DNS Frage Nr2

DNS Frage Nr2 (15 Beiträge, 202 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

DNS Clients , ein DNS Server (1) , dann eine Firewall und dann wieder ein DNS Server (2)

Nun ist am DNS Server 1 eine Weiterleitung auf DNS Server 2 eingerichtet und auf DNS Server 2 ebenfalls wieder eine  Weiterleitung (wohl an die Stammserver?)

1.) auch hier wieder die Frage: wieso muss auf Server 2 eine Weiterleitung eingerichtet werden? Der Server würde doch automatisch die STammserver fragen wenn er nicht antworten kann...oder ist hier mit Weiterleitung nicht gemeint das ich das extra eintragen muss sondern das das eben eh automatisch passiert...stehts also nur so da weil auch eine Weiterleitung dann eine Weiterleitung ist wenn ich nix extra eintrage *verwirrtbin*

So nun steht im Buch geschrieben:

"Ein anderer häufig genutzter Anwendungsbereich für die Weiterleitung besteht darin DNS Servern und Clients innerhalb einer Firewall zu ermöglichen externe Namen auf sichere Weise aufzulösen.
Wenn ein interner DNS Server oder Client mittels iterativer Abfrage  (versteh ich nicht-ich dachte CLIENTS fragen andere DNS Server normal immer rekursiv ab-wieso steht hier auf einmal was von iterativ) mit externen Servern kommuniziert müssen die für die Kommunikation mit allen externen Servern verwendeten Ports normalerweise über die Firewall hinweg offen sein.
Wenn sie einen DNS Server innerhalb einer Firewall jedoch für das Weiterleiten der Abfrage an eine einzelne DNS Weiterleitung ausserhalb der Firewall konfigurieren und Ports anschliessend nur für diese Weiterleitung öffnen können sie Namen auflösen  ohne Ihr Netzwerk für externe Server zugänglich zu machen[/B]

So, und da steig ich nun entgültig aus.......verwendet ein DNS Server denn für eine "normale" Abfrage andere Ports als wenn er eine Abfrage an einen anderen DNS Server weiterleitet?
Kann mir das was da oben steht irgendjemand einfach erklären?

danke

mfg

harry

Hi!

Mal schauen, ob ich da ein wenig weiterhelfen kann...

Weiterleitungen
Weiterleitungen bei DNS Servern finden per Default NICHT statt. Das heißt, wenn Du zB. bei Dir einen DNS Server für die Zone schusterharry.lokal hast und alle Clients den verwenden bekommen sie alles aufgelöst, was in der Zone ist. Wenn Du jetzt aber zB. was aus dem Internet willst (wie geizhals.at) und es keine Weiterleitung gibt bekommst Du nix zurück, weil Dein DNS Server a) eben keine Weiterleitung eingetragen hat und b) weil Du ziemlich sicher keine Secondary Zone hast, die eine Kopie aller Zonen von einem Root-DNS Server beinhaltet

Folglich brauchst Du im Forwarders-Tab einen Eintrag für "All other DNS domains", der auf einen externen DNS Server zeigt. Gilt aber nur für Win2k3, unter Win2k kann man keine unterschiedlichen Forwarder für bestimmte Zonen einrichten. Da gelten die für Forwarder für alles.
Und ganz wichtig: der Server muss sich in den TCP/IP-Optionen selbst als DNS Server eingetragen haben.

Firewall/Ports
So, um hier auch ein wenig Licht in die Sache zu bringen: wenn Du 2 Windows-DNS Server (edit: siehe http://forum.geizhals.at/t420392,3409954.html#3409954 , danke Hobbes) über eine Firewall hinweg kaskardierst, dann brauchst Du auf dieser Firewall 2 Regeln:
*) Alles, was von dem DNS Server intern kommt (egal welcher Port) darf auf den externen DNS Server TCP/UDP Port 53.
*) Alles, was von extern egal welcher Port kommt darf auf intern, TCP/UDP Port 53. Wieder nur von genau einem zu genau einem Host.

Würdest Du die beiden nicht kaskardieren und alle Clients direkt den externen Server fragen lassen, dann müsstest Du alle Rechner durch die Firewall lassen und ebenso alles von extern auf alle Rechner intern lassen. Und bei dem Gedanken stellen sich dem sicherheitsbewussten Admin die Nackenhaare auf

Teil 2 (Dein erstes Posting) schau ich mir am Nachmittag an, ich muss jetzt leider weg.

Hoffe das hilft für's Erste,

greetz

glockman

- Ich bin ein Geek und steh dazu -

This system is

20.05.2006, 21:29 Uhr - Editiert von Glockman, alte Version: hier

Weiterleitungen bei DNS Servern finden per Default NICHT statt

Folglich brauchst Du im Forwarders-Tab einen Eintrag für "All other DNS
domains", der auf einen externen DNS Server zeig

ok, blöde Frage: der Eintrag All other Domains ist jo Standard aber dann hab ich jo eigentlich standardmäßig eine Weiterleitung für den Fall das ich was auflösen will wofpür ich KEINE Zone am eigenen DNS Server hab oder?

Oder versteht man de Eintrag all other domains einfach nicht als "Weiterleitung" im herkömmlichen Sinne?

Und ganz wichtig: der Server muss sich in den TCP/IP-Optionen selbst als DNS
Server eingetragen haben.

jo das is mir klar

Firewall/Ports

aha, ok ..gute Erklärung..danke

mich kann also davon ausgehen das diese Weiterleitung an einen DNS Server auf der anderen Seite der Firewall durchaus in der Praxis anzutreffen ist...

Teil 2 (Dein erstes Posting) schau ich mir am Nachmittag an, ich muss jetzt
leider weg

nur keinen Stress *g* ich hab eh gehofft das du das Posting noch vor Sonntag siehst denn ab da bin ich weg *g*

Hoffe das hilft für's Erste,

auf jeden Fall... und wie immer wennst du antwortest

mfg

harry

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

ok, blöde Frage: der Eintrag All other Domains ist jo Standard aber dann hab ich jo eigentlich standardmäßig eine Weiterleitung für den Fall das ich was
auflösen will wofpür ich KEINE Zone am eigenen DNS Server hab oder?

Ja, das ist die Standardweiterleitung.
Wobei ich jetzt ehrlich zugeben muss jetzt nicht 100% sicher zu sein, ob dort von haus aus was eingetragen ist was vorher ein Wizard wissen wollte oder ob man das manuell machen muss (aber ich gehe davon aus, dass man das händisch machen muss).

Dieses "All other DNS domains" ist wie gesagt auch erst seit Win2k3 da; vorher gab es das nicht. Soll heißen, Du hast es leichter bzw. jetzt erst wirklich die Möglichkeit, für bestimmte Domänen explizit einen DNS Server anzugeben.

Oder versteht man de Eintrag all other domains einfach nicht als
"Weiterleitung" im herkömmlichen Sinne?

Doch, das verhält sich so wie oben beschrieben unter Win2k. Domäne kennt er nicht -> Anfrage an externen Server.

mich kann also davon ausgehen das diese Weiterleitung an einen DNS Server auf der anderen Seite der Firewall durchaus in der Praxis anzutreffen ist...

Yep, bei uns in der Firma gibt es das. Und wir werden wohl nicht die einzigen sein, die das so handlen.

greetz

glockman

- Ich bin ein Geek und steh dazu -

This system is

Yep, bei uns in der Firma gibt es das. Und wir werden wohl nicht die einzigen
sein, die das so handlen.

Blöde Frage: leitet man da an den DNS Server des Internetproviders weiter oder hat man da nen firmeneigenen der einfach auf der anderen Seite der FW steht ? Wie macht man das ?

