12
Linux und Bind9 einrichten
Hallo,
ich versuche einen lokalen DNS einzurichten über den ich bestimmte Domains blocken kann und über den ich auch bestimmte zugriffe loggen kann.
Das blocken klappt, aber mein DNS löst die eingerichteten Zonen nicht auf. Was mache ich falsch?
Hier die wichtigen Config-Dateien:
named.conf.local:
db.blocked.sites:
dig test.com @192.168.1.141
ich versuche einen lokalen DNS einzurichten über den ich bestimmte Domains blocken kann und über den ich auch bestimmte zugriffe loggen kann.
Das blocken klappt, aber mein DNS löst die eingerichteten Zonen nicht auf. Was mache ich falsch?
Hier die wichtigen Config-Dateien:
named.conf.local:
zone "test.com" IN {
type master;
file "/etc/bind/db.blocked.sites";
};db.blocked.sites:
$TTL 86400
@ IN SOA ns1.test.com. test.com. (
1 ; Serial
3600 ; Refresh
900 ; Retry
604800 ; Expire
86400 ; Negative Cache TTL
)
A 192.168.1.141
* IN A 192.168.1.141
AAAA ::1
* IN AAAA ::1dig test.com @192.168.1.141
; <<>> DiG 9.16.37-Debian <<>> test.com @192.168.1.141
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 2835
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 801bebb122f269760100000064542e2430af052fc903e0ba (good)
;; QUESTION SECTION:
;test.com. IN A
;; Query time: 0 msec
;; SERVER: 192.168.1.141#53(192.168.1.141)
;; WHEN: Fri May 05 00:13:56 CEST 2023
;; MSG SIZE rcvd: 65
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7024225321
Url: https://administrator.de/contentid/7024225321
Ausgedruckt am: 06.10.2024 um 08:10 Uhr
12 Kommentare
Neuester Kommentar
Hallo
auf den ersten Blick, sieht deine Zonendatei nicht korrekt aus.
.. SOA ns1.test.com. test.com......
hier ein Beispiel einer Bind Zonendatei www.linux-praxis.de/die-zonendatenbanken
Gibt es eine Meldung in den Logs?
auf den ersten Blick, sieht deine Zonendatei nicht korrekt aus.
.. SOA ns1.test.com. test.com......
hier ein Beispiel einer Bind Zonendatei www.linux-praxis.de/die-zonendatenbanken
Gibt es eine Meldung in den Logs?
Hallo,
leider passt das auch nicht wenn ich
daraus mache.
In den Log-Dateien finde ich folgendes:
Das erklärt das Problem aber ich finde trotzdem den Fehler nicht:
leider passt das auch nicht wenn ich
test.com. IN SOA ns1. root.test.com.daraus mache.
In den Log-Dateien finde ich folgendes:
05-May-2023 11:49:33.253 zone test.com/IN: has no NS records
05-May-2023 11:49:33.253 zone test.com/IN: not loaded due to errors.Das erklärt das Problem aber ich finde trotzdem den Fehler nicht:
$TTL 86400
@ IN SOA ns1. root.test.com. (
1 ; Serial
3600 ; Refresh
900 ; Retry
604800 ; Expire
86400 ; Negative Cache TTL
)
ns1 IN NS 192.168.1.141
A 192.168.1.141
* IN A 192.168.1.141
AAAA ::1
* IN AAAA ::1
Problem gelößt. Ich muss
schreiben!
PS.: Falls einer eine gute Einführung in DNS kennt nur raus damit - egal ob YT Video oder Blog. Ich hab sowas noch nie gemacht und die Videos dich ich bei einer schnellen Suche gefunden habe, erklärten die Config-Dateien und wie das alles zusammenhängt nicht wirklich vollständig.
Die gute alte Try&Error Methode hat's wieder mach gerichtet. Würde nun gern verstehen was genau die Config-Datei aussagt, die ich da zusammengeschustert habe.
@ IN NS 192.168.1.141schreiben!
PS.: Falls einer eine gute Einführung in DNS kennt nur raus damit - egal ob YT Video oder Blog. Ich hab sowas noch nie gemacht und die Videos dich ich bei einer schnellen Suche gefunden habe, erklärten die Config-Dateien und wie das alles zusammenhängt nicht wirklich vollständig.
Die gute alte Try&Error Methode hat's wieder mach gerichtet. Würde nun gern verstehen was genau die Config-Datei aussagt, die ich da zusammengeschustert habe.
Zitat von @pd.edv:
Problem gelößt. Ich muss
schreiben!
PS.: Falls einer eine gute Einführung in DNS kennt nur raus damit -
Problem gelößt. Ich muss
@ IN NS 192.168.1.141schreiben!
PS.: Falls einer eine gute Einführung in DNS kennt nur raus damit -
Moin,
das Standardwerk dazu ist DNS and BIND, von Cricket Liu und Paul Albitz im O'Reilly-verlag. Mit der allerersten Auflage habe ich mein Wissen über DNS udn Bind komplettiert.
lks
Zitat von @aqui:
https://www.michlfranken.de/dns-server-eigenen-linux-dns-server-mit-bind ...
Usw. usw.
https://www.michlfranken.de/dns-server-eigenen-linux-dns-server-mit-bind ...
Usw. usw.
Hab ich zB gefunden. Darin Ist aber nicht mal die Hälfte erklärt - zB:
Forward Lookup Zone
- Es wird nicht erklärt, dass yt-bind.michlfranken. der NS sein soll bzw. das mail.admin die email sein soll.
- Zeitangeben und Seriennummer nicht erklärt
- Funktion / Bedeutung des @ nicht erklärt
- usw.
Wie gesagt ich hab mit das aus 5 Anleitungen zusammengestoppelt und immer noch Fragen weil ich nicht alles gefunden habe.
Daher habe ich nach einer vernünftigen Quelle gesucht ...
Zitat von @Lochkartenstanzer:
das Standardwerk dazu ist DNS and BIND, von Cricket Liu und Paul Albitz im O'Reilly-verlag. Mit der allerersten
Auflage habe ich mein Wissen über DNS udn Bind komplettiert.
das Standardwerk dazu ist DNS and BIND, von Cricket Liu und Paul Albitz im O'Reilly-verlag. Mit der allerersten
Auflage habe ich mein Wissen über DNS udn Bind komplettiert.
Das Klingt schon mal besser. Schau mit das Buch mal näher an. Danke!
Würde mir anschließend stattdessen mal Unbound anschauen, das ist für das Blocking etc. um einiges schneller, bietet conditional views und vieles mehr.
Für öffentliche Authorative DNS Server hingegen kann ich NSD empfehlen, das bietet nicht so viel Angriffsfläche wie bind und bietet viele Einstellungen die gerade beim Betrieb eines öffentlichen Resolvers nützlich sind.
Gruß pille
Für öffentliche Authorative DNS Server hingegen kann ich NSD empfehlen, das bietet nicht so viel Angriffsfläche wie bind und bietet viele Einstellungen die gerade beim Betrieb eines öffentlichen Resolvers nützlich sind.
Gruß pille
Danke für den Tipp Pille!
Mir geht es primär darum die Aktivitäten zu loggen. Ich experimentiere hier mit Schadