Probleme mit Bind9 DNS und Providerdomain

Bind, PowerDNS
peter213
Posts: 29
Joined: 2004-05-27 15:53

Probleme mit Bind9 DNS und Providerdomain

Post by peter213 » 2004-05-27 15:57

Hallo,

habe mal versucht einen eigenen BIND9 DNS Server aufzusetzten.

Ich poste mal meine Configs:

/etc/named.conf

Code: Select all

options { 
        directory "/var/named"; 
        forwarders { 195.20.224.234; 195.20.224.99; }; 
        forward first; 
        listen-on port 53 { 127.0.0.1; 212.62.91.86; }; 
        listen-on-v6 { none; }; 
        allow-transfer { 195.20.224.97; 195.20.225.34; }; 
        allow-query { 127.0.0.1; 212.62.91.86; }; 
        notify yes; 
        auth-nxdomain no; 
        allow-recursion { 127.0.0.1; 212.62.91.86; }; 
}; 

zone "." IN { 
        type hint; 
        file "named.ca"; 
}; 

zone "localhost" IN { 
        type master; 
        file "localhost.zone"; 
}; 

zone "0.0.127.in-addr.arpa" IN { 
        type master; 
        file "named.local"; 
}; 


zone "peter213.de" { 
        type master; 
        file "/var/named/peter213.de.zone"; 
        allow-query { any; }; 
        }; 
zone "luettfeld.de" { 
        type master; 
        file "/var/named/luettfeld.de.zone"; 
        allow-query { any; }; 
        }; 
/var/named/peter213.de.zone

Code: Select all

$TTL 1W 
@               IN      SOA     ns.peter213.de.    hostmaster.peter213.de. ( 
                                2004052601      ; serial 
                                8H              ; refresh 
                                2H              ; retry 
                                1W              ; expiry 
                                11h )           ; minimum 
; 
; Zone name server records 
; 
                IN      NS      ns 
                IN      NS      ns.schlund.de. 
; 
; Zone mail exchange records 
; 
                IN      MX      10      mx 
; 
;  Zone records 
; 
                IN      A       212.62.91.86 
*               IN      A       212.62.91.86 
Dann wollte ich bei schlundtech.com meinen DNS eintragen und habe heute morgen folgenden fehler bekommen:

Code: Select all

The domain peter213.de has NOT been updated. The following errors were detected: == SERVER ns.peter213.de. == Server: 212-62-91-86.teleos-web.de Address: 212.62.91.86 Query about peter213.de for record types ANY Trying peter213.de ... Nameserver 212-62-91-86.teleos-web.de not responding peter213.de ANY record not found at 212-62-91-86.teleos-web.de, try again ns.peter213.de.: NOT AUTHORITATIVE for the zone peter213.de == END == Server ns.peter213.de. is not authoritative! 
Kann mir einer helfen was da vielleicht falsch ist?

Mfg

Peter

wirsing
RSAC
Posts: 611
Joined: 2002-11-20 21:32
Location: Vaihingen und Karlsruhe

Re: Probleme mit Bind9 DNS und Providerdomain

Post by wirsing » 2004-05-27 18:14

Du solltest noch einmal in der Doku die Beschreibung zu allow-query durchlesen. Da liegt nämlich zumindest der Fehler, dass du außer dir selbst niemanden Domains auflösen lässt. Möglicherweise hast du es mit allow-recursion verwechselt.

peter213
Posts: 29
Joined: 2004-05-27 15:53

Re: Probleme mit Bind9 DNS und Providerdomain

Post by peter213 » 2004-05-27 19:10

Hmm...aber in den ganzen FAQ's hier ist das auch so, das bei allow query immer die 127.0.0.1 und die IP der Domain eingetragen ist.

Aber ich gucke nochmal.

Mfg

wirsing
RSAC
Posts: 611
Joined: 2002-11-20 21:32
Location: Vaihingen und Karlsruhe

Re: Probleme mit Bind9 DNS und Providerdomain

Post by wirsing » 2004-05-27 19:30

BIND9 Administrator Reference Manual, 6.2.14.3. Access Control wrote: allow-query

Specifies which hosts are allowed to ask ordinary questions. allow-query may also be specified in the zone statement, in which case it overrides the options allow-query statement. If not specified, the default is to allow queries from all hosts.
http://www.bind9.net/Bv9ARM.ch06.html#access_control
Und zu den "ordinary questions" gehört zum Beispiel die Frage nach dem A-Record für peter213.de.
Last edited by wirsing on 2004-05-27 19:49, edited 1 time in total.

oxygen
RSAC
Posts: 2179
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Probleme mit Bind9 DNS und Providerdomain

Post by oxygen » 2004-05-27 19:44

Peter213 wrote:Hmm...aber in den ganzen FAQ's hier ist das auch so, das bei allow query immer die 127.0.0.1 und die IP der Domain eingetragen ist.

