ist mir in der named.conf "allow-transfer { 195.20.224.97; }" aufgefallen. sprich: es findet ein zonentransfer statt auf den nameserver ns.schlund.de! also ist ns.schlund.de der slave nameserver, richtig?

in der /etc/resolv.conf steht jetzt aber nicht 195.20.224.9 sondern 195.20.224.99 (dns2.schlund.de). da beide nameserver im selben netz liegen koennen sie sich untereinander befragen, richtig? und so findet mein nameserver (dns2.schlund.de) aus meiner /etc/resolv.conf den nameserver ns.schlund.de, der ja non-authoritative answers geben kann!

stimmen meine gedanken so? wenn nicht: kann mir jmd den weg genau sagen? waer euch dankbar

gruss
wudmx

[dodolin]

stimmen meine gedanken so?

Nein, nicht ganz.

Es gibt mehrere Arten von DNS Server und mache Server können auch mehreres gleichzeitig sein:

Authoritative Nameserver: Sind für eine (meist viele) Zonen authoritativ und geben letztendlich Auskunft über diese Zonen.

Rekursiv arbeitende Nameserver (mit fällt kein besserer Name ein): Diese nehmen von bestimmten Clients DNS Anfragen entgegen und befragen so lange angefangen bei den Rootnameservern andere DNS Server, bis sie letztenendes bei den authoritativen DNS für die angefragte Zone landen und von dort eine Antwort erhalten (Ausnahme: Sie haben die Antwort bereits im Cache und die TTL ist noch nicht abgelaufen, etc.). Diese Antwort liefern sie dann dem Client zurück.

In der resolv.conf werden für gewöhnlich rekursiv arbeitende Nameserver eingetragen, die dann die ganze Arbeit erledigen.

Jetzt klarer?

BTW: Ich kann das Bind-Buch von O'Reilly sehr empfehlen. :)

[wudmx]

jepp, denke schon dass ich das jetzt so verstanden habe!
danke dir!

noch eine kleine frage:
ist der server ns.schlund.de wegen allow-transfer { 195.20.224.97; } fuer meine domains auf meinem root-server jetzt ein non-authorative dns server? er zieht sich ja nur von meinem rootserver kopien von meinen zone-files,oder?

buch-frage (off-topic):
oreilly-buecher gibts ja im buchkaiser in KA.. kannst du mir noch ein buch empfehlen, wo es um sicherheit im allgemeinen auf servern geht? also moeglichst viele dienste abdeckt? vllt kennst du ja grad eins, hab jetzt keine zeit zum suchen gehabt, sry :roll:

danke nochmals!

gruss
wudmx

[captaincrunch]

kannst du mir noch ein buch empfehlen, wo es um sicherheit im allgemeinen auf servern geht? also moeglichst viele dienste abdeckt?

Was Security angeht, sind Bücher meistens eher suboptimal. Die einzigen (mir bekannten), die halbwegs was taugen sind die "Hack Proofing"-Reihe von Syngress, und der "Hackers Guide" (bzw. der Linux Hackers Guide) von anonymous.
Die besten Infos gibt's aber IMHO im Netz.

[darkspirit]

Erste Wahl ist für mich auch das Netz, aber als Lektüre würde ich noch die "Hacking Exposed"-Reihe empfehlen. Gibts aber AFAIK nur auf Englisch..

[wudmx]

Was Security angeht, sind Bücher meistens eher suboptimal. Die einzigen (mir bekannten), die halbwegs was taugen sind die "Hack Proofing"-Reihe von Syngress, und der "Hackers Guide" (bzw. der Linux Hackers Guide) von anonymous.
Die besten Infos gibt's aber IMHO im Netz.

die security links im sec-forum werd ich mir mal anschauen - auch die buecher!

anbei noch eine frage, was mich schon immer verwundert hat:
domain.de im browser gibt nen fehler... not found.. http://www.domain.de allerdings geht schon! woran liegt das? bei anderen homepages wie heise.de gehts doch auch? ich kann mir das leider nicht erklaeren!

danke!

gruss
wudmx

[wudmx]

anbei noch eine frage, was mich schon immer verwundert hat:
domain.de im browser gibt nen fehler... not found.. http://www.domain.de allerdings geht schon! woran liegt das? bei anderen homepages wie heise.de gehts doch auch? ich kann mir das leider nicht erklaeren!

ich denke ich habs mir selber beantwortet.
wird wohl daran liegen, dass in dem zone-file von domain.de kein A RR vorhanden ist, waehrend http://www.domain.de schon einen aufweisen kann! stimmt das so?

[dodolin]

ist der server ns.schlund.de wegen allow-transfer { 195.20.224.97; } fuer meine domains auf meinem root-server jetzt ein non-authorative dns server? er zieht sich ja nur von meinem rootserver kopien von meinen zone-files,oder?

allow-transfer hat primär erstmal nichts mit authorative oder nicht zu tun. Es ist nur meist so, dass die dort gelisteten Host auch authorative sind. Eine Definition von "authorative" und vielen anderen DNS-Begriffen findest du z.B. auf http://www.menandmice.com/online_docs_a ... arytoc.htm

Wegen Büchern zu Security kann ich mich eigentlich nur CC anschließen. Um Ahnung von Netzwerksicherheit zu bekommen, sollte man erstmal mit allgemeinen Netzwerkgrundlagen anfangen. Nichts desto trotz gibt es Buchempfehlungen rund um Netzwerke allgemein und Sicherheit auf der de.comp.security.firewall FAQ unter http://www.iks-jena.de/mitarb/lutz/usen ... tml#Lernen