PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : was muss ein dns-server alles können.



derRichard
24.08.03, 14:45
hallo!

ich hab vor für meine domain den dns-server zu machen, was muss der dns-server alles können?

das kann er jetzt schon:

auf port 53/udp lauscht der dns-server für alle anfragen zu meiner domain.
auf port 53/tcp lauscht der axfr-server, axfr darf aber nur der secondary-dns machen.

der dns-server beantwortet nur anfragen bezüglich meiner domain, alle anderen werden geblockt.

das sollte so doch gegen, oder?

thx.
//richard

Thomas Mitzkat
24.08.03, 17:33
ich hab vor für meine domain den dns-server zu machen
:D da hast du ja viel vor - bei mir macht das ein programm namens bind, was in der version 8 oder 9 vorliegt. und das sollte so konfiguriert werden, dass es möglicherweise daten vom dhcpd entgegennimmt und ansonsten grundsätzlich für die namens- und ip-auflösung zuständig ist. darüber hinaus sollten anfragen, die nicht aufgelöst werden können, an den nächsten zuständigen namensserver weitergeleitet werden. natürlich könnte ein namensserver auch als reserve für andere server laufen oder die anfragen nur cachen. aber ich glaube, dass ersteres dein programm können sollte und dass es dir persönlich schwerfallen wird diese funktion zu übernehmen ;)

derRichard
24.08.03, 17:38
Original geschrieben von Thomas Mitzkat
:D da hast du ja viel vor - bei mir macht das ein programm namens bind, was in der version 8 oder 9 vorliegt. und das sollte so konfiguriert werden, dass es möglicherweise daten vom dhcpd entgegennimmt und ansonsten grundsätzlich für die namens- und ip-auflösung zuständig ist. darüber hinaus sollten anfragen, die nicht aufgelöst werden können, an den nächsten zuständigen namensserver weitergeleitet werden. natürlich könnte ein namensserver auch als reserve für andere server laufen oder die anfragen nur cachen. aber ich glaube, dass ersteres dein programm können sollte und dass es dir persönlich schwerfallen wird diese funktion zu übernehmen ;)
hallo!

mit bind kannst mich über berge jagen, ich verwende überall djbdns. :)
muss ein dns-server anfragen, die er nicht kennt zum nächsten weiterleiten?

//richard

geronet
24.08.03, 17:42
>muss ein dns-server anfragen, die er nicht kennt zum nächsten weiterleiten?

ja eigentlich schon, sonst koennen die clients doch keine webadressen auflösen, und gleichzeitig sollte er das dann cachen.

Grüsse, Stefan

derRichard
24.08.03, 17:50
Original geschrieben von geronet
>muss ein dns-server anfragen, die er nicht kennt zum nächsten weiterleiten?

ja eigentlich schon, sonst koennen die clients doch keine webadressen auflösen, und gleichzeitig sollte er das dann cachen.

Grüsse, Stefan
hallo!

der dns-server soll nix cachen, er soll nur die dns-server für nod.at sein.
alles andere ist doch schei** egal.
er braucht doch nur anfragen bezüglich nod.at bearbeiten.

//richard

Cyberdesigns
24.08.03, 19:43
dann reicht es doch für die zuständige domain ein zone file zu erstellen, andere dns server fragen deinen ja ohnehin nicht nach domains die net bei dir liegen oda seh ich da was falsch ?;)

derRichard
24.08.03, 19:47
Original geschrieben von Cyberdesigns
dann reicht es doch für die zuständige domain ein zone file zu erstellen, andere dns server fragen deinen ja ohnehin nicht nach domains die net bei dir liegen oda seh ich da was falsch ?;)
hallo!

so hab ich es jetzt ja.
nur ohne zone-file, solche schweinereien gibt es bei djbdns nicht. ;)

//richard

Thomas Mitzkat
24.08.03, 22:00
deine klienten bekommen ja deinen dns angesagt und fragen auch dort an. wenn internet-adressen aufgelöst werden sollen, muss der dns die anfragen weiterleiten.

derRichard
24.08.03, 22:06
Original geschrieben von Thomas Mitzkat
deine klienten bekommen ja deinen dns angesagt und fragen auch dort an. wenn internet-adressen aufgelöst werden sollen, muss der dns die anfragen weiterleiten.
hallo!

ja, sie bekommen meinen ns aber nur angesagt, wenn die eine domain von nod.at auflösen wollen.
wenn die was von linuxforen.de auflösen wollen, dann kann das dem ns von nod.at doch schei** egal sein.

//richard

Doh!
24.08.03, 22:35
Was genau willste denn machen?

- Willst Du eine offizielle Domain verwalten ?

- Willst Du öffentliche und/oder private IP's verwalten?

- Willst Du ev. Rechner, die ihre IP's über DHCP beziehen im DNS dynamisch updaten?

- Soll Dein DNS nur die Domain verwalten oder soll er auch DNS-Anfragen beantworten? Wenn letzteres ==ja soll er Anfragen nur von lokalen Rechnern beantworten oder insgesamt öffentliche Anfragen (falls nicht und Du eine offizielle Domain verwaltest, brauchst Du zumindest bei einem Provider einen Secondary DNS, für den Du hidden Primary bist)

derRichard
24.08.03, 23:02
Original geschrieben von Doh!
Was genau willste denn machen?

- Willst Du eine offizielle Domain verwalten ?

- Willst Du öffentliche und/oder private IP's verwalten?

- Willst Du ev. Rechner, die ihre IP's über DHCP beziehen im DNS dynamisch updaten?

- Soll Dein DNS nur die Domain verwalten oder soll er auch DNS-Anfragen beantworten? Wenn letzteres ==ja soll er Anfragen nur von lokalen Rechnern beantworten oder insgesamt öffentliche Anfragen (falls nicht und Du eine offizielle Domain verwaltest, brauchst Du zumindest bei einem Provider einen Secondary DNS, für den Du hidden Primary bist)
hallo!

der server soll eine öffendliche domain verwalten.
den secondary-dns mach ich auch selber, der rennt aber auf einer anderen box.
es soll ja nicht nur bei einer domain bleiben.
ich hab mich grad bei nic.at schlau gemacht, ich denke es passt so, wie ich es jetzt habe.

//richard

Cyberdesigns
25.08.03, 00:10
das tut er ja auch wenn du nur deine domain im dns drinnen hast (beim bind das zonefile)

jeder client der seinen dns server fragt, bekommt von den rootservern ja den dns der für die jeweilige domain zuständig ist mitgeteilt, insofern kommen anfragen von anderen domains gar nicht zu dir.

was anderes ists wenn du verhindern willst das gewisse rechner bei deinem dns anfragen, das muss man anders lösen

Stage
25.08.03, 08:21
Original geschrieben von derRichard
hallo!

ja, sie bekommen meinen ns aber nur angesagt, wenn die eine domain von nod.at auflösen wollen.
wenn die was von linuxforen.de auflösen wollen, dann kann das dem ns von nod.at doch schei** egal sein.

//richard

also der Nameserver brauch nur andere Domains auflösen und cachen, wenn du ein internes Netzwerk hast, und Clients des Netzwerkes den DNS für alle Namensauflösungen verwenden sollen.
Bisher kennt dein DNS ja nur deine Domain, falls nun Anfragen kommen: löse mir mal xyz.com auf, dann brauch der noch eine "."-Zone (bei bind isses so) und da sind sämliche Root-DNS server aufgelistet.

Wenn das nicht der Fall ist, d.h kein Client deinen DNS direkt benutz, brauch er wirklicht nur die die Zone(n) konfiguriert sein, für die er dann zuständig ist. Dann kommen auch nur Anfragen speziell deiner Domains da an.

Doh!
25.08.03, 18:01
Original geschrieben von derRichard

der server soll eine öffendliche domain verwalten.

Also muss Dein Primary und Dein Secondary DNS öffentlich zugänglich sein. Ich würde dir auch empfehlen, neben dem "normalen" Zonenfile auch eine reverse Zone anzulegen, viele Dienste tun sich schwer, wenn sie keine reverse Auflösung durchführen können. Ansonnsten muss er nix besonderes können.

Achte darauf, dass der Zonentransfer gesichtert wird! (sehr wichtig, sonst kannst Du extrem leicht gespooft werden)


Original geschrieben von derRichard

den secondary-dns mach ich auch selber, der rennt aber auf einer anderen box.


Hier solltest Du die Regelungen der nic.at nochmals genau prüfen. Viele nics der einzelnen Länder haben nämlcih strenge Regeln für den Betrieb eines Namesservice. AFAIK verlangt z.B. die DENIC, dass primary und secondary DNS über mindestens zwei verschiedene Routen angesprochen werden (können). Es reicht also nicht nur eine redundanz bei den Maschinen an sich, sondern auch bei dem Weg dorthin.



Original geschrieben von derRichard

es soll ja nicht nur bei einer domain bleiben.

Das ist dann kein Problem mehr