<pre>
Hi,

wie kann man (welche Directive) beim DNS (Bind 8.2) unterbinden, dass jemand von Draussen sich meine internen Hosts (zB über nslookup -> ls) listet??

Danke
Tanja


</pre>

Port 53 für dns sperren ...


gruß alex

Hi,

nö, nö :P
Mein Server soll ja von aussen als DNS-Server benutzt werden dürfen, aber keiner soll sich die localen Hosts Listen dürfen!

cu
Tanja

Hallo Tanja,

ist das nicht ein bischen gefährlich?

Ich würde das strikt trennen. DNS intern <-> extern.

In der Beschreibung des BIND steht genau beschrieben wie das geht mit den Transferns der Zonen.

Ist aber etwas kompliziert. Das wird Dir hier niemand durchkauen. Das musst Du schon selber tun. Dann hast Du es danach auch verstanden.

Das ist ein echtes Sicherheitsproblem!

Schaue auch mal z.B. hier: http://www.google.de/search?q=zonen%2Btransfers%2Bdns&hl=de&meta=

Grüsse

Eicke

So ein Tipp reicht mir auch,

Danke :)
Tanja

du kannst aber auch einen nameserver nutzen, der sich einfacher konfigurieren lässt und sicherer ist: djbdns

siehe http://cr.yp.to/djbdns.html und http://vlug.sourceforge.net/howto/djbdns.html

ps: das was du bei bind vorhast lässt sich dort über acls steuern (ich glaube erst ab bind 9)

[ 09. Juli 2001: Beitrag editiert von: Ronny Buchmann ]

Häää?
Auch wenn ich dir hier nicht weiterhelfen kann, mich würde folgendes interessieren:
Wieso soll man den DNS einerseits von außen benutzen dürfen (dann hasst du entweder inen offizielle IPs und bietest Services nach draußen an oder verwaltest noch andere Domains auf deinem DNS-Server), und anderersteit nicht (kein Listen der Hosts). Unterbindest du denn auch einen IP-Scann deines internen Netztes! Ich meine wenn ich die IPs deines internen Netzes bekomme, dann kann ich die Hostnamen ja per Reverse-Lookup auch zurückauflösen (DNS soll ja nach außen funzen). Aha, wahrscheinlich dichte Firewall und nur ausgewählte Rechner, welche Dienste nach draußen anbieten düfen (also von außen über IP erreichbar sind).
Ich würde es mal mit dem klassischen Firewallansatz (LAN, DMZ,Internet) versuchen!
Die Rechner im LAN haben private IPs und sind somit von außen gar nicht ansprechbar (Sollen die da draußen doch Listen wie sie wollen, außerdem sitzen da noch zwei Firewalls zwischen, inneren und äußere). Die Server, welche auch von draußen erreichbar sein sollen liegen mit offiziellen IPs in der DMZ. Wenn LAN und DMZ dann noch unterschiedliche Subdomains sind, sollte man auch den DNS-Zugriff von außen auf die Server beschränken können!

Gruß, Jens