Sonst ist soweit mal alles klar..danke

20.05.2006, 18:19 Uhr - Editiert von SchusterHarry, alte Version: hier

Wir leiten auf den von unserem ISP weiter.
Oder genauer gesagt: auf alle, die uns der ISP zur Verfügung stellt. Wollen ja nicht von einem abhängig sein. Du kannst aber im Prinzip jeden nehmen, der erreichbar ist.

greetz

glockman

- Ich bin ein Geek und steh dazu -

This system is

Wir leiten auf den von unserem ISP weiter.

wunderbar-das hab ich vermutet und nun ist auch alles klarer....

eine Frage noch: ich hab jo auf der Registerkarte STAMMHINWEISE die Namensserver eingetragen welche aus der cache.dns ausgelesen werden

Ists schonmal passiert das sich bei den 13 Servern was geändert hat und damit eine Änderung in dieser Datei gemacht werden musste?

Also um ehrlich zu sein, mit Cache-Files und den Root Hints hab ich noch nie was machen müssen, das ist so, wie es "out of the box" kam - also absolut wurscht

Und nachdem ich das noch nie gebraucht hab hab ich mir auch noch keine großen Gedanken gemacht, da was dran zu drehen. Sorry.

greetz

glockman

- Ich bin ein Geek und steh dazu -

This system is

Und nachdem ich das noch nie gebraucht hab hab ich mir auch noch keine großen
Gedanken gemacht, da was dran zu drehen

und nachdem du das noch nie machen hast müssen werd ich wohl auch nicht so schnell in die Verlegenheit kommen das tun zu müssen *g*

Auf ftp://ftp.internic.net/domain/ findest du so ziemlich alles, "was mit DNS zu tun hat". Die aktuellen root hints gibts unter ftp://ftp.internic.net/domain/named.root . Laut diesem File war die letzte Änderung am 29. Jänner 2004, so oft ändert sich da also nix. Und wenn, kann's dir als Nicht-ISP eher "sonst wo vorbeigehen"

hth

Firewall/Ports
So, um hier auch ein wenig Licht in die Sache zu bringen: wenn Du 2 DNS Server
über eine Firewall hinweg kaskardierst, dann brauchst Du auf dieser Firewall 2
Regeln:
*) Alles, was von dem DNS Server intern kommt (egal welcher Port) darf auf den
externen DNS Server TCP/UDP Port 53.
*) Alles, was von extern egal welcher Port kommt darf auf intern, TCP/UDP Port
53. Wieder nur von genau einem zu genau einem Host.

Dazu darf ich eine kleine Anekdote erzählen:
Es ist eine Eigenheit von Windows, dass als ausgehender Port irgendein High-Port genommen wird.
Wir haben ein Partnernetzwerk, mit dem wir per Standleitung (nicht über Internet!) verbunden sind. Für dieses Partnernetzwerk haben wir die neue praktische W2k3 DNS-Forwarding Option verwendet. Sprich, alle Abfragen ans Partnernetzwerk gehen an einen DNS beim Partnernetzwerk, alles andere geht an unseren ISP.
Beim Einrichtigen gab's da diverse Probleme, weil die Abfragen einfach nicht funktioniert haben. Bis der Admin auf der anderen Seite auf die Idee gekommen ist, uns zu fragen, welches OS wir am DNS verwenden.
Danach war alles klar: er hatte eine Linux-Maschine, wo sich anscheinend relativ einfach konfigurieren lässt, welche Ports sowohl ein- als auch ausgehend verwendet werden. Und da er davon ausgegangen ist, dass wir auch Linux einsetzen, hat er nur auf Anfragen von Port 53 gehört. Windows aber verwendet ausgehend High-Ports, womit unsere Anfragen erst gar nicht durchgegangen sind. Nach einer kleinen Korrektur seinerseits hat's dann tadellos funktioniert.

Es kommt für die FW-Konfiguration also auch darauf an, welches OS die sich miteinander unterhaltenden Nameserver verwenden

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Alles klar, herzlichen Dank für die Ergänzung/Korrektur, wird eingebaut.

Ich bin von einer reinen Windows-Umgebung ausgegangen, wahrscheinlich auch einfach deshalb, weil die Frage von Harry kam - und da zu 99,9% MS/Windows im Spiel ist

greetz

glockman

- Ich bin ein Geek und steh dazu -

This system is

und da zu 99,9% MS/Windows im Spiel ist

zu 100% *ggg* für Linux bin i "zdeppert"

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung