bind-Newby - läuft er?

[jockel]

Nachdem ich meine Domains von 1und1 auf Schlund umgezogen habe, laufen natürlich die Subdomains nicht mehr.

Daher habe ich mich widerwillig mit bind beschäftigt - und siehe da, es funktioniert "fast".

Ein Domain-Update bei Schlund (Primary NS jockelhofmann.de - muss das ns-jockelhofmann.de heißen?, Glue-IP eingetragen) meckerte mir:

Code: Select all

2004-02-24 17:32:55.0 DENIC
Re UPDATE / notok - errors 
The domain jockelhofmann.de has NOT been updated. The following errors were detected: == SERVER ns.schlund.de. == Server: ns.schlund.de Address: 195.20.224.97 Query about jockelhofmann.de for record types ANY Trying jockelhofmann.de ... Query failed, 0 answers, status: no error Authority information: de 71007 IN NS a.nic.de
... jockelhofmann.de ANY record currently not present at ns.schlund.de ns.schlund.de.: NOT AUTHORITATIVE for the zone jockelhofmann.de == END == Server ns.jockelhofmann.de. not in NS set! Server ns.schlund.de. is not authoritative!

/etc/named.conf :

Code: Select all

options {
        directory "/var/named";
        allow-query { any; };
        notify no;
        allow-transfer { 195.20.224.97; 195.20.225.34; };
        auth-nxdomain yes;
zone "localhost" in {
        type master;
        file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
        type master;
        file "127.0.0.zone";
};

zone "." in {
        type hint;
        file "root.hint";
};
zone "166.160.217.in-addr.arpa" in {
type master;
file "217.160.166.zone";
};

zone "jockelhofmann.de" in {
type master;
file "jockelhofmann.de.zone";
};

jockelhofmann.de.zone

Code: Select all

$TTL 1W
@               IN SOA       ns.jockelhofmann.de.   jockel.jockelhofmann.de. (
                                2004022502      ; serial
                                2H              ; refresh
                                1H              ; retry
                                1W              ; expiry
                                11h)            ; minimum

                IN NS           ns.jockelhofmann.de.
                IN NS           ns.schlund.de.
                IN MX           10 mail.jockelhofmann.de.
                IN MX           20 mxXY.schlund.de.
                IN A            217.160.166.150
*               IN A            217.160.166.150

217.160.166.zone

Code: Select all

$TTL 1W
@               IN SOA       ns.jockelhofmann.de.   jockel.jockelhofmann.de. (
                                2004022502      ; serial
                                8H              ; refresh
                                2H              ; retry
                                1W              ; expiry
                                11h)            ; minimum

                IN NS           ns.jockelhofmann.de
                IN NS           ns.schlund.de.
150             IN PTR          jockelhofmann.de.
~

bind läuft auch:

Code: Select all

ps -ax | grep named
 2000 ?        S      0:00 /usr/sbin/named
 2001 ?        S      0:00 /usr/sbin/named
 2002 ?        S      0:00 /usr/sbin/named
 2003 ?        S      0:00 /usr/sbin/named
 2004 ?        S      0:00 /usr/sbin/named
 4233 pts/3    S      0:00 grep named

(Warum einklich so viele Prozesse?)

dig auf dem Server liefert:

Code: Select all

dig @217.160.166.150 jockelhofmann.de any

; <<>> DiG 9.1.3 <<>> @217.160.166.150 jockelhofmann.de any
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58828
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;jockelhofmann.de.              IN      ANY

;; ANSWER SECTION:
jockelhofmann.de.       604800  IN      SOA     ns.jockelhofmann.de. jockel.jockelhofmann.de. 2004022502 7200 3600 604800 39600
jockelhofmann.de.       604800  IN      NS      ns.schlund.de.
jockelhofmann.de.       604800  IN      NS      ns.jockelhofmann.de.
jockelhofmann.de.       604800  IN      MX      10 mail.jockelhofmann.de.
jockelhofmann.de.       604800  IN      MX      20 mxXY.schlund.de.
jockelhofmann.de.       604800  IN      A       217.160.166.150

;; AUTHORITY SECTION:
jockelhofmann.de.       604800  IN      NS      ns.jockelhofmann.de.
jockelhofmann.de.       604800  IN      NS      ns.schlund.de.

;; ADDITIONAL SECTION:
ns.jockelhofmann.de.    604800  IN      A       217.160.166.150
mail.jockelhofmann.de.  604800  IN      A       217.160.166.150

;; Query time: 21 msec
;; SERVER: 217.160.166.150#53(217.160.166.150)
;; WHEN: Wed Feb 25 14:00:08 2004
;; MSG SIZE  rcvd: 237

und von zu Hause hat er noch die ursprünglichen NS:

Code: Select all

dig jockelhofmann.de any

; <<>> DiG 9.2.2 <<>> jockelhofmann.de any
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25137
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;jockelhofmann.de.              IN      ANY

;; ANSWER SECTION:
jockelhofmann.de.       18620   IN      A       217.160.166.150
jockelhofmann.de.       18620   IN      NS      ns.schlund.de.
jockelhofmann.de.       18620   IN      NS      ns2.schlund.de.

;; Query time: 65 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Wed Feb 25 14:04:46 2004
;; MSG SIZE  rcvd: 93

Merkwürdigerweise findet er per Browser http://jockelhofmann.de/ - aber nicht http://www.jockelhofmann.de/

Mail kommt natürlich auch nicht an.

Was tun nun?

:-) Jockel

[dodolin]

Serial nochmal erhöhen, Bind reloaden und bei Schlund im Menü dann ns.jockelhoffmann.de als Primary NS angeben. BTW: mxXY.schlund.de wird nicht mehr für dich Backup-MX spielen, das kannste knicken.

[jockel]

Serial nochmal erhöhen, Bind reloaden

d.h. also, dass alles soweit richtig ist?
[x] getutet.

und bei Schlund im Menü dann ns.jockelhoffmann.de als Primary NS angeben.

sicher nicht, denn mit 2 "f" ist nicht. Ansonsten ist das ja schon so.

Wann müsste ich denn irgend einen Effekt sehen bzw. wie kann ich vorher kontrollieren, ob alles läuft?

BTW: mxXY.schlund.de wird nicht mehr für dich Backup-MX spielen, das kannste knicken.

Bedeutet was? Was muss ich dagegen tun? Betreffende Zeile aus dem Zonefile streichen oder mir einen anderen NS suchen?

[dodolin]

sicher nicht, denn mit 2 "f" ist nicht. Ansonsten ist das ja schon so.

Von dem Schreibfehler abgesehen, ist es anscheinend nicht so, wenn ich das hier richtig deute:

Ein Domain-Update bei Schlund (Primary NS jockelhofmann.de - muss das ns-jockelhofmann.de heißen?, Glue-IP eingetragen)

Ja, jockelhofmann.de als NS ist falsch, das muss ns.jockelhofmann.de heißen, weil das immer mit den NS RRs in der Zone identisch sein muss.

Betreffende Zeile aus dem Zonefile streichen oder mir einen anderen NS suchen?

Ja. Nein.

[jockel]

Von dem Schreibfehler abgesehen, ist es anscheinend nicht so, wenn ich das hier richtig deute:

Arghl - du hast recht. Diese blöde Sch(l)und-Menü, wenn man da einmal zu wenig oder an der flschaen Stelle bestätigt, geht das Update nicht durch :-(
Und für jeden Pups einzeln...

Nu aber!

Ja, jockelhofmann.de als NS ist falsch, das muss ns.jockelhofmann.de heißen, weil das immer mit den NS RRs in der Zone identisch sein muss.

ok. Und wie lange ca. muss ich rechnen, bis ein Effekt eintritt?

BTW: THX! :-)

:-) Jockel

[dodolin]

Und wie lange ca. muss ich rechnen, bis ein Effekt eintritt?

Wenn das Update durch ist, max. einen Tag, bis Denic die Server reloaded, danach nochmal so lange wie deine TTL vorher war und eventuell noch länger.

[jockel]

Mist! Warum?

Code: Select all

2004-02-25 19:25:22.0 DENIC UPDATE / started

2004-02-25 19:35:42.0 DENIC NOTIFY UPDATE / confirmed

2004-02-25 19:38:51.0 DENIC Re UPDATE / notok - errors
The domain jockelhofmann.de has NOT been updated. The following errors were detected: == SERVER ns.jockelhofmann.de. == ns.jockelhofmann.de.: SOA value refresh (7200) does not fit in range [10000 ... 86400]. == END == == SERVER ns.schlund.de. == Server: ns.schlund.de Address: 195.20.224.97 Query about jockelhofmann.de for record types ANY

...

ANY record currently not present at ns.schlund.de ns.schlund.de.: NOT AUTHORITATIVE for the zone jockelhofmann.de == END == Server ns.schlund.de. is not authoritative!

HELP!

:-) Jockel

[captaincrunch]

Steht doch da:

SOA value refresh (7200) does not fit in range [10000 ... 86400].

[jockel]

Steht doch da:
SOA value refresh (7200) does not fit in range [10000 ... 86400].

Oh, ja - zwischen 1000 anderen Zeilen *heul*

Und was tue ich dagegen?

Nach etwas googlen sieht jockelhofmann.de.zone jetzt so aus:

Code: Select all

                                                               $TTL 1W
@               IN SOA       ns.jockelhofmann.de.   jockel.jockelhofmann.de. (
2004022604      ; serial
3H              ; refresh
1H              ; retry
2W              ; expiry
11h)            ; minimum

IN NS           ns.jockelhofmann.de.
IN NS           ns.schlund.de.
IN MX           10 mail.jockelhofmann.de.
IN A            217.160.166.150
*  IN A            217.160.166.150

Sollte es damit klappen?

Gibt es irgendeine Möglichkeit, vorher zu testen, ob diesmal das Update klappt?

:-) Jockel

[dodolin]

http://faq.providerdomain.de/haeufige_f ... tze/4.html

[jockel]

http://faq.providerdomain.de/haeufige_f ... tze/4.html

culpa, mea. Manchmal liegt's zu nah!

:-) Jockel

[jockel]

http://faq.providerdomain.de/haeufige_f ... tze/4.html

culpa, mea. Manchmal liegt's zu nah!

...und manchmal tut's tropsden nicht. :-(

Letzte Fehlermeldung scheint relativ ungewöhnlich zu sein - Suche hier und bei google brachte nichts, was mir helfen konnte:

Code: Select all

The domain jockelhofmann.de has NOT been updated. The following errors were detected: == SERVER ns.schlund.de. == Server: ns.schlund.de Address: 195.20.224.97 Query about jockelhofmann.de for record types ANY Trying jockelhofmann.de ... Query failed, 0 answers, status: no error Authority

dig @217.160.166.150 jockelhofmann.de any bringt

Code: Select all

;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13291
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 2, ADDITIONAL: 3

;; QUESTION SECTION:
;jockelhofmann.de.              IN      ANY

;; ANSWER SECTION:
jockelhofmann.de.       604800  IN      SOA     ns.jockelhofmann.de. jockel.jockelhofmann.de. 2004022901 10000 1800 3600000 60000
jockelhofmann.de.       604800  IN      NS      ns.jockelhofmann.de.
jockelhofmann.de.       604800  IN      NS      ns.schlund.de.
jockelhofmann.de.       604800  IN      MX      10 mail.jockelhofmann.de.
jockelhofmann.de.       604800  IN      A       217.160.166.150

;; AUTHORITY SECTION:
jockelhofmann.de.       604800  IN      NS      ns.jockelhofmann.de.
jockelhofmann.de.       604800  IN      NS      ns.schlund.de.

;; ADDITIONAL SECTION:
ns.schlund.de.          71923   IN      A       195.20.224.97
ns.jockelhofmann.de.    604800  IN      A       217.160.166.150
mail.jockelhofmann.de.  604800  IN      A       217.160.166.150

;; Query time: 77 msec
;; SERVER: 217.160.166.150#53(217.160.166.150)
;; WHEN: Sun Feb 29 14:41:59 2004
;; MSG SIZE  rcvd: 232

sieht für meine Blicke ok aus...

Was tun?

:-) Jockel

[wgot]

Hallo,

dig @ns.schlund.de jockelhofmann.de any

Der ns.schlund.de hat Deine Domain nicht übernommen.

Hast Du im Providerdomain-Kundenmenü neben ns.jockelhofmann.de Deine IP dazugeschrieben? Die gehört dazu, weil der Name des Nameservers die bestellte Domain enthält.

Ansonsten einfach nochmal ein Update starten, manchmal klemmt's einfach mit der Ã?bernahme obwohl alles korrekt ist.

Ohne

Code: Select all

* IN MX 10 mail.jockelhofmann.de.

kannst Du keine Emailadressen unter Subdomains betreiben. Falls Du das einfügst, muß dann die nächste Zeile mit einem @ beginnen statt garnix.

Gruß, Wolfgang

[jockel]

Hallo Wolfgang,

Der ns.schlund.de hat Deine Domain nicht übernommen.

Hast Du im Providerdomain-Kundenmenü neben ns.jockelhofmann.de Deine IP dazugeschrieben?

Ja, hatte ich. Muss ich eigentlich selbst dafür sorgen, dass ns.schlund.de die Daten abholt oder holt der die automagisch?

Ansonsten einfach nochmal ein Update starten, manchmal klemmt's einfach mit der Ã?bernahme obwohl alles korrekt ist.

Na, dann starte ich nochmal. Ist so müüüühsam, wieder 1 Tag warten, ob's vielleicht klappt... :-(

Ohne

Code: Select all

* IN MX 10 mail.jockelhofmann.de.

kannst Du keine Emailadressen unter Subdomains betreiben. Falls Du das einfügst, muß dann die nächste Zeile mit einem @ beginnen statt garnix.

Sieht jetzt so aus:

Code: Select all

$TTL 1W
@               IN SOA       ns.jockelhofmann.de.   jockel.jockelhofmann.de. (
                                2004022902      ; serial
                                10000           ; refresh
                                1800            ; retry
                                3600000         ; expiry
                                60000)          ; minimum


                IN NS           ns.jockelhofmann.de.
                IN NS           ns.schlund.de.
*               IN MX           10 mail.jockelhofmann.de.
@               IN MX           10 mail.jockelhofmann.de.
                IN A            217.160.166.150
*               IN A            217.160.166.150

Ist das korrekt? Vorher stand nur 1 Zeile

Code: Select all

               IN MX           10 mail.jockelhofmann.de.

drin.

:-) Jockel

[wgot]

Hallo,

Zonefile ist so korrekt.

Wenn Du ein Update startest, wird ns.schlund.de automatisch zur Ã?bernahme aufgefordert, erfolgt dann meistens zur nächsten vollen Stunde.

Update starten, 1-2 Stunden warten. mit
dig @ns.schlund.de jockelhofmann.de any
prüfen, dann siehst Du schonmal, ob diesmal die Ã?bernahme geklappt hat.

Gruß, Wolfgang

[jockel]

Wenn Du ein Update startest, wird ns.schlund.de automatisch zur Ã?bernahme aufgefordert, erfolgt dann meistens zur nächsten vollen Stunde.

Update starten, 1-2 Stunden warten. mit
dig @ns.schlund.de jockelhofmann.de any
prüfen, dann siehst Du schonmal, ob diesmal die Ã?bernahme geklappt hat.

hmm - bis jetzt - 2 volle Stundenwechsel später nur

Code: Select all

dig @ns.schlund.de jockelhofmann.de

; <<>> DiG 9.2.2 <<>> @ns.schlund.de jockelhofmann.de
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37599
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 11, ADDITIONAL: 12

;; QUESTION SECTION:
;jockelhofmann.de.              IN      A

;; AUTHORITY SECTION:
de.                     76944   IN      NS      a.nic.de.
...
k.nic.de.

;; ADDITIONAL SECTION:
a.nic.de.               22512   IN      A       81.91.161.5
a.nic.de.               77239   IN      AAAA    2001:608:6::5
b.de.net.               2601    IN      A       194.97.99.44
...

;; Query time: 75 msec
;; SERVER: 195.20.224.97#53(ns.schlund.de)
;; WHEN: Sun Feb 29 17:17:50 2004
;; MSG SIZE  rcvd: 424

Im Schlund-Config-Menü tut sich auch noch nichts.

Naja, halt nochmal Kaffe trinken...

:-) Jockel

[jockel]

Naja, halt nochmal Kaffe trinken

...und drüber schlafen. Nein, wie ich es verfürchtet hatte:

Code: Select all

The domain jockelhofmann.de has NOT been updated. The following errors were detected: == SERVER ns.schlund.de. == Server: ns.schlund.de Address: 195.20.224.97 Query about jockelhofmann.de for record types ANY Trying jockelhofmann.de ... Query failed, 0 answers, status: no error Authority information: de 63880 IN NS a.nic.de de 63880 IN NS b.de.net de 63880 IN NS c.de.net de 63880 IN NS d.de.net de 63880 IN NS e.nic.de de 63880 IN NS f.nic.de de 63880 IN NS g.de.net de 63880 IN NS h.nic.de de 63880 IN NS i.de.net de 63880 IN NS j.nic.de de 63880 IN NS k.nic.de Additional information: a.nic.de 9448 IN A 81.91.161.5 a.nic.de 64175 IN AAAA 2001:608:6:0:0:0:0:5 b.de.net 75938 IN A 194.97.99.44 c.de.net 9418 IN A 193.159.170.187 d.de.net 9429 IN A 81.91.162.5 e.nic.de 9448 IN A 193.171.255.34 f.nic.de 9455 IN A 193.0.0.237 g.de.net 9433 IN A 62.53.3.68 h.nic.de 9465 IN A 192.36.144.211 i.de.net 9476 IN A 206.65.170.100 j.nic.de 9433 IN A 66.35.208.44 k.nic.de 9433 IN A 210.81.13.179 jockelhofmann.de ANY record currently not present at ns.schlund.de ns.schlund.de.: NOT AUTHORITATIVE for the zone jockelhofmann.de == END == Server ns.schlund.de. is not authoritative!

Woran liegt das?

Es kann doch nicht sein, dass ich bald 1 Woche für so ein lächerliches NS-Update benötige?

:-) Jockel

[wgot]

Hallo,

ns.schlund.de hat Deine Daten wieder nicht übernommen.

Andererseits sieht dig @217.160.166.150 jockelhofmann.de any korrekt aus.

Gab vor 1-2 Wochen bei mehreren Usern Probleme mit der Ã?bernahme, einer hat bei Schlund angefragt und Schlund hat Probleme mit dem ns.schlund.de gehabt. Da hilft dann nur Update nochmal starten.

Drei Domains von mir gingen am Wochenende problemlos beim ersten Mal durch. Allerdings gab es Probleme mit dem Menüserver (vermutlich Datenbank) ich mußte manche Eingaben zweimal machen.

Das Menü ist ohnehin grausam. Erst eigene NS auswählen, dann den Primary eintragen (ns.jockelhofmann.de) und die IP danebenschreiben, dann auf Secondary bei Schlund, dann bestätigen, dann nochmal bestätigen und schließlich im nächsten Formular kontrollieren.

Mehr als nochmaliges Update fällt mir auch nicht ein.

Gruß, Wolfgang

[jockel]

ns.schlund.de hat Deine Daten wieder nicht übernommen.

Ich habe es jetzt _noch_ _einmal_ gestartet - beim nächsten mal schwinge ich mich auf mein Fahrrad, fahre nach KA und meißele es denen mit dem Hammer auf die Festplatte - GRRRRR!

Das Menü ist ohnehin grausam. Erst eigene NS auswählen, dann den Primary eintragen (ns.jockelhofmann.de) und die IP danebenschreiben, dann auf Secondary bei Schlund, dann bestätigen, dann nochmal bestätigen und schließlich im nächsten Formular kontrollieren.

Nachdem ich da durchgestiegen bin, bin ich auf meine eigenen Formulare richtig stolz ;-)

Mehr als nochmaliges Update fällt mir auch nicht ein.

[x] done. Mal sehen, was jetzt passiert.

:-) Jockel

[deanwickert]

Das Menü ist ohnehin grausam.

Für Leute, die effizient arbeiten wollen gibt's ja das Email-Gateway. :D

[jockel]

Ich habe es jetzt _noch_ _einmal_ gestartet - beim nächsten mal schwinge ich mich auf mein Fahrrad, fahre nach KA und meißele es denen mit dem Hammer auf die Festplatte - GRRRRR!

Nagut, dafür ist's heute zu nass...

Nächster Fehlschlag, Anruf bei Schlund: Mein bind lässt üpberhaupt keine Zonen-Transfers durch. Wieso das denn?

/etc/named.conf (alle auskommentierten Zeilen wech)

Code: Select all

# It works as a caching only name server without modification.
#
# A sample configuration for setting up your own domain can be
# found in /usr/share/doc/packages/bind9/sample-config.

Huch - sicher, dass das trotzdem funktioniert?

Code: Select all

options {
        directory "/var/named";
        allow-transfer { any; };

(Gib ihm Saures!)

Code: Select all

};

zone "localhost" in {
        type master;
        file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
        type master;
        file "127.0.0.zone";
};

zone "." in {
        type hint;
        file "root.hint";
};

zone "166.160.217.in-addr.arpa" in {
type master;
file "217.160.166.zone";
};

zone "jockelhofmann.de" in {
type master;
file "jockelhofmann.de.zone";
};

zone "debs-faq.de" in {
type master;
file "debs-faq.de.zone";
};

zone "web-am-main.de" in {
type master;
file "web-am-main.de.zone";
};

Kann es vielleicht daran liegen, dass ich dem NS Zonefiles zum Auslesen gebe, für die er noch nicht zuständig ist?

HELP!

:-) Jockel

[wgot]

Hallo,

schluck!

Im ersten Beitrag hast Du geschrieben:

allow-transfer { 195.20.224.97; 195.20.225.34; };

und damit ist der Transfer zu Schlund freigegeben.

Kopier mal bitte die komplette named.conf rein wie sie jetzt ist, bitte mit allen Kommentaren.

An den zusätzlichen eingetragenen und noch nicht aktiven Domains liegt es nicht.

Wenn Du vorübergehend(!) allow-transfer { any; }; setzt, können die Forumsteilnehmer einen Zonetransfer versuchen. Geht schneller als über Schlund.

Meine named.conf sieht so aus (ohne die Domains):

Code: Select all

# Copyright (c) 2001 SuSE GmbH Nuernberg, Germany
#
# Author: Frank Bodammer <feedback@suse.de>
#
# /etc/named.conf
#
# This is a sample configuration file for the name server BIND9. 
# It works as a caching only name server without modification.
#
# A sample configuration for setting up your own domain can be
# found in /usr/share/doc/packages/bind9/sample-config.
#
# A description of all available options can be found in
# /usr/share/doc/packages/bind9/misc/options.

options {

	# The directory statement defines the name server´s 
	# working directory

	directory "/var/named";

	# The forwarders record contains a list of servers to
	# which queries should be forwarded. Enable this line and
	# modify the IP-address to your provider's name server.
	# Up to three servers may be listed.

	#forwarders { 10.11.12.13; 10.11.12.14; };

	# Enable the next entry to prefer usage of the name 
	# server declared in the forwarders section.

	#forward first;

	# The listen-on record contains a list of local network
	# interfaces to listen on. Optionally the port can be 
	# specified. Default is to listen on all interfaces found
	# on your system. The default port is 53.

	#listen-on port 53 { 127.0.0.1; };

	# The listen-on-v6 record enables or disables listening
	# on IPV6 interfaces. Allowed values are 'any' and 'none'
	# or a list of addresses. IPv6 can only be used with 
	# kernel 2.4 in this release.

	# listen-on-v6 { any; };

	# The next three statements may be needed if a firewall
	# stands between the local server and the internet.

	#query-source address * port 53;
	#transfer-source * port 53;
	#notify-source * port 53;

	# The allow-query record contains a list of networks or
	# IP-addresses to accept and deny queries from. The 
	# default is to allow queries from all hosts.

	#allow-query { 127.0.0.1; };

	# If notify is set to yes (default), notify messages are
	# sent to other name servers when the the zone data is
	# changed. Instead of setting a global 'notify' statement
	# in the 'options' section, a separate 'notify' can be
	# added to each zone definition.

	notify no;

	auth-nxdomain no; 
	# erlaubt das zone-update zu ns.schlund.de und ns2.schlund.de
	allow-transfer { 195.20.224.97; 195.20.225.34; } ;
};

# The following three zone definitions don't need any modification.
# The first one defines localhost while the second defines the
# reverse lookup for localhost. The last zone "." is the 
# definition of the root name servers. 

zone "localhost" in {
	type master;
	file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
	type master;
	file "127.0.0.zone";
};

zone "214.160.217.in-addr.arpa" in {
	type master;
	file "217.160.214.zone";
};


zone "." in {
	type hint;	
	file "root.hint";
};

# You can insert further zone records for your own domains below.

Gruß, Wolfgang

[jockel]

Code: Select all

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             jockelhofmann.de   tcp dpt:ssh
ACCEPT     tcp  --  anywhere             jockelhofmann.de   tcp dpt:smtp
ACCEPT     tcp  --  anywhere             jockelhofmann.de   tcp dpt:http
ACCEPT     tcp  --  anywhere             jockelhofmann.de   tcp dpt:pop3
ACCEPT     tcp  --  anywhere             jockelhofmann.de   tcp dpt:nntp
ACCEPT     tcp  --  anywhere             jockelhofmann.de   tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere           state RELATED,ESTABLISHED
REJECT     tcp  --  anywhere             jockelhofmann.de   reject-with tcp-reset

Das reicht nicht, oder?

[jockel]

schluck!

Im ersten Beitrag hast Du geschrieben:

allow-transfer { 195.20.224.97; 195.20.225.34; };

und damit ist der Transfer zu Schlund freigegeben.

Das war jetzt Absicht, um auf keinen Fall zuviel zu blockieren. Beschneiden kann ich nachher immer noch.

Kopier mal bitte die komplette named.conf rein wie sie jetzt ist, bitte mit allen Kommentaren.

An den zusätzlichen eingetragenen und noch nicht aktiven Domains liegt es nicht.

Ist ja schon mal was.

Wenn Du vorübergehend(!) allow-transfer { any; }; setzt, können die Forumsteilnehmer einen Zonetransfer versuchen. Geht schneller als über Schlund.

Richtig. Wie gesagt, ich mache es nachher zu, wenn es läuft.

Meine named.conf sieht so aus (ohne die Domains):

[Schnipp]
Meine so:

Code: Select all

# Copyright (c) 2001 SuSE GmbH Nuernberg, Germany
#
# Author: Frank Bodammer <feedback@suse.de>
#
# /etc/named.conf
#
# This is a sample configuration file for the name server BIND9.
# It works as a caching only name server without modification.
#
# A sample configuration for setting up your own domain can be
# found in /usr/share/doc/packages/bind9/sample-config.
#
# A description of all available options can be found in
# /usr/share/doc/packages/bind9/misc/options.

options {

        # The directory statement defines the name server?s
        # working directory

        directory "/var/named";

        # The forwarders record contains a list of servers to
        # which queries should be forwarded. Enable this line and
        # modify the IP-address to your provider's name server.
        # Up to three servers may be listed.

        #forwarders { 10.11.12.13; 10.11.12.14; };

        # Enable the next entry to prefer usage of the name
        # server declared in the forwarders section.

        #forward first;

        # The listen-on record contains a list of local network
        # interfaces to listen on. Optionally the port can be
        # specified. Default is to listen on all interfaces found
        # on your system. The default port is 53.

        #listen-on port 53 { 127.0.0.1; };

        # The listen-on-v6 record enables or disables listening
        # on IPV6 interfaces. Allowed values are 'any' and 'none'
        # or a list of addresses. IPv6 can only be used with
        # kernel 2.4 in this release.

        # listen-on-v6 { any; };

        # The next three statements may be needed if a firewall
        # stands between the local server and the internet.

        #query-source address * port 53;
        #transfer-source * port 53;
        #notify-source * port 53;
        #transfer-source * port 53;
        #notify-source * port 53;

        # The allow-query record contains a list of networks or
        # IP-addresses to accept and deny queries from. The
        # default is to allow queries from all hosts.

        #allow-query { 127.0.0.1; };

        # allow-query { any; };

        # If notify is set to yes (default), notify messages are
        # sent to other name servers when the the zone data is
        # changed. Instead of setting a global 'notify' statement
        # in the 'options' section, a separate 'notify' can be
        # added to each zone definition.

        notify yes;
        # erlaubt das zone-Update zu ns.schlund.de und ns2.schlund.de

        allow-transfer { any; };

        # Hinweis aus dem Usenet:
        # It means that the default behavior of BIND 9 is to not respond with an
        # authoritative flag for answers that it has cached. BIND 8 did the opposite
        # (for compatibility reasons).

        # Aufgrund von Fehlermeldung bei Schlund auf yes gesetzt.

        # auth-nxdomain yes;

};

# The following three zone definitions don't need any modification.
# The first one defines localhost while the second defines the
# reverse lookup for localhost. The last zone "." is the
# definition of the root name servers.

zone "localhost" in {
        type master;
        file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
        type master;
        file "127.0.0.zone";
};

zone "." in {
        type hint;
        file "root.hint";
};

# You can insert further zone records for your own domains below.

zone "166.160.217.in-addr.arpa" in {
type master;
file "217.160.166.zone";
};

zone "jockelhofmann.de" in {
type master;
file "jockelhofmann.de.zone";
};

zone "debs-faq.de" in {
type master;
file "debs-faq.de.zone";
};

zone "web-am-main.de" in {
type master;
file "web-am-main.de.zone";
};

Ich kann da jetzt keinen nenneswerten Unterschied feststellen. Bind startet ja auch meckerfrei.

Du hast noch drin:

Code: Select all

   notify no; 
   auth-nxdomain no; 

Laut Schlund hat notify keinen Einfluss - die lassen sich nicht notifiziminieren. Und zu auth-nxdomain meldet /var/log/messages:

Code: Select all

the default for the 'auth-nxdomain' option is now 'no'

:-) Jockel

[captaincrunch]

Zu deinen "Firewall-Regeln":

Um ehrlich zu sein ist das ganze reichlich sinnfrei. ;)
Wenn die Default-Policy ohnehin auf "ACCEPT" steht, kannst du dir die "sauber ausgetüftelten" Regeln auch genau so gut sparen.