titux
23.04.2015, aktualisiert um 12:35:37 Uhr
view2424
view11
0
Goto Top

Bind9 Konfig-Problem

gelöstFrageNetzwerkeDNS
Hallo,

ich habe hier auf einer physischen Maschine ein CentOS 7.1 mit bind9 installiert, der Dienst läuft, der Check für die named.conf und der Zonencheck laufen beide ohne Fehler durch. Ich habe noch keine Reverse-Lookup Zone angelegt, da ich erst schauen wollte,
ob die Forward-Zone funktioniert. Wenn ich jetzt z.B. von einem Debian Client aus versuche, einen Hostnahmen aufzulösen, schlägt das fehl.

Hier meine named.conf

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
[root@centi named]# cat /etc/named.conf
//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

options {
        listen-on port 53 { any; };
        listen-on-v6 port 53 { none; };
        directory       "/var/named";  
        dump-file       "/var/named/data/cache_dump.db";  
        statistics-file "/var/named/data/named_stats.txt";  
        memstatistics-file "/var/named/data/named_mem_stats.txt";  
        allow-query     { localhost; };

        /*
         - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
         - If you are building a RECURSIVE (caching) DNS server, you need to enable
           recursion.
         - If your recursive DNS server has a public IP address, you MUST enable access
           control to limit queries to your legitimate users. Failing to do so will
           cause your server to become part of large scale DNS amplification
           attacks. Implementing BCP38 within your network would greatly
           reduce such attack surface
        */
        recursion yes;

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";  

        managed-keys-directory "/var/named/dynamic";  

        pid-file "/run/named/named.pid";  
        session-keyfile "/run/named/session.key";  
};

logging {
        channel default_debug {
                file "data/named.run";  
                severity dynamic;
        };
};

zone "." IN {  
        type hint;
        file "named.ca";  
};

zone "invenient.test" {  
        type master;
        file "db.invenient.test";  
};



include "/etc/named.rfc1912.zones";  
include "/etc/named.root.key";

Und hier meine db.invenient.test

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
[root@centi named]# cat /var/named/db.invenient.test
$TTL 3600
@        IN     SOA     centi.invenient.test.   test.invenient.test. (
                        2015042301      ; Serial
                        12h             ; Refresh
                        1h              ; Retry
                        10d             ; Expire
                        1h              ; Negative Cache TTL
                        )

                IN      NS      centi.invenient.test.
                IN      NS      ns6.kasserver.com.

                IN      MX      10      centi

centi           IN      A       192.168.100.30
debian          IN      A       192.168.100.238

Es befinden sich nur 2 A Records in der Zone, ein Debian Client mit der .238 und der DNS-Server selber (Glue-Record) mit seiner .30 IP.
Gehe ich jetzt auf einen anderen Client u. versuche den Debian Host über DNS aufzulösen, kann er den DNS-Server nicht erreichen. Hier das Ergebnis vom Client:

1
2
3
4
5
6
root@lap1:~# dig @192.168.100.30 debian

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> @192.168.100.30 debian
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

So sieht die resolv.conf aus:

1
2
3
4
5
root@lap1:~# cat /etc/resolv.conf
domain invenient.test
search invenient.test
nameserver 192.168.100.30
nameserver 192.168.100.254

Iptaples ist auf dem DNS Server nicht gestartet, ich bekomme jedenfalls das Ergebnis:

1
2
3
4
5
[root@centi ~]# service iptables status
Redirecting to /bin/systemctl status  iptables.service
iptables.service
   Loaded: not-found (Reason: No such file or directory)
   Active: inactive (dead)

Wenn ich von einem Client aus allerdings per nmap den DNS-Server scanne, erscheint der DNS-Dienst dort nicht, dass wundert mich.

Wenn der DNS-Server selber eine Hostabfage mit dig macht, funktioniert das ganze:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
[root@centi ~]# dig @localhost debian

; <<>> DiG 9.9.4-RedHat-9.9.4-18.el7_1.1 <<>> @localhost debian
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 26811
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;debian.                                IN      A

;; AUTHORITY SECTION:
.                       10748   IN      SOA     a.root-servers.net. nstld.verisign-grs.com. 2015042201 1800 900 604800 86400

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Do Apr 23 12:31:01 CEST 2015
;; MSG SIZE  rcvd: 110

Welchen Fehler habe ich da noch drin, ich komme einfach nicht weiter, wer kann mir bitte helfen?

