BIND9 unter Debian Squeeze, Requests ans Internet forwarden, bzw. unterbinden

Mitglied: 43292

43292

15.11.2011, aktualisiert 15:56 Uhr, 6721 Aufrufe, 4 Kommentare

Hallo liebe Forummitglieder,

ich bin gerade dabei einen DNS-Server (BIND9 version 9.7.3) unter einem frisch aufgesetzten Debian Squeeze OS (in Xen VM) zu installieren, bzw. ich habe es schon. Jetzt gehts um die Fehlerbeseitigung aus den Angaben der Logfiles. Und zwar stehe ich noch vor diesen Problemen, die ich bisher nicht beheben konnte und auf eure Hilfe hoffe. Mittlerweile habe ich IPv6 systemweit auf diesem Server deaktiviert. Dazu habe ich die Datei /etc/sysctl.d/disable-ipv6.conf angelegt mit dem Inhalt "net.ipv6.conf.all.disable_ipv6=1" und neu gebootet.

Nun zu meinen Fragen, hier Auszug aus der /var/log/daemon.log und syslog
(1) Wieso der rndc-key Fehler, wie könnte ich diesen Fehler beheben?
(2) Was hat es mit dem "mozilla.com no valid signature" found auf sich?

(3) Teilweise stehen auch Website-Adressen dabei, die von Clients an ihren Browsern angegeben wurden. Ich nehme an, dass mein frisch aufgesetzter BIND-Server versucht, über IPv6-Anfragen die im Internet stehenden DNS-Anfragen rekursiv abzufragen. Oder warum können die nicht erreicht werden? Ich hab doch IPv6 ausgeschaltet auf dem Server. Ausserdem habe ich in Wie sage ich dem BIND9-Server dass er nur IPv4 verwenden soll? Ich habe gegoogelt aber nur Hinweise auf ältere BIND-Versionen gefunden mit der Option -4. Wie mache ich das bei meiner BIND9-Version 9.7.3 unter Debian Squeeze?

==> Punkt 3 ist gelöst! Ich habe in der /etc/bin/named.conf.options IPv6 Abhören deaktiviert, und das Wichtigste aber war folgendes --> man trägt bei Debian unter /etc/default/bind9 den Zusatz -4 in die Option ein. Also muss es heissen OPTIONS="-u bind -4" Gott!! Ich fand diese Datei nirgends, weil sie bei Debian anders heißt :) face-smile

(4) Der DHCP-Client PC3 wird nicht zur DNS-Liste hinzugefügt wie in dem Log zu sehen ist. Wieso aber? Weil ich den Präfix dhcpguest verwendet habe etwa??
(5) Wie kann ich meinem BIND-Server beibringen, dass er nur Namen auflösen soll, die auch für seine Zone gedacht sind, und alles andere was eben nicht in meinem Subnet liegt, soll direkt an den Router an die 192.168.0.1 weitergeleitet werden? Ausserdem soll der DNS-Server natürlich nicht offen sein, und versuchen Schreibzugriffe von fremden Domains hinzuzufügen.

Ich hoffe jemand kann mir mit ein paar guten Tips weiterhelfen und ich hoffe ich habe alle relevanten und wichtigen Daten zum Problem angegeben. Bin für jede Hilfestellung im Voraus sehr dankbar.

/etc/bind/named.conf:
/etc/bind/named.conf.local:
/etc/bind/named.conf.options: (da habe ich IPv6 Abhören deaktiviert)
In der /etc/bind/db.root habe ich ausserdem alle IPv6-Adresse mit einem Semikolon auskommentiert, damit diese nicht abgefragt werden. Es genügt mir IPv4.

In /var/lib/bind habe ich manuell zwei Zonenfiles angelegt, die heißen "zone.intranet.meinefirma.de" und "zone.192.168.0". Letztere ist für Reverse-Auflösungen. Hier der Auszug

/var/lib/bind/zone.intranet.meinefirma.de:
/var/lib/bind/zone.192.168.0:
Die /etc/resolv.conf sieht wie folgt aus. Dabei ist 192.168.0.235 mein primärer DNS-Server, also der Server an welchem auch der DNS-Server BIND9 installiert ist. Der zweite Nameserver steht deshalb drin, weil es der Router fürs Internet ist.
Die Kommandos hostname und hostname -f spucken mir beide aus "meinservername.intranet.meinefirma.de", also soweit alles korrekt denke ich, oder?

Meine /etc/dhcp/dhcpd.conf sieht wie folgt aus:
Mitglied: mrtux
15.11.2011 um 16:17 Uhr
Hi !

Aus dem Stand heraus würde ich sagen, Du hast mind. noch einen weiteren Fehler in deiner Konfig, sonst würde der Key-Fehler nicht kommen. Hast Du denn überhaupt einen eigenen Key für die DHCP-Updates generiert?

Naja, vielleicht stolpert ein Kollege noch drüber, bin total neben der Spur und geh jetzt ins Bett....Erkältung mit Fieber und Kopfschmerzen...Das volle Programm ... Gut Nacht...

mrtux
Bitte warten ..
Mitglied: 43292
43292 (Level 1)
15.11.2011 um 17:30 Uhr
Mensch, ab ins Bett mit dir! :) face-smile gute und vor allem schnelle Genesung wünsche ich. Ja, eigener Key wurde generiert.

EDIT: Habe einige Fehler gefunden und bin gerade am Bearbeiten ...