Aber ich gucke nochmal.

Mfg
Die FAQ würde ich gerne mal sehen.

wirsing
RSAC
Posts: 611
Joined: 2002-11-20 21:32
Location: Vaihingen und Karlsruhe

Re: Probleme mit Bind9 DNS und Providerdomain

Post by wirsing » 2004-05-27 19:57

Ich habe beim ersten Mal übersehen, dass du allow-query dann für die einzelnen Domains wieder aktiviert hast. Trotzdem empfehle ich, im oberen Bereich allow-query auf any zu setzen und die einzelnen allow-query-Angaben zu entfernen. Aber dein Nameserver reagiert generell nicht - hast du möglicherweise eine sogenannte Firewall aktiviert?

peter213
Posts: 29
Joined: 2004-05-27 15:53

Re: Probleme mit Bind9 DNS und Providerdomain

Post by peter213 » 2004-05-27 20:26

Also die FAQ's habe ich hier gefunden:
[URL
http://www.rootforum.org/faq/index.php ... rubrik=004
[/url]

Und genommen habe ich hauptsächlich die:
http://www.rootforum.org/faq/index.php?s ... 80&lang=de

Ne Firewall nicht nur ein paar IPTABLES Rules aber der Port 53 ist aber auf wie ja auch ein Portscan belegt.

wirsing
RSAC
Posts: 611
Joined: 2002-11-20 21:32
Location: Vaihingen und Karlsruhe

Re: Probleme mit Bind9 DNS und Providerdomain

Post by wirsing » 2004-05-27 20:30

Dann mach mal die iptables-Rules raus wenn du dir nicht absolut über
-ihre Funktionsweise,
-ihren Sinn und
-ihren Platz in deinem Sicherheitskonzept
sicher bist.
Denn bei nmaps UDP-Scan ist der Unterschied zwischen open und filtered nicht klar erkennbar.

peter213
Posts: 29
Joined: 2004-05-27 15:53

Re: Probleme mit Bind9 DNS und Providerdomain

Post by peter213 » 2004-05-27 21:08

Ok mache ich mal,

mit welchem Befehl kann ich denn von einem Entfernten Computer testen ob der dns erreichbar ist und ob alles funktioniert?

Mfg

oxygen
RSAC
Posts: 2179
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Probleme mit Bind9 DNS und Providerdomain

Post by oxygen » 2004-05-27 21:16

dig -t any ab-zu-fragende-domain.de @zuständiger-nameserver.de

wirsing
RSAC
Posts: 611
Joined: 2002-11-20 21:32
Location: Vaihingen und Karlsruhe

Re: Probleme mit Bind9 DNS und Providerdomain

Post by wirsing » 2004-05-27 21:18

dig (von BIND) oder dnsq (von djbdns)

Code: Select all

% dnsq a ns.peter213.de ns.peter213.de
1 ns.peter213.de:
timed out
% dnsq a ns.peter213.de ns.schlund.de 
1 ns.peter213.de:
119 bytes, 1+1+2+2 records, response, authoritative, noerror
query: 1 ns.peter213.de
answer: ns.peter213.de 604800 A 212.62.91.86
authority: peter213.de 604800 NS ns.schlund.de
authority: peter213.de 604800 NS ns.peter213.de
additional: ns.schlund.de 86400 A 195.20.224.97
additional: ns.peter213.de 604800 A 212.62.91.86
Der Transfer zu Schlund funktioniert also, die Abfrage direkt an den Server nicht.
Mit dig kann ich auch eine Anfrage über TCP stellen, das Problem wird also an deinen vermurksten Paketfilterregeln liegen, die keine DNS-Anfragen über UDP zulassen. (Ich nenne zuerst einmal alle Paketfilterregeln auf Rootservern für vermurkst - aber dazu gibt es schon viel zu viele Threads im Security-Forum. Wenn dich das also mehr interessiert, da findest du eine Fundgrube an Diskussionen über Sinn und Unsinn vom Paketfiltern)

peter213
Posts: 29
Joined: 2004-05-27 15:53

Re: Probleme mit Bind9 DNS und Providerdomain

Post by peter213 » 2004-05-27 22:43

Wo du UDP sagst.....
da koennte der Fehler liegen..aber nun muss ich erstmal lecker Caipi trinken. Ich trinke erstmal einen für euch mit...für die nette Hilfe!

Danke erstmal.