Hallo,

nachdem ich BIND endlich halbwegs zum Laufen gebracht habe (ursprüngliches Problem siehe http://www.linuxforen.de/forums/showthread.php?s=&threadid=45897), habe ich noch folgende "spezielleren" Probleme:

a) im lokalen Netz benutze ich nur Namen der Form xyz.privat.bockionline.de, im Internet existieren darüberhinaus Namen der Form abc.bockionline.de. Meinem lokalen BIND sind diese "externen" Namen nun nicht bekannt, also kann er sie nicht auflösen, leitet die Anfrage aber auch nicht weiter, weil er ja (lokal) als Master für bockionline.de zuständig ist. Wie mache ich ihm die externen Adressen möglichst elegant bekannt (ohne alle einzeln eintragen zu müssen)? Mit anderen Worten: wie kann ich die Daten eines Nameservers im Netz möglichst tagesaktuell übernehmen?

b) Derzeit beschränke ich den Zugriff auf meinen Nameserver folgendermaßen:


zone "bockionline.de" {
type master;
file "/var/cache/bind/db.bockionline.de";
allow-query { 192.168.0.1; 192.168.0.2; 192.168.0.3; 192.168.0.4; 192.168.0.5; };
};

Wie kann ich das verallgemeinern, so dass er alles von 192.168.0.1 bis 192.168.0.255 zulässt (ohne dass ich jede IP einzeln angeben muss)? Könnte bzw. sollte ich evtl. auf die allow-query Geschichte ganz verzichten und statt dessen eine Firewall aufsetzen?

Vielen Dank im Voraus!
bockionline

Original geschrieben von bockionline
a) im lokalen Netz benutze ich nur Namen der Form xyz.privat.bockionline.de, im Internet existieren darüberhinaus Namen der Form abc.bockionline.de. Meinem lokalen BIND sind diese "externen" Namen nun nicht bekannt, also kann er sie nicht auflösen, leitet die Anfrage aber auch nicht weiter, weil er ja (lokal) als Master für bockionline.de zuständig ist. Wie mache ich ihm die externen Adressen möglichst elegant bekannt (ohne alle einzeln eintragen zu müssen)? Mit anderen Worten: wie kann ich die Daten eines Nameservers im Netz möglichst tagesaktuell übernehmen?

Das ist der grund, warum man keine "offiziellen" DNS Namen in lokalen Netzwerken verwendet.


b) Derzeit beschränke ich den Zugriff auf meinen Nameserver folgendermaßen:


zone "bockionline.de" {
type master;
file "/var/cache/bind/db.bockionline.de";
allow-query { 192.168.0.1; 192.168.0.2; 192.168.0.3; 192.168.0.4; 192.168.0.5; };
};

Wie kann ich das verallgemeinern, so dass er alles von 192.168.0.1 bis 192.168.0.255 zulässt (ohne dass ich jede IP einzeln angeben muss)? Könnte bzw. sollte ich evtl. auf die allow-query Geschichte ganz verzichten und statt dessen eine Firewall aufsetzen?

allow-querie {192.168.0.0/24};
sollte gehen.

Hi,

vielen Dank für deine Antwort, bin erst jetzt dazu gekommen hier wieder zu lesen.
allow-querie {192.168.0.0/24};Ok, werde ich dann mal ausprobieren.

MfG
bockionline

Für's Archiv:
allow-query { 192.168.0.0/24; };muss es heißen.

a) im lokalen Netz benutze ich nur Namen der Form xyz.privat.bockionline.de, im Internet existieren darüberhinaus Namen der Form abc.bockionline.de. Meinem lokalen BIND sind diese "externen" Namen nun nicht bekannt, also kann er sie nicht auflösen, leitet die Anfrage aber auch nicht weiter, weil er ja (lokal) als Master für bockionline.de zuständig ist. Wie mache ich ihm die externen Adressen möglichst elegant bekannt (ohne alle einzeln eintragen zu müssen)? Mit anderen Worten: wie kann ich die Daten eines Nameservers im Netz möglichst tagesaktuell übernehmen?


2 möglichkeiten:

1. definiere auf dem lokalen ns entsprechende forward-zonen für bspw. abc.bookionline.de
2. mach den lokalen dns zum slave für die externen zonen; das setzt allerdings vorraus, dass der externe dns zonentransfer zu deinem lokalen dns erlaubt.

-j

Hi,

eigentlich sollte es auch gehen, wenn du für die Zone biockionline.de einen NS Record auf den "echten" DNS setzt und für die Zone privat.biockionline.de einen NS Record auf deinen lokalen BIND einträgst.

Ciao, Bernie

Hey, danke euch beiden!

Ich dachte schon, ich müsse mit dem Problem leben oder eine Phantasiedomain nehmen. Aber nun werde ich mal eure Vorschläge ausprobieren.

MfG
bockionline

Hi,

Normalerweise nimmt man für sowas auch, z.B bockionline.home oder sowas.

Ich hab ehrlich gesagt noch nie probiert Subdomains zu delegieren. Hast du mal probiert nur die privat.bockionline.de Zone einzutragen und nicht die ganze bockionline.de? Das könnte ebenfalls gehen, da der BIND sieht, dass er nur für einen kleinen Teil (privat) zuständig ist, müsste er für den Rest weiterfragen.

Ciao, Bernie