EDIT2: Gott sei Dank! Habs gefunden und gelöst. Ich hatte Schönheitsfehler in meinen Configs :) face-smile hauptsache DDNS geht jetzt. Es lag sowohl am keyfile als auch am Syntax. Ich hab jetzt in der dhcpd.conf auch nicht mit "include"-Befehl mein keyfile geladen, sondern gleich mit
Außerdem hatte ich auch Anführungszeichen genutzt, das war definitiv falsch. Falls es jemanden gibt, der ähnliche Probleme hat und auf diesen Thread gestolpert ist, dem kann ich wärmstens dieses Tutorial empfehlen
http://www.ops.ietf.org/dns/dynupd/secure-ddns-howto.html

Ich glaub genug für heute, mein Kopf raucht. Schönen Abend allerseits noch.
Bitte warten ..
Mitglied: 43292
43292 (Level 1)
16.11.2011 um 13:51 Uhr
Hallo nochmal,

ich habe den DNS-Server und DHCP-Server soweit im Griff, außer noch folgendem Problem.

in dem Log erscheinen ständig solche Nameserver-Auflösungen:

Laut Google-Recherche wird ja EDNS von BIND standardmässig verwendet. Hier scheint wohl mein Router Probleme zu machen, da er nicht UDP-Packets größer als 512 durchlässt. Daraufhin verringert mein DNS-Server dies. Ich könnte ja die EDNS-Funktion in meiner BIND-Konfiguration ausschalten, aber das wäre ja nicht Sinn der Sache, oder doch? Wieso versuch eigentlich mein DNS-Server andere Name-Server zu kontaktieren? Eigentlich will ich es so haben, dass mein lokaler DNS-Server nur für lokale Adresse auflösen soll, sprich für mein Subnet. Alles andere soll unverzüglich an meinen Router gesendet werden, so dass sich mein BIND gar nicht damit abgeben und rumrechnen muss. Wie sag ich also meinem BIND, dass er das tun soll?

Bin für jede Hilfestellung dankbar.
Bitte warten ..
Mitglied: 43292
43292 (Level 1)
09.12.2011 um 10:33 Uhr
Problem gelöst. Mann Mann Mann, die Teilnahme hier im Forum ist ja echt enorm. Scheinen ja nicht viele Admins unterwegs zu sein, oder zumindest weniger wie in anderen Foren, die wirklich Hilfe leisten und Lösungsansätze bieten können. Ich für meinen Teil verabschiede mich wieder hier von der Community und wünsche allen weiterhin frohes Posten (und aufs Antworten warten :) face-smile )

Viele Grüße, frohe Festtage und allen einen guten Rutsch ins kommende Jahr.

Tschüss,
Michael.
Bitte warten ..
Heiß diskutierte Inhalte
Microsoft
Mitteilung an alle bei Störungen in der IT
gelöst David.B2D45Vor 15 StundenFrageMicrosoft31 Kommentare

Hallo Forum, ich bin auf der Suche nach einem Programm / Tool mit dem ich Text (Laufschrift) auf allen (gewünschten) PC's / Benutzer im ...

LAN, WAN, Wireless
"Ethernet verfügt über keine gültige IP-Konfiguration"
gelöst archITVor 1 TagFrageLAN, WAN, Wireless18 Kommentare

Moin, folgendes Problem: Jedes mal, wenn ich meinen PC an mache, muss ich die Problembehandlung auf der Ethernet schnittstelle ausführen, dass ich Internet habe. ...

Microsoft
PDF editor mit spezieller exportfunktion
FlorianHeVor 1 TagFrageMicrosoft10 Kommentare

Hi leute. Ich habe eine Frage. Bei uns in der Instandhaltung kommt es oft vor das wir änderungen an den Elektrischen Anlagen oder Mechanichen ...

TK-Netze & Geräte
Umstellung von ISDN auf VoIP, 4 Sprachkanäle über 2 DSL-Anschlüsse
Gohla2019Vor 1 TagFrageTK-Netze & Geräte14 Kommentare

Hallo, ich brauche einmal etwas Hilfestellung bei einer geplanten Umstellung einer Telefon-Installation von ISDN-Technik auf VoIP. Vor Ort gibt es zurzeit 2 ISDN-Leitungen, so ...

Backup
Ich suche ein cloudbasiertes Backup für Linux-Web-Server mit zentraler Verwaltung und Deduplizierung
EDVMan27Vor 1 TagFrageBackup4 Kommentare

Hallo, ich suche für eine handvoll Web-Server eine 2. Datensicherung. Die Server sind gemischt, meist aber Ubuntu. Ich habe über Vollzugriff per SSH als ...

Exchange Server
Exchange-Server als Cloud-Lösung sinnvoll?
imebroVor 1 TagFrageExchange Server9 Kommentare

Hallo an Alle. Unser IT-Dienstleister hat uns vorgeschlagen, den gesamten Emailserver in die Cloud zu verlegen, sodass die Administration des Exchange-Servers wegfällt. Unsere Zertifikatsverwaltung ...

Sicherheit
Passwort Safe (Cloud) mit Siegel Funktion
CriemoVor 1 TagFrageSicherheit3 Kommentare

Hallo Zusammen, ich habe da mal eine Frage an Euch. Ich benötige einen Cloud based Passwort Safe der die Möglichkeit hat gewisse Passwörter nur ...

E-Mail
Kann man mit SPF Mails für eine Domäne vollständig verbieten?
gelöst StefanKittelVor 3 StundenFrageE-Mail16 Kommentare

Hallo, viele Firmen haben ja zusätzliche Domänen. Als Web- und oder Mail-weiterleitung. Es werden also niemals Emails damit gesendet werden. kann man mit einem ...