Gruß
TiTux
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 270019

Url: https://administrator.de/forum/bind9-konfig-problem-270019.html

Ausgedruckt am: 09.04.2025 um 23:04 Uhr

11 Kommentare
Neuester Kommentar
Goto Top
114757
114757 23.04.2015 aktualisiert um 13:32:11 Uhr
Goto Top
Moin,
Wenn der DNS-Server selber eine Hostabfage mit dig macht, funktioniert das ganze:
Nein das tut es dort ebenfalls nicht, dieser Output zeug ebenfalls davon das es nicht klappt, siehst du an der Meldung NXDOMAIN und ANSWER: 0 !
Als "Status" muss dort stehen NOERROR.

  • Wurde bind nach den Änderungen neu gestartet ?
  • Was sagt das syslog nach dem Start von bind "/var/log/syslog" ?

ändere mal die Nameserver-Zeile im Zonenfile
1
2
invenient.test.   IN      NS      centi.invenient.test.
invenient.test.   IN      A      192.168.100.30
http://askubuntu.com/questions/330148/how-do-i-do-a-complete-bind9-dns- ...

Gruß jodel32
AndiEoh
AndiEoh 23.04.2015 um 14:17:32 Uhr
Goto Top
Hallo,

auf den Bind Server:

- was sagt "netstat -a -n"? Ist dort port 53 auf der IPv4 Adresse als "listen" gelistet

- was sagt "iptables -L -v"? Soweit ich weiß ist iptables kein Service/Daemon

Gruß

Andi
TiTux
TiTux 23.04.2015 um 14:23:19 Uhr
Goto Top
Ich habe die Einträge angepasst, keine Veränderung. Das @ Zeichen bezieht sich doch auf alle Einträge in der Konfigdatei, deswegen muss ich den Domain-Namen doch eigentlich nicht mehr davor setzen? So habe ich das jedenfalls gelesen.

Hier die Ausgabe von Syslog, wenn nach bind/named gesucht wird:

1
2
3
4
09:36:11,257 INFO kernel:[    0.306312] TCP bind hash table entries: 32768 (order: 7, 524288 bytes)
09:36:11,257 INFO kernel:[    0.306664] TCP: Hash tables configured (established 32768 bind 32768)

09:36:11,258 INFO kernel:[   17.827239] RPC: Registered named UNIX socket transport module.
TiTux
TiTux 23.04.2015 um 14:37:57 Uhr
Goto Top
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[root@centi ~]# netstat -tulpen
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       Benutzer   Inode      PID/Program name
tcp        0      0 192.168.100.30:53       0.0.0.0:*               LISTEN      25         22082      2470/named
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      25         22080      2470/named
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      0          18386      1089/sshd
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      25         21476      2470/named
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      0          20669      1786/master
tcp6       0      0 :::22                   :::*                    LISTEN      0          18388      1089/sshd
tcp6       0      0 ::1:953                 :::*                    LISTEN      25         21477      2470/named
tcp6       0      0 ::1:25                  :::*                    LISTEN      0          20670      1786/master
udp        0      0 0.0.0.0:51203           0.0.0.0:*                           70         16774      610/avahi-daemon: r
udp        0      0 192.168.100.30:53       0.0.0.0:*                           25         22081      2470/named
udp        0      0 127.0.0.1:53            0.0.0.0:*                           25         22079      2470/named
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           70         16773      610/avahi-daemon: r

und iptables sagt:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
Chain FWDI_public (2 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 FWDI_public_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 FWDI_public_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 FWDI_public_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDI_public_allow (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain FWDI_public_deny (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain FWDI_public_log (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain FWDO_public (2 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 FWDO_public_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 FWDO_public_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 FWDO_public_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDO_public_allow (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain FWDO_public_deny (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain FWDO_public_log (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain INPUT_ZONES (1 references)
 pkts bytes target     prot opt in     out     source               destination
   68  8746 IN_public  all  --  enp0s25 *       0.0.0.0/0            0.0.0.0/0           [goto]
    0     0 IN_public  all  --  +      *       0.0.0.0/0            0.0.0.0/0           [goto]

