Hallo zusammen,

ich bin gerade dabei einen Nameserver einzurichten.
Dies klappt auch bisher ganz wunderbar. Alle von mir eingerichteten Zonen können bestens aufgelöst werden.
Das Problem ist nur, dass irgendwie die externen Zonen nicht aufgelöst werden können - dies aber nur von entfernten Rechnern aus.

Folgender Befehl auf dem Server liefert:


server:/home/srg # nslookup - server
> google.de
Server: server.mein.netz
Address: ip.ip.ip.ip#53

Non-authoritative answer:
Name: google.de
Address: 74.125.77.104
Name: google.de
Address: 216.239.59.104
Name: google.de
Address: 72.14.221.104
>


perfekt, wie ich es möchte. Führe ich diesen Befehl aber auf einem anderen Rechner aus:



server2:/home/srg # nslookup - server
> google.de
Server: server.mein.netz
Address: ip.ip.ip.ip#53

** server can't find google.de: REFUSED
>


Das Auflösen von Zonen, die direkt auf dem Server eingerichtet sind, klappt aber ohne Probleme.

Gibt es irgendwo eine Einstellmöglichkeit, dass der Server externe Adressen nur für den localhost auflöst?

resolv.conf


nameserver 127.0.0.1


Also ich kann auch munter (vom lokalen Server aus) div. andere Server (web.de etc) anpingen.

Falls ihr noch Dateien benötigt, poste ich die gerne nach. OS ist Suse 10.3

Ich danke euch für die Hilfe,
Grüße Johannes

Schau in deine named.conf bei der Option allow-recursion.

Hallo,

vielen Dank für die Antwort. In meiner named.conf gab es diesen Eintrag nicht.
Nach Ergänzung (allow-recursion{ any; };) funktioniert nun alles wie gewünscht.
Ich habe schon einige Nameserver in einem Intranet betrieben (gleiches OS) und bei diesen hat das immer auf anhieb geklappt. Sind standardmäßig die lokalen Netzte für diese Option aktiviert?

Diesen Nameserver betreibe ich im Internet. Ist es gefährlich diese Option aktiviert zu haben? Der einzige Grund wieso ich diese Option benötige ist, dass der Namserver über einen CNAME-Record eine xyz.dyndns.org-Adresse auflösen soll.
Ohne den oben genannten Eintrag liefert er nur den entsprechenden CNAME-Record, aber keine IP.
Funktioniert die Auflösung einer solchen Adresse am Client dann trotzdem? Ich kann es leider noch nicht ausprobieren.

Danke euch,
Grüße Johannes

Sind standardmäßig die lokalen Netzte für diese Option aktiviert?
Das kommt auf den Nameserver und die Konfiguration an, welche deine Distribution mitliefert.


Diesen Nameserver betreibe ich im Internet. Ist es gefährlich diese Option aktiviert zu haben?
Ja! Deaktiviere sie wieder. Schnell. Darüber lassen sich dein und andere Nameserver gemütlich lahmlegen.


Ohne den oben genannten Eintrag liefert er nur den entsprechenden CNAME-Record, aber keine IP.
Es ist auch nicht Aufgabe eines CNAME Resource Records eine IP-Adresse zurückzuliefern. Es ist Aufgabe des Clients, dann den A Resource Record des mit dem CNAME Resource Record zurückgelieferten FQDN zu ermitteln.

Hallo Roger,

ich hatte sie nur für etwa 5sec in Betrieb, da ich das Thema Sicherheit zunächst abklären wollte - war wohl auch richtig so ;)

Bisher kann ich bei unserem Provider DNS-Einträge vornehmen. Der DNS-Server von diesem hat mir bei einem nslookup auf die dyndns-Adresse eben die korrekte IP zurückgeliefert. Deswegen dachte ich, dass dies wohl notwendig ist.

Ich habe mittlerweile die Zonen auch auf einen slave-DNS übertragen, und diese einmal mit dem zonencheck von denic testen lassen.

Hierbei habe ich eine merkwürdige Entdeckung gemacht (evt. kannst du mir diesbezüglich auch kurz etwas sagen:)

Auf alle .de Zonen, die auf den beiden DNS-Servern gehostet sind schließt der Test mit "erfolgreich" ab. Lasse ich .com oder .biz Adressen überprüfen (andere hab ich nicht), endet der Test mit folgendem, schwerwiegendem Fehler (zudem dauert der Test auch deutlich länger - prüft da denic noch etwas anderes?):



Hinweise:
Reverse Auflösung stimmt mit dem Nameserver nicht überein.

schwere Fehler:
-> Server antwortet nicht auf oder erwartet keine Verbindung auf Port 53 für das TCP Protokoll:
* Ref: IETF RFC1035 (p.32 4.2. Transport)

Der Nameserver nimmt an, dass Nachrichten als Datagramme oder in 'Byte Streams' über eine virtuelleVerbindungen übertragen werden. Während virtuelleVerbindungen für jegliche DNS Aktivität genutzt werden können, werden Datagramme, wegen geringerem Overhead und besserem Durchsatz, für Queries bevorzugt.


Zum Hinweis: Gut - das stimmt - ist das schlimm? Es gibt einen Reverse-Eintrag auf diesen Server, dieser lautet allerdings anders.

Zum Fehler: Dieser betrifft den Slave-DNS-Server. Ich kann mit der Meldung leider direkt nichts anfangen (auch nach googeln nichts schlüssiges gefunden). Beide Nameserver sind "identisch" konfiguriert, und es gibt ja beim Prüfen von .de-Domains auch keine Fehler.

Evt. hast du noch ne Idee. nslookup geht ohne Probleme.

Danke,
Grüße Johannes

Nenne die konkreten Domains, dann kann man mehr als bloß herumraten.