1und1 Firewall blockt meine eigenen NS-Server

[burner08150815]

ich habe bei 1und1 meine root-server als "eigenen NS" eingetragen und als 2. den slv2.1und1.de soweit klapt das auch alles nur habe ich festgestellt das die 1und1 firewall die NS blockt. Obwohl ich port 53 TCP und UDP freigegeben habe. Wenn ich die firewall ausschalte habe ich zwar meine NS diese sind dann jedoch auch Open DNS servers.

kann mir jemand helfen?

[oxygen]

Schreib nochmal verständlich dein Problem.
Was genau willst du erreichen?
Was hast du dazu gemacht?
Was funktioniert nicht?

[burner08150815]

also ich möchte meinen root-server als primären nameserver betreiben. Hierzu bin ich wie bei 1und1 beschrieben (Subdomain einrichten, ACL setzen, 2. NS svl2.1und1.de, etc. ) vorgegangen. Wenn ich nun über DNSReport eine Abfrage mache wird mir angezeigt das die NS-Server nicht antworten. Zu test zwecken habe ich dann die interne firewall von 1und1 ausgeschalten und siehe da die NS-Server haben geantwortet. Ich möchte die firewall jedoch nicht ausschalten da meine DNS Server als "Open DNS servers" da stehen laut DNSReport. Ich kann jedoch nicht raus finden welche Ports oder Regeln ich in der Firewall eintragen muß das es klappt.

[wgot]

Hallo,

wenn Dein Server als Nameserver für eine Domain dienen soll, dann muß er auch von jedem über diese Domain befragt werden können. Ob er Anfragen zu jeder beliebigen Domain beantwortet oder ausschließlich zu Domains für die er authoritativ ist kann man in der Konfiguration des Nameservers einstellen, nicht in einer "Firewall".

Gruß, Wolfgang

[gierig]

Open DNS Server ?

Du meinst das dein DNS für jedermann benutzbar ist ?
Nun das ist (von irgendwelchen Intranets und hidden configs mal abgesehen)
soll das auch so sein. Wofür soll mann den dann sonst betrieben wollen
wenn er nicht gefragt wird ?

ODER meinst du das DEIN DNS auch DNS fragen für Fremde Domain beantwortet ?
Also als Revolver für Jedermann ?

In diesen Fall bitte den DNS Dienst einfach richtig einstellen...

[burner08150815]

Hallo

dann schau doch mal:
Category Status Test Name Information
Parent PASS Missing Direct Parent check OK. Your direct parent zone exists, which is good. Some domains (usually third or fourth level domains, such as example.co.us) do not have a direct parent zone ('co.us' in this example), which is legal but can cause confusion.
INFO NS records at parent servers Your NS records at the parent servers are:

ns.w-vm.com. [212.227.103.151] [TTL=172800] [DE]
slv2.1und1.de. [212.227.123.29 (NO GLUE)] [DE]
[These were obtained from l.gtld-servers.net]
PASS Parent nameservers have your nameservers listed OK. When someone uses DNS to look up your domain, the first step (if it doesn't already know about your domain) is to go to the parent servers. If you aren't listed there, you can't be found. But you are listed there.
WARN Glue at parent nameservers WARNING. The parent servers (I checked with l.gtld-servers.net.) are not providing glue for all your nameservers. This means that they are supplying the NS records (host.example.com), but not supplying the A records (192.0.2.53), which can cause slightly slower connections, and may cause incompatibilities with some non-RFC-compliant programs. This is perfectly acceptable behavior per the RFCs. This will usually occur if your DNS servers are not in the same TLD as your domain (for example, a DNS server of "ns1.example.org" for the domain "example.com"). In this case, you can speed up the connections slightly by having NS records that are in the same TLD as your domain.
PASS DNS servers have A records OK. All your DNS servers either have A records at the zone parent servers, or do not need them (if the DNS servers are on other TLDs). A records are required for your hostnames to ensure that other DNS servers can reach your DNS servers. Note that there will be problems if your DNS servers do not have these same A records.
NS INFO NS records at your nameservers Your NS records at your nameservers are:

[None of your nameservers returned your NS records; they could be down or unreachable, or could all be lame nameservers]
PASS Open DNS servers OK. Your DNS servers do not announce that they are open DNS servers. Although there is a slight chance that they really are open DNS servers, this is very unlikely. Open DNS servers increase the chances that of cache poisoning, can degrade performance of your DNS, and can cause your DNS servers to be used in an attack (so it is good that your DNS servers do not appear to be open DNS servers).
PASS Mismatched glue OK. The DNS report did not detect any discrepancies between the glue provided by the parent servers and that provided by your authoritative DNS servers.
PASS No NS A records at nameservers OK. Your nameservers do include corresponding A records when asked for your NS records. This ensures that your DNS servers know the A records corresponding to all your NS records.
WARN All nameservers report identical NS records WARNING: At least one of your nameservers did not return your NS records (it reported 0 answers). This could be because of a referral, if you have a lame nameserver (which would need to be fixed).