Chain INPUT_ZONES_SOURCE (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain INPUT_direct (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain IN_public (2 references)
 pkts bytes target     prot opt in     out     source               destination
   68  8746 IN_public_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
   68  8746 IN_public_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
   68  8746 IN_public_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain IN_public_allow (1 references)
 pkts bytes target     prot opt in     out     source               destination
    1    52 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate NEW

Chain IN_public_deny (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain IN_public_log (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT_direct (1 references)
 pkts bytes target     prot opt in     out     source               destination
[root@centi ~]# clear
[root@centi ~]# iptables -L -v -n
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  523 45200 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
   11   741 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
   68  8746 INPUT_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0
   68  8746 INPUT_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0
   68  8746 INPUT_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
   67  8694 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 FORWARD_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 FORWARD_IN_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 FORWARD_IN_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 FORWARD_OUT_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 FORWARD_OUT_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 668 packets, 132K bytes)
 pkts bytes target     prot opt in     out     source               destination
  668  132K OUTPUT_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD_IN_ZONES (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 FWDI_public  all  --  enp0s25 *       0.0.0.0/0            0.0.0.0/0           [goto]
    0     0 FWDI_public  all  --  +      *       0.0.0.0/0            0.0.0.0/0           [goto]

Chain FORWARD_IN_ZONES_SOURCE (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD_OUT_ZONES (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 FWDO_public  all  --  *      enp0s25  0.0.0.0/0            0.0.0.0/0           [goto]
    0     0 FWDO_public  all  --  *      +       0.0.0.0/0            0.0.0.0/0           [goto]

Chain FORWARD_OUT_ZONES_SOURCE (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD_direct (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain FWDI_public (2 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 FWDI_public_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 FWDI_public_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 FWDI_public_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDI_public_allow (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain FWDI_public_deny (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain FWDI_public_log (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain FWDO_public (2 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 FWDO_public_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 FWDO_public_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 FWDO_public_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDO_public_allow (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain FWDO_public_deny (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain FWDO_public_log (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain INPUT_ZONES (1 references)
 pkts bytes target     prot opt in     out     source               destination
   68  8746 IN_public  all  --  enp0s25 *       0.0.0.0/0            0.0.0.0/0           [goto]
    0     0 IN_public  all  --  +      *       0.0.0.0/0            0.0.0.0/0           [goto]

Chain INPUT_ZONES_SOURCE (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain INPUT_direct (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain IN_public (2 references)
 pkts bytes target     prot opt in     out     source               destination
   68  8746 IN_public_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
   68  8746 IN_public_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
   68  8746 IN_public_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain IN_public_allow (1 references)
 pkts bytes target     prot opt in     out     source               destination
    1    52 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate NEW

Chain IN_public_deny (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain IN_public_log (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT_direct (1 references)
 pkts bytes target     prot opt in     out     source               destination
[root@centi ~]# iptables -L -v -n
[root@centi ~]# iptables -L -v -n
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  549 46592 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
   11   741 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
   68  8746 INPUT_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0
   68  8746 INPUT_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0
   68  8746 INPUT_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
   67  8694 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 FORWARD_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 FORWARD_IN_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 FORWARD_IN_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 FORWARD_OUT_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 FORWARD_OUT_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 709 packets, 142K bytes)
 pkts bytes target     prot opt in     out     source               destination
  709  142K OUTPUT_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD_IN_ZONES (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 FWDI_public  all  --  enp0s25 *       0.0.0.0/0            0.0.0.0/0           [goto]
    0     0 FWDI_public  all  --  +      *       0.0.0.0/0            0.0.0.0/0           [goto]

Chain FORWARD_IN_ZONES_SOURCE (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD_OUT_ZONES (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 FWDO_public  all  --  *      enp0s25  0.0.0.0/0            0.0.0.0/0           [goto]
    0     0 FWDO_public  all  --  *      +       0.0.0.0/0            0.0.0.0/0           [goto]

Chain FORWARD_OUT_ZONES_SOURCE (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD_direct (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain FWDI_public (2 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 FWDI_public_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 FWDI_public_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 FWDI_public_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDI_public_allow (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain FWDI_public_deny (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain FWDI_public_log (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain FWDO_public (2 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 FWDO_public_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 FWDO_public_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 FWDO_public_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDO_public_allow (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain FWDO_public_deny (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain FWDO_public_log (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain INPUT_ZONES (1 references)
 pkts bytes target     prot opt in     out     source               destination
   68  8746 IN_public  all  --  enp0s25 *       0.0.0.0/0            0.0.0.0/0           [goto]
    0     0 IN_public  all  --  +      *       0.0.0.0/0            0.0.0.0/0           [goto]

