Korrekte Konfiguration (m)eines Nameservers?

[dts]

Hallo liebe Nameserver Profis!

Ich habe mich nach langem studieren diverser Howto's und Durchsuchen dieses Forums daran gewagt einen eigenen Nameserver (vorerst nur Primary) aufzusetzen und bin weitgehenst nach diversen Informationen, die ich hier und in den FAQ gefunden habe, vorgegangen.

Erläuterung: 111.111.111.111 = Primary / 222.222.222.222 = Secondary

Dennoch möchte ich auf Nummer sicher gehen und würde euch mal bitten meine Konfiguration zu verifizieren. Ich versuche mich dabei nur auf den wichtigen Sachen zu beschränken:

Ausschnitt von "named.conf":

Code: Select all

options {
        directory "/var/cache/bind";
        pid-file "/var/run/bind/named.pid";
        notify yes;

        allow-transfer { 111.111.111.111; 222.222.222.222; };
        forwarders { 111.111.111.111; 222.222.222.222; };
        forward first;

        listen-on port 53 { 127.0.0.1; 111.111.111.111; };
        listen-on-v6 { none; };

        allow-query { any; };
        allow-recursion { any; };

        auth-nxdomain no;

        version "my secure bind nameserver";
};

Ich arbeite dann über das bekannte "EazyDNS" (http://www.eazydns.com), wobei ich mir dafür noch eine Lizenz besorgen muss.

Jetzt meine Fragen:

- Ist obige Konfiguration euerer Meinung nach korrekt und sicher?
- Wie kann ich nun meine Domain für den DNS einbinden, sodass mein Nameserver selbst weiss, wie seine beiden DNS lauten (ns1./ns2.)

Das sollte es erstmal gewesen sein. Würd mich freuen, wenn mir da jemand behilflich sein kann. Dankäääääää :)

Gruss DtS

[kase]

Ich weiß zwar nicht, ob es ein DebianServer ist, aber in Bezug auf Konfiguration sollte ja auch zu anderen Distris nicht zu viel bis kein Unterschied sein.

Deshalb ist diese URL vielleicht ein Blick wert:

http://www.debianhowto.de/howtos/de/bind/bind_conf.html

zB würde ich allow_query nicht auf any setzen, sondern zB auf deinen eigenen Server einschränken, und dann bei deinen entsprechenden Domains das allow_query any aktivieren, damit dein Name-Server nicht als "allgemeiner" NameServer für sämtliche Domains missbraucht werden kann.

[oxygen]

forwarders { 111.111.111.111; 222.222.222.222; };
forward first;
allow-recursion { any; };

Weißt du was du da tust? Für einen Bind der als Nameserver arbeiten soll, ist das ziemlich kontraproduktiv. Das ist eher für Caching Nameserver...

[dts]

@kase_____________

Es handelt sich durchaus um das System Debian, wobei ich bisher nicht
allzu grosse Unterschiede zu anderen Distributionen entdecken konnte,
aber ich lasse mich gerne eines besseren belehren.

http://www.debianhowto.de/howtos/de/bind/bind_conf.html

Diese (sehr gute) URL habe ich bereits studiert und in meine
Konfiguration einbezogen. Meinst du diese Option im EazyDNS, wo
ich folgenden Parameter setzten kann: (?)

Code: Select all

$addnameconf = "allow-query { any; };";

Habe jetzt die names.conf geändert:

Code: Select all

options { 
        directory "/var/cache/bind"; 
        pid-file "/var/run/bind/named.pid"; 
        notify yes; 

        allow-transfer { 111.111.111.111; 222.222.222.222; }; 
        forwarders { 111.111.111.111; 222.222.222.222; }; 
        forward first; 

        listen-on port 53 { 127.0.0.1; 111.111.111.111; }; 
        listen-on-v6 { none; }; 

        allow-query { 111.111.111.111; 222.222.222.222; }; 
        allow-recursion { any; }; 

        auth-nxdomain no; 

        version "my secure bind nameserver"; 
};

@øxygen_______________

Naja soweit ich das verstanden habe, werden doch damit die Zones
von NS1 auf NS2 übergeben? Oder liege ich da falsch? Leider ist mir
bisher auch die Option allow-recursion { any; }; unbekannt, was
bewirkt diese eigentlich?


Viele Grüsse
Euer DtS

[wgot]

Hallo,

allow-transfer { 111.111.111.111; 222.222.222.222; };

allow-transfer von sich selbst ist sinnfrei, die 222... reicht.

forwarders { 111.111.111.111; 222.222.222.222; };
forward first;

wenn forwarders, dann die NS des Server-Providers. Forwarders werden aber nur benötigt, wenn der NS zum Surfen verwendet werden soll, also raus damit.

listen-on port 53 { 127.0.0.1; 111.111.111.111; };

"The listen-on record contains a list of local network interfaces ... The default port is 53."

Also nur die 127.0.0.1 oder einfach weglassen.

allow-recursion { any; };

vereinfacht erklärt: gestattet die Nutzung der forwarders. Also auch weg.

version "my secure bind nameserver";

Wenn Du eine sichere Version installiert hast, merken das die Hacker auch so. IMHO fordert der Spruch eher heraus mal nachzusehen, ob er auch stimmt. :roll:

... Nameserver selbst weiss, wie seine beiden DNS lauten.

Ã?ber die Zonefiles, die Du vermutlich mit EazyDNS erstellen willst.
Das ist keine globale Einstellung, sondern wird für jede Domain einzeln angegeben (im Zonefile) weil man auch für jede Domain andere Werte nehmen könnte.

Gruß, Wolfgang

[wgot]

Hallo,

Leider ist mir bisher auch die Option allow-recursion { any; };
unbekannt, was bewirkt diese eigentlich?

ok, dann ausführlich:

EDIT: ich hab - schön ausführlich - den falschen Befehl erklärt. :oops: :oops: Bitte Beitrag drunter von Dodolin lesen.

Ein NS kann die Anfrage entweder selbst beantworten (dann hat er dafür ein Zonefile oder hat's im Cache), oder er muß sie weiterleiten, also sich die Infos woanders holen. Das kann er entweder bei den Forwarders machen, das sind Providernameserver, welche die Info entweder aus ihrem Cache holen oder selbst weitergeben. Letzte Instanz sind dann die Root-Nameserver.

Bei allow-recursion { none; }; frägt Dein NS direkt die Root-Nameserver. Da er vermutlich ein reiner Auth-Nameserver werden soll, ist diese Einstellung korrekt.

Gruß, Wolfgang

[dodolin]

Bei allow-recursion { none; }; frägt Dein NS direkt die Root-Nameserver.

Nö, das ist falsch.
allow-recursion besagt, welche Clients diesen Nameserver mit rekursiven Anfragen konfrontieren dürfen und beantwortet bekommen, d.h. welche Clients diesen Server als Forwarder eintragen dürfen und ihn nach Domains fragen dürfen, für die er selbst nicht Authoritativ ist.

Was du meinst und vermutlich verwechselst, ist die Einstellung "forward". Dort kann man dann "forward only", "forward first" etc. einstellen.

[dts]

Hallo wgot,

Bevor ich jetzt lange deine wirklich sehr einfach erklärten Dinge hier
kommentiere, sage ich einfach mal ein riesen Dankschön an dich. Ich
habe jetzt die named.conf folgendermassen "bereinigt" und bin erstaunt
wie klein die Konfiguration wird: :-D

Code: Select all

options {
        directory "/var/cache/bind";
        pid-file "/var/run/bind/named.pid";
        notify yes;

        # Zonentransfer auf zweiten Nameserver erlauben
        allow-transfer { 80.190.250.208; };

        listen-on port 53 { 127.0.0.1; 80.190.245.138; };
        listen-on-v6 { none; };

        allow-query { 80.190.245.138; 80.190.250.208; };
        auth-nxdomain no;
        allow-recursion { none; };
};

Ziel dieses (primäry) Nameservers ist die Unabhängigkeit von einem
Drittanbieter, den ich bisher hatte. Aus Kostengründen möchte ich diesen
aber kündigen und mich eben auch selbst mit dem Thema Nameserver
beschäftigen.

In weiterer Folge soll noch ein (secondary) Nameserver dazu kommen,
den ich aber erst nach Vollendigung des ersten aufsetzen werde...

Ich habe bereits eine Domainadresse, die mit den Subdomains
ns1.domain.tld und ns2.domain.tld als Nameserveradressen fungieren
sollten.

Melde mich gleich noch mit einer Frage... :roll:
Dankeschön mal bisher... :)

Gruss DtS

[wgot]

Hallo,

Nö, das ist falsch.

stimmt! Sorry, verwechselt.

Danke, Wolfgang

[dts]

Hallo nochmal,

Ich habe mittlerweile "EazyDNS" drauf, auch wenn es manchen bei
diesen "Klicki-Bunti-Tools" die Haare aufstellt. :lol: Ich habe nun meinen
Nameserver jetzt folgendermassen (siehe Screenshot) konfiguriert:

http://emilia.ath.cx/~sunshineman/dnsconfig.jpg

Eigentlich sollte das doch in Ordnung sein, denn eine Namserver-URL
benötigt doch keinen anderen A und/oder MX-Record?

Gehe ich da richtig in der Annahme? :roll:

Gruss DtS

[wgot]

Hallo,

eventuell sinnvoll: zusätzlich zum Klicki-Bunti die dabei entstandenen Zonefiles zeigen.

Willst Du die dnsdomain.tld ausschließlich für die zwei NS-Subdomains nutzen? (Ich würde für die Domain selbst noch einen A anlegen und auf den Server eine Baustellenseite setzen).

Einen MX mußt Du allerdings anlegen wegen hostmaster@dnsdomain.tld.

Gruß, Wolfgang

[dts]

Hallo wgot,

Ich habe es nunmal geändert, da du mich eigentlich auf die richtige
Spur gebracht hast, denn unter dieser Domain sollte auch noch eine
(kleine) Webseite online gestellt werden. Daher habe ich nun:

http://emilia.ath.cx/~sunshineman/dnsconfig-01.jpg

Die Zonefile, die EasyDNS daraus erstellt sind so aus:

Code: Select all

$ORIGIN dnsdomain.tld.
$TTL 86400
dnsdomain.tld.        IN        SOA        111.111.111.111. hostmaster.111.111.111. (
                        2004032306
                        10800
                        3600
                        604800
                        86400 )

*.dnsdomain.tld.        86400        IN        A        123.123.123.123
ns1.dnsdomain.tld.        86400        IN        A        111.111.111.111
dnsdomain.tld.        86400        IN        A        123.123.123.123
ns2.dnsdomain.tld.        86400        IN        A        222.222.222.222



dnsdomain.tld.        86400        IN        MX 10        mail.dnsdomain.tld.

ns1.dnsdomain.tld.        86400        IN        NS        111.111.111.111.
ns2.dnsdomain.tld.        86400        IN        NS        222.222.222.222.

Auch wenn diese nicht besonders schön formatiert ist... :? Jetzt brauche
ich eigentlich nurmehr bei meiner "dnsdomain.tld" eine Ã?nderung bei
Registrar durchführen und dort als 1.NS und 2.NS (wenn auch dieser
fertig ist) die IP's eintragen? Und das war's doch dann schon, oder?

Gruss DtS

[kase]

Code: Select all

$addnameconf = "allow-query { any; };";

Da du nun allgemein Querys verbietest (sehr sinnvoll), musst du bei den "entsprechenden Domains" dies natürlich mit any erlauben.

Ob dazu genau diese Einstellung aus dem Quote richtig ist, weiß ich nicht, aber wenn man diese Einstellung für jede Domain extra setzen kann, sieht es mir sehr danach aus.

Ansonsten sieht nun deine named.conf sehr viel besser aus als vorher, wüsste nun nichts mehr zu bemängeln.

Am besten, du überprüfst deine NameServer auf Funktion, und zwar NICHT NUR von deinem eigenen Server aus! Wie man das macht, ist in der von mir genannten URL ebenfalls ausführlich erklärt.

[wgot]

Hallo,

sieht gut aus.

Du könntest noch einen MX-Eintrag für Subdomains vornehmen (falls Du Emailadressen unter Subdomains anlegen willst).

Du mußt beim Registrar die Namen der Nameserver angeben und die IPs der Nameserver (Glue-Record).

Gruß, Wolfgang

[dts]

Hallo,

Da du nun allgemein Querys verbietest (sehr sinnvoll), musst du bei den "entsprechenden Domains" dies natürlich mit any erlauben. Ob dazu genau diese Einstellung aus dem Quote richtig ist, weiß ich nicht, aber wenn man diese Einstellung für jede Domain extra setzen kann, sieht es mir sehr danach aus.

Was ich bisher gelesen habe, scheint das korrekt zu sein. Leider ist die Doku von EazyDNS nicht besonders gut, speziell die neuen Funktionen und Variablen von der Version 1.80 sind scheinbar bisher nirgends dokumentiert. Aber was solls, Hauptsache es funktioniert :lol:

Natürlich werde ich den Nameserver von verschiedenen Servern aus prüfen, aber dazu ist es noch nicht Zeit, denn heute Abend kommt dann noch der "Secondary".

Du könntest noch einen MX-Eintrag für Subdomains vornehmen (falls Du Emailadressen unter Subdomains anlegen willst).

Habe ich eigentlich nicht vor, also spare ich mir das erstmal

Nicht vergessen: beim Registrar einen doppelten Glue anlegen, also bei beiden Nameservern die IP des jeweiligen Nameservers mit angeben. Das gilt natürlich nur für diese eine Domain.

Wenn ich das richtig verstanden habe (durch die Forensuche) ist ein doppelten Glue einfach die Angabe von Domain und IP-Adresse, also so:

Code: Select all

Erster Nameserver: ns1.dnsdomain.tld / 111.111.111.111
Zweiter Nameserver: ns2.dnsdomain.tld / 222.222.222.222

(Natürlich nur bildlich gedacht und nicht korrekt in dieser Schreibweise!)

Also ich muss sagen, ihr seit mir eine grosse Hilfe die kleinen (grossen) Hürden beim ersten eigenen Nameserver zu meistern, was wäre ich ohne dieses geniale Rootforum, das leider von manchen nicht ernst genommen wird (wenn man sich die Hackversuche auf der Einstiegseite ansieht).

Naja, weiter so und vor allem jetztmal herzlichen Danke!

Liebe Grüsse
Euer DtS

[dts]

Hallo wgot,

Sorry vorschnell gepostet, das Thema "Doppelter Glue-Record" ist
jetzt auch verstanden wurden :) Danke dir.

Gruss DtS!