212.227.123.29 returns 0 answers (may be a referral)

FAIL All nameservers respond ERROR: Some of your nameservers listed at the parent nameservers did not respond. The ones that did not respond are:

212.227.103.151


Note: If you are running a Watchguard Firebox with DNS Proxy enabled, there may be a bug causing port numbers get mixed up -- if this is the case, you can contact Watchguard to see if they have a fix.
PASS Nameserver name validity OK. All of the NS records that your nameservers report seem valid (no IPs or partial domain names).
PASS Number of nameservers OK. You have 2 nameservers. You must have at least 2 nameservers (RFC2182 section 5 recommends at least 3 nameservers), and preferably no more than 7.
FAIL Lame nameservers ERROR: You have one or more lame nameservers. These are nameservers that do NOT answer authoritatively for your domain. This is bad; for example, these nameservers may never get updated. The following nameservers are lame:
212.227.123.29

PASS Missing (stealth) nameservers OK. All 0 of your nameservers (as reported by your nameservers) are also listed at the parent servers.
FAIL Missing nameservers 2 ERROR: One or more of the nameservers listed at the parent servers are not listed as NS records at your nameservers. The problem NS records are:
ns.w-vm.com.
slv2.1und1.de.

PASS No CNAMEs for domain OK. There are no CNAMEs for w-vm.com. RFC1912 2.4 and RFC2181 10.3 state that there should be no CNAMEs if an NS (or any other) record is present.
PASS No NSs with CNAMEs OK. There are no CNAMEs for your NS records. RFC1912 2.4 and RFC2181 10.3 state that there should be no CNAMEs if an NS (or any other) record is present.
WARN Nameservers on separate class C's WARNING: We cannot test to see if your nameservers are all on the same Class C (technically, /24) range, because the root servers are not sending glue. We plan to add such a test later, but today you will have to manually check to make sure that they are on separate Class C ranges. Your nameservers should be at geographically dispersed locations. You should not have all of your nameservers at the same location. RFC2182 3.1 goes into more detail about secondary nameserver location.
PASS All NS IPs public OK. All of your NS records appear to use public IPs. If there were any private IPs, they would not be reachable, causing DNS delays.
PASS TCP Allowed OK. All your DNS servers allow TCP connections. Although rarely used, TCP connections are occasionally used instead of UDP connections. When firewalls block the TCP DNS connections, it can cause hard-to-diagnose problems.
WARN Single Point of Failure WARNING: Although you have at least 2 NS records, they may both point to the same server (one of our two tests shows them being the same, the other does not), which would result in a single point of failure. You are required to have at least 2 nameservers per RFC 1035 section 2.2.
INFO Nameservers versions Your nameservers have the following versions:

212.227.123.29: "not bind"
212.227.103.151: No version info available (timeout on lookup). Could be tinydns 1.00 through 1.04.

PASS Stealth NS record leakage Your DNS servers do not leak any stealth NS records (if any) in non-NS requests.
SOA FAIL SOA Record No valid SOA record came back:
is not w-vm.com.

[burner08150815]

Hallo

ja er ist dann resolver für jeder man und das geht natürlich nicht. was ich nicht verstehe ist das ist die Firewall ausgeschalten antworten die NS korrekt. Ist die firewall eigeschalten heist es ERROR. Also muß es an den PORT freigaben für Bind liegen habe aber port 53 UDP undTCP freigegeben

Firewall einstellungen:
All Any 22 TCP Allow
2 All Any 80 TCP Allow
3 All Any 443 TCP Allow
4 All Any 25 TCP Allow
5 All Any 110 TCP Allow
6 All Any 143 TCP Allow
7 All Any 465 TCP Allow
8 All Any 993 TCP Allow
9 All Any 995 TCP Allow
10 All Any 8443 TCP Allow
11 All 123 Any UDP Allow
12 All 53 Any UDP Allow
13 All 53 Any TCP Allow
14 All Any Any TCP Allow
15 All ICMP Allow

[gierig]

PNs sind doof, vor allen wenn auch hunderte andere die fragen beantworten können oder einzelne die Antwort als hilfreich finden könnten.

Deine PN die ich hier zu 100% Veröffentliche:

Was wären denn die richtigen DNS-Dienst Einstellungen? Ich benutze Plesk 8.2

Plesk ist kein DNS Server sondern ein Verwaltungstool für alles Mögliche.
Wie und wo das mit Plesk geht, kann ich nicht beantworten, da ich solche
Tools meide wie Pig Pen das Wasser.

Sollte aber der DNS Server ein Bind sein, dann werde dir folgende
Zeilen vielleicht Trost spenden:

Ein

Code: Select all

allow-recursion { 127.0.0.1;}

in der Config, sorgt dafür das nur localhost den DNS als Allgemeinen Resolver nutzen darf (was bei mir zuwenig wäre, aber das kommt auf die
individuelle config drauf an)


Zu deiner FW Geschichte:
<ofttopic>
Zeile 14 sorgt dafür das alle was TCP ist durch darf, und damit alle TCP
Regeln oben Obsolet sind ? Oder muß man das anders lesen ?
</offtopic>
Ansonsten benutzt Bind wenn ihm nicht anders gesagt wurden
einen anderen quell Port für eigne anfragen.

[Roger Wilco]

Also muß es an den PORT freigaben für Bind liegen habe aber port 53 UDP undTCP freigegeben

Nein, hast du nicht. Beachte den Unterschied zwischen Remote und Local Port. Port 53/udp ist bspw. immer noch blockiert bei dir, wenn die Default Policy des Paketfilters nicht Allow ist.

[burner08150815]

ok habe beide auf Deny gesetzt. Hatte dies jedoch zur schon prbiert ohne effekt

[burner08150815]

habe den Rekursion des Bind in den Griff bekommen so das er jetzt nicht mehr von jeder man mißbraucht werden kann.

habe die FW ausgemacht und habe jetzt noch olgendes Probleme:

Nameserver 212.227.103.151 did not provide IPs for all NS records.
>>wie bring ich ihn dazu?

Lame nameservers ERROR: You have one or more lame nameservers
(212.227.123.29)
>> das ist der slv2.1und1.de welchen ich ja nicht kontrolieren kann oder?

[Roger Wilco]

Nameserver 212.227.103.151 did not provide IPs for all NS records.
>>wie bring ich ihn dazu?

Ergänze deine Zonendatei.

Lame nameservers ERROR: You have one or more lame nameservers
(212.227.123.29)
>> das ist der slv2.1und1.de welchen ich ja nicht kontrolieren kann oder?

Ja, warte bis er einen Zonetransfer durchgeführt hat.

[burner08150815]

so hier die aktuellen einstellungen:
1 All Any 22 TCP Allow
2 All Any 80 TCP Allow
3 All Any 443 TCP Allow
4 All Any 25 TCP Allow
5 All Any 110 TCP Allow
6 All Any 143 TCP Allow
7 All Any 465 TCP Allow
8 All Any 993 TCP Allow
9 All Any 995 TCP Allow
10 All Any 8443 TCP Allow
11 All 123 Any UDP Allow
12 All 53 Any UDP Deny
13 All 53 Any TCP Deny
14 All ICMP Allow

mein root benutzt bind 9.3 liegt das vieleicht auf einem anderen Port als 53?

[burner08150815]

mein zonen File sieht so aus:

zone "w-vm.com" {
type master;
file "w-vm.com";
allow-transfer {
212.227.103.151;
212.227.123.29;
212.227.123.29;
212.227.103.151;
common-allow-transfer;
};
};
acl common-allow-transfer {
62.146.33.101;
62.146.33.102;
62.146.28.82;
212.227.123.29;
62.116.163.100;
212.227.103.151;
195.20.224.197;
212.227.123.36;
62.116.162.121;
127.0.0.1;
};

was fehlt?

[gierig]

Nameserver 212.227.103.151 did not provide IPs for all NS records.

wie sieht den dein zonen file dafür aus ?
stehen im Zonen file auch NS Records drinn ?

Lame nameservers ERROR: You have one or more lame nameservers

Der eingteragende dns hat keine Infos über die zone.
Vermutlich weil dein Zonen File murks ist. Der Transfer nicht richtig eingestellt oder noch nicht stattgefunden hat.

Dein Dns (212.227.103.151) scheint sich jedenfalls selber nicht kennen zu wollen. Also zeig her deine Config und zonen files und dann können wir bestimmt mehr sagen als blind ins dunkle zu schießen.

[burner08150815]

zone "w-vm.com" {
type master;
file "w-vm.com";
allow-transfer {
212.227.103.151;
212.227.123.29;
212.227.123.29;
212.227.103.151;
common-allow-transfer;
};
};
zone "151.in-addr.arpa" {
type master;
file "151.in-addr.arpa";
allow-transfer {
common-allow-transfer;
};
};
zone "103.227.212.in-addr.arpa" {
type master;
file "103.227.212.in-addr.arpa";
allow-transfer {
common-allow-transfer;
};
};
acl common-allow-transfer {
62.146.33.101;
62.146.33.102;
62.146.28.82;
212.227.123.29;
62.116.163.100;
212.227.103.151;
195.20.224.197;
212.227.123.36;
62.116.162.121;
127.0.0.1;
};

[gierig]

Oh ne Antwort bevor die Frage kam :-)

Es fehlt das Zonen File "w-vm.com"
du hast nur die Einstellungen des Zonen Files gepostet, aber nicht
das Zonen File selber.

Sollte bei dir in etwa so aussehen:

Code: Select all

$ttl 38400
@       IN      SOA     ns.w-vm.com. hostmaster.w-vm.com. (
                        2007071501     ;Serial 
                        86000           ;Refresh
                        3600            ;Retry
                        2592000         ;Expire
                        40000           ;Minimum
                                                 )

        IN      NS      ns.fw-vm.com.
        IN      NS      w-vm.com
*       IN       A      212.227.103.151

[burner08150815]

alsö meine dig abfrage sieht so aus

; <<>> DiG 9.3.1 <<>> @w-vm.com w-vm.com
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37938
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0

;; QUESTION SECTION:
;w-vm.com. IN A

;; ANSWER SECTION:
w-vm.com. 86400 IN A 212.227.103.151

;; AUTHORITY SECTION:
w-vm.com. 86400 IN NS slv2.1und1.de.
w-vm.com. 86400 IN NS ns.w-vm.com.

;; Query time: 0 msec
;; SERVER: 212.227.103.151#53(212.227.103.151)
;; WHEN: Sun Jul 15 22:06:53 2007
;; MSG SIZE rcvd: 86

[burner08150815]

ich bin leider nicht so bewandert mit der console wenn du mir den befehl sagst wie das zonen file aufrufe dann poste ich es rein.

[gierig]

Nachtrag:

ALLE "in-addr.arpa" Zonen sind unötig, da nur sinvoll wenn auch der
PTR zum eignen DNS delegiert wurde (was er bei deinem Provider mit Sicherheit nicht ist)

Deine allow-transferlist scheint recht lang zu sein
Einzelne ip, ne ACl mit noch mher IP. Sicher das
alle Server einen zonen Transfer von dir benötigen ?


Ansonsten Poste auch neben der Zonen Datei auch lieber
den rest der Config, nicht das sich da noch ein
allow-query oder so drinn ist und niemand die
eignen zonen abfragen kann.

[burner08150815]

wie? wo? wie gesagt ich poste gern alles nur muß ich den weg dort hin wissen :)

[gierig]

Diese Überschneidungen der Antworten :-)

Ahm ?
[cat | more | less | nano | vi ] Dateiname ?
Solltes aber schon wissen wo sich deine Dateien befinden und
wie du sie bearbeitest.

Mein Dig sagt mir übriges, das ich deinen DNS nicht fragen darf (timeout)
Also entwerdern FW falsch, oder DNS Config falsch (1und1 FW ist nicht
mein Thema, ich kanns ja nichtmal lesen:-) ).

Aber wenn ich die Bind Config lese, dann können wird dir sagen ob
der Bind soweit richtig leuft.

Dein Dig hast du von Localhost (also auf de Server) gemacht?
Das sieht so schonmal gut aus.
Nützt aber nicht wenn kein andere den DNS Fragen darf....

[burner08150815]

die files kann ich ja per locate finden nur wie heißen sie richtig? wenn möglich schreib mir den namen des files dazu das interesant für dich ist. was ich finde ist die named.conf - wie heist jetzt das zonen file selber?

die Rekursion des Bind steht jetzt auf "localhosts" den sonst kanner doch von jedem mißbraucht werden oder ist das falsch?

[Roger Wilco]

Und nochmal: 53/udp ist bei deinem Regelsatz nicht "freigeschaltet". Schalte die Firewall komplett ab und lass sie aus.

[burner08150815]

Und nochmal: 53/udp ist bei deinem Regelsatz nicht "freigeschaltet". Schalte die Firewall komplett ab und lass sie aus.

wieso er steht doch auf deny wie wäre er denn freigeschalten? Denn eigentlich will ich die firewall nicht ausschalten muß doch auch irgendwie gehen..