Entfernten bind9 per ssh lokal nutzen? [Archiv] - linuxforen.de -- User helfen Usern

Archiv verlassen und diese Seite im Standarddesign anzeigen : Entfernten bind9 per ssh lokal nutzen?

iscariot

21.04.09, 12:54

Aloha!

Nachdem unsere Regierung ja nun auch irgendwas mit den Nameservern vorhat, dachte ich mir, dass ich den bind9 von einem Server im Ausland verwenden koennte, um DNS-Abfragen abzuwickeln. Per

sudo ssh -2 -C -f -N iscariot@host -L 53/127.0.0.1/53
lege ich den Port 53 vom Server auf den lokalen Port 53. Soweit kein Problem.

Aber wenn ich dann DNS-Abfragen machen will:

% dig @127.0.0.1 -t A google.de

; <<>> DiG 9.4.2-P2 <<>> @127.0.0.1 -t A google.de
; (1 server found)
;; global options: printcmd
;; connection timed out; no servers could be reached

Auf dem Server selbst funktioniert der Befehl:

% dig @127.0.0.1 -t A google.de

; <<>> DiG 9.3.4-P1.1 <<>> @127.0.0.1 -t A google.de
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64254
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 4, ADDITIONAL: 0

;; QUESTION SECTION:
;google.de. IN A

;; ANSWER SECTION:
google.de. 1705 IN A 72.14.221.104
google.de. 1705 IN A 74.125.77.104
google.de. 1705 IN A 216.239.59.104

;; AUTHORITY SECTION:
google.de. 318929 IN NS ns1.google.com.
google.de. 318929 IN NS ns2.google.com.
google.de. 318929 IN NS ns3.google.com.
google.de. 318929 IN NS ns4.google.com.

;; Query time: 31 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Apr 21 13:51:46 2009
;; MSG SIZE rcvd: 157

Versteh ich da irgendwas falsch? Muss ich noch mehr als Port 53 vom Server holen?

HirschHeisseIch

21.04.09, 13:01

Wäre es nicht bedeutend einfacher, den Server einfach als DNS einzutragen?

Aqualung

21.04.09, 13:02

probier mal das flag "-g", d.h "Allow remote hosts to connect to local forwarded ports".

iscariot

21.04.09, 13:17

Natuerlich waere es einfacher den Host direkt einzutragen, aber der lauscht aus Sicherheitsgruenden nun mal nur auf 127.0.0.1. Und das -g Flag ist IMO nicht noetig.
Wenn ich lokal nmap aufrufe, dann ist der Nameserver erreichbar. Steht auch in der Logdatei vom bind9....

% nmap -sV -p 53 localhost

Starting Nmap 4.76 ( http://nmap.org ) at 2009-04-21 14:16 CEST
Interesting ports on localhost (127.0.0.1):
PORT STATE SERVICE VERSION
53/tcp open domain ISC BIND 9.3.4-P1.1

HirschHeisseIch

21.04.09, 13:28

sudo ssh -2 -C -f -N -L 53:127.0.0.1:53 iscariot@host

-L [bind_address:]port:host:hostport

Ports vielleicht per Doppelpunkt abtrennen?

iscariot

21.04.09, 13:35

Ports vielleicht per Doppelpunkt abtrennen?
Macht bei mir keinen Unterschied. Ich denke nicht, dass es an ssh liegt, da ich ja nmap bereits den bind9 gefunden hat. Nur dig/host/etc... wollen noch nicht.

iscariot

21.04.09, 13:48

Es sieht fast so aus, als ob ich auch UDP Port 53 vom entfernten Rechner lokal braeuchte... Laesst sich das mit ssh ueberhaupt machen?

marce

21.04.09, 13:50

10 sec Google:
http://zarb.org/~gc/html/udp-in-ssh-tunneling.html