Entfernten bind9 per ssh lokal nutzen?

**iscariot** · 21.04.09, 12:54

Aloha!

Nachdem unsere Regierung ja nun auch irgendwas mit den Nameservern vorhat, dachte ich mir, dass ich den bind9 von einem Server im Ausland verwenden koennte, um DNS-Abfragen abzuwickeln. Per

Code:

sudo ssh -2 -C -f -N iscariot@host -L 53/127.0.0.1/53

lege ich den Port 53 vom Server auf den lokalen Port 53. Soweit kein Problem.

Aber wenn ich dann DNS-Abfragen machen will:

Code:

% dig @127.0.0.1 -t A google.de

; <<>> DiG 9.4.2-P2 <<>> @127.0.0.1 -t A google.de
; (1 server found)
;; global options:  printcmd
;; connection timed out; no servers could be reached

Auf dem Server selbst funktioniert der Befehl:

Code:

% dig @127.0.0.1 -t A google.de

; <<>> DiG 9.3.4-P1.1 <<>> @127.0.0.1 -t A google.de
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64254
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 4, ADDITIONAL: 0

;; QUESTION SECTION:
;google.de.                     IN      A

;; ANSWER SECTION:
google.de.              1705    IN      A       72.14.221.104
google.de.              1705    IN      A       74.125.77.104
google.de.              1705    IN      A       216.239.59.104

;; AUTHORITY SECTION:
google.de.              318929  IN      NS      ns1.google.com.
google.de.              318929  IN      NS      ns2.google.com.
google.de.              318929  IN      NS      ns3.google.com.
google.de.              318929  IN      NS      ns4.google.com.

;; Query time: 31 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Apr 21 13:51:46 2009
;; MSG SIZE  rcvd: 157

Versteh ich da irgendwas falsch? Muss ich noch mehr als Port 53 vom Server holen?

**HirschHeisseIch** · 21.04.09, 13:01

Wäre es nicht bedeutend einfacher, den Server einfach als DNS einzutragen?

**Aqualung** · 21.04.09, 13:02

probier mal das flag "-g", d.h "Allow remote hosts to connect to local forwarded ports".

**iscariot** · 21.04.09, 13:17

Natuerlich waere es einfacher den Host direkt einzutragen, aber der lauscht aus Sicherheitsgruenden nun mal nur auf 127.0.0.1. Und das -g Flag ist IMO nicht noetig.
Wenn ich lokal nmap aufrufe, dann ist der Nameserver erreichbar. Steht auch in der Logdatei vom bind9....

Code:

% nmap -sV -p 53 localhost

Starting Nmap 4.76 ( http://nmap.org ) at 2009-04-21 14:16 CEST
Interesting ports on localhost (127.0.0.1):
PORT   STATE SERVICE VERSION
53/tcp open  domain  ISC BIND 9.3.4-P1.1

**HirschHeisseIch** · 21.04.09, 13:28

Code:

sudo ssh -2 -C -f -N -L 53:127.0.0.1:53 iscariot@host

Zitat von man ssh

-L [bind_address:]port:host:hostport

Ports vielleicht per Doppelpunkt abtrennen?

**iscariot** · 21.04.09, 13:35

Zitat von HirschHeisseIch

Ports vielleicht per Doppelpunkt abtrennen?

Macht bei mir keinen Unterschied. Ich denke nicht, dass es an ssh liegt, da ich ja nmap bereits den bind9 gefunden hat. Nur dig/host/etc... wollen noch nicht.