PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Bind in DMZ



brave_snoopy
14.04.08, 13:55
Hallo
ich habe hier 3 Netzwerke.
Internet, 0.0.0.0/0
DMZ 10.10.0.0/24
und Firmennetz 192.168.0.0/24

Bind läuft in DMZ auf IP 10.10.0.210

Nun möchte ich das Bind anfragen aus dem Firmennetz annimt und auflößt.

Wenn ich innerhlab der dmz von einem zweiten rechner den bindserver als dns eintrage, wird alles einwandfrei aufgelößt.
Mache ich dies aber aus dem Firmennetz - funktioniert es nicht.
Ein tcpdump auf dem bind server ergab folgendes:




tcpdump -n not port ssh
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
15:03:28.707043 arp who-has 10.10.0.210 tell 10.10.0.254
15:03:28.707051 arp reply 10.10.0.210 is-at 00:15:17:61:d3:15
15:03:31.054712 IP 192.168.0.53.1025 > 10.10.0.210.53: 3935+ A? www.google.de. (31)
15:03:31.054972 IP 10.10.0.210.53 > 192.168.0.53.1025: 3935 Refused- 0/0/0 (31)
15:03:31.055718 IP 192.168.0.53.1025 > 10.10.0.210.53: 49247+ A? www.google.de.OFTECS.local. (44)
15:03:31.055856 IP 10.10.0.210.53 > 192.168.0.53.1025: 49247 Refused- 0/0/0 (44)


meine named.conf sieht so aus:




webserver:/etc # cat named.conf
options {
pid-file "/var/lib/named/var/run/named/named.pid";
directory "/var/lib/named";
//auth-nxdomain no;
forward first;
forwarders { 145.253.2.75;
145.253.2.11;
195.185.185.195;
};

/*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND 8.1 uses an unprivileged
* port by default.
*/
query-source address * port 53;
};

//
// a caching only nameserver config
//
zone "." {
type hint;
file "root.hint";
};

zone "0.0.127.in-addr.arpa" {
type master;
file "127.0.0.zone";
};

zone "0.10.10.in-addr.arpa" {
type master;
file "pri.0.10.10.in-addr.arpa";
};
zone "146.23.213.in-addr.arpa" {
type master;
file "pri.146.23.213.in-addr.arpa";
};


Kann es sein, das bind dns anfragen aus einem anderen subnetz ablehnt ?

Oder was mache ich falsch?

bla!zilla
14.04.08, 14:57
Hi,

trag unter options mal ein


allow-query { 127.0.0.1; 10.10.0.0/24; 192.168.0.0/24; };

ein.

brave_snoopy
14.04.08, 15:29
jepp daran lag es. danke.

bla!zilla
14.04.08, 20:49
Freut mich das es nun funktioniert. :)