Chain INPUT_ZONES_SOURCE (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain INPUT_direct (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain IN_public (2 references)
 pkts bytes target     prot opt in     out     source               destination
   68  8746 IN_public_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
   68  8746 IN_public_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
   68  8746 IN_public_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain IN_public_allow (1 references)
 pkts bytes target     prot opt in     out     source               destination
    1    52 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate NEW

Chain IN_public_deny (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain IN_public_log (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT_direct (1 references)
 pkts bytes target     prot opt in     out     source               destination
AndiEoh
AndiEoh 23.04.2015 um 14:52:19 Uhr
Goto Top
Aha, da ist also eine ganze Menge "iptables" aktiv. Du solltest die aus der CentOS Dokumentation raussuchen wie die Firewall anzupassen ist. Auf die schnelle ist nämlich nur SSH als Ausnahme zu finden, für DNS brauchst du aber noch Port 53 eingehend für UDP und TCP.

Gruß

Andi
114757
114757 23.04.2015 aktualisiert um 15:10:35 Uhr
Goto Top
Jup da ist die Firewall dicht ...schalte also Port 53 (UDP/TCP) frei
TiTux
TiTux 23.04.2015 um 16:16:33 Uhr
Goto Top
Sodele, ab CentOS 7 ist "firewalld" standardmäßig aktiviert, kannte ich vorher überhaupt nicht. Iptables war gar nicht aktiv. Okay, firewalld habe ich nun deaktiviert und iptables aktiviert und die Regel hinzugefügt. Das war auf jedenfall schon mal der erste Fehler. Mit nmap wird mir jetzt auch der Port 53 als offen angezeigt, ein kleiner Erfolg.

Aber die dig Abfrage funktioniert immer noch nicht, auch nicht auf dem DNS-Server selber.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
[root@centi ~]# dig @localhost centi

; <<>> DiG 9.9.4-RedHat-9.9.4-18.el7_1.1 <<>> @localhost centi
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 12266
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;centi.                         IN      A

;; AUTHORITY SECTION:
.                       1723    IN      SOA     a.root-servers.net. nstld.verisign-grs.com. 2015042300 1800 900 604800 86400

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Do Apr 23 16:12:36 CEST 2015
;; MSG SIZE  rcvd: 109

Wenn ich einen öffentlichen Server abfrage, funktioniert es, hierfür wird er die Anfrage wohl an den zweiten DNS Server (Router IP) weiterreichen.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
[root@centi ~]# dig @localhost www.heise.de

; <<>> DiG 9.9.4-RedHat-9.9.4-18.el7_1.1 <<>> @localhost www.heise.de
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40643
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 13, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.heise.de.                  IN      A

;; ANSWER SECTION:
www.heise.de.           2831    IN      A       193.99.144.85

;; AUTHORITY SECTION:
.                       934     IN      NS      c.root-servers.net.
.                       934     IN      NS      h.root-servers.net.
.                       934     IN      NS      i.root-servers.net.
.                       934     IN      NS      b.root-servers.net.
.                       934     IN      NS      l.root-servers.net.
.                       934     IN      NS      f.root-servers.net.
.                       934     IN      NS      j.root-servers.net.
.                       934     IN      NS      e.root-servers.net.
.                       934     IN      NS      k.root-servers.net.
.                       934     IN      NS      d.root-servers.net.
.                       934     IN      NS      g.root-servers.net.
.                       934     IN      NS      a.root-servers.net.
.                       934     IN      NS      m.root-servers.net.

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Do Apr 23 16:14:14 CEST 2015
;; MSG SIZE  rcvd: 268

An der Konfig hat sich sonst nichts geändert, noch eine Idee?
AndiEoh
Lösung AndiEoh 23.04.2015, aktualisiert am 24.04.2015 um 13:05:35 Uhr
Goto Top
1. "dig" verwendet standardmäßig keine Suchdomain aus resolv.conf. Also entweder "dig @192.168.100.30 debian.invenient.test A" oder die +search option verwenden.

2. allow-query { localhost; }; muss natürlich auch angepasst werden, guckst du hier: http://wiki.ubuntuusers.de/DNS-Server_Bind/Erweiterte_Konfiguration

3. Falls Bind nicht als resolver cache arbeiten soll auch "recursive no;" setzen, falls er beides tun soll (was nicht empfohlen ist) "allow-recursion { <dein internes netz>; }"; verwenden.

Gruß

Andi
TiTux
TiTux 24.04.2015 um 13:05:02 Uhr
Goto Top
Hi Andi,

Vielen Dank! Der zweite Punkt, allow-query anzupassen, hat den Fehler endlich behoben. Mich wundert es nur, dass ich das in keinem meiner Bücher gefunden habe, dort wird diese Optione komplett aussen vor gelassen, deshalb wusste ich auch nicht, dass ich den noch anpassen muss, da ich dachte, localhost wird wohl in der Standardeinstellung passen. Auch auf anderen Blogs/Foren Seiten ist der meistens nicht aufgetaucht.

Kannst Du mir noch kurz erklären, was jetzt genau die Optione "recursive no" in Kombination mit allow-recursion macht?

Also derzeit soll der Server wirklich nur lokal im Netz als autorativer Server für seinen eigene Zone fungieren und mit dem Internet nichts am Hut haben.

Danke
TiTux
AndiEoh
AndiEoh 25.04.2015 um 15:26:08 Uhr
Goto Top
Hallo,

Bind kann beides DNS-Server und (caching) Resolver. Das erste bedeutet er ist der Master für eine oder mehrere Domains und beantwortet nur direkte Anfragen, als Resolver hingegen gräbt er sich auch rekursiv durch den DNS Baum. Das zweite will man üblicherweise nicht für alle Clients freigeben, da damit DoS Attacken möglich werden. Der Parameter "recursive no;" schaltet den Resolver part ab, allow-query ist recht neu bzw. der Default ist meine ich "all", deshalb taucht es in vielen Büchern noch nicht auf.

Gruß

Andi
TiTux
TiTux 25.04.2015 um 15:57:46 Uhr
Goto Top
Okay, so hatte ich das auch selber verstanden. Unter CentOS ist dieser Wert standardmäßig auf Localhost, was die Sache halt
etwas erschwert hat, aber jetzt geht ja alles.

Danke Dir uns ein schönes Wochenende

TiTux
gelöstFrageNetzwerkeDNS
Mehr von TiTuxTiTuxFehler beim hinzufügen eines RD-SitzungshostserversTiTux - 8 KommentareTiTuxIPAD vom Iphone aus steuernTiTux - 15 KommentareTiTuxOffice 2021 LTSC - Problem mit ODT InstallationTiTux - 7 KommentareTiTuxBenutzerprofile mit Powershell über Taskscheduler löschenTiTux - 6 Kommentare
Heiß diskutiert
BN2023Windows PC auf Linux umstellen, da Win11 Upgrade nicht möglich?BN2023 - 51 Kommentareds6.euDoppelmoral?ds6.eu - 30 KommentareMysticFoxDEEine alternative Erklärung des Doppler-Effekts durch variable LichtgeschwindigkeitMysticFoxDE - 26 KommentareBN2023Am Verstärker angeschlossene Festplatte über Laptop findenBN2023 - 24 KommentareMysticFoxDEStabilitätsprobleme bei Windows Server 2019 bis 2025 mit CUs ab etwa 12-24MysticFoxDE - 22 KommentareFlashLightzKann PC nicht der Domäne hinzufügenFlashLightz - 18 KommentareDerWoWussteThunderbird per IMAP an Exchange - Lesebestätigung verhindernDerWoWusste - 17 KommentarecoltseaversDebian Linux Fileserver mit ZFS, openZFS oder BTRFS?coltseavers - 16 KommentarekreuzbergerSound-Recording und Sound-Bearbeitungkreuzberger - 16 KommentareMegaadwwhOPNSense, Proxmox, eine weitere Firewall, Ubiquiti, Cisco und NetgearMegaadwwh - 15 KommentareitstrueSync Windows Folder zu Webdavitstrue - 15 KommentarekreuzbergerTrueNAS-13.3-U1.1, Plugin Installation schlägt fehlkreuzberger - 15 KommentareZeroOne1Aktuelle IT Ausbildungsberufe? FISI noch zeitgemäß?ZeroOne1 - 14 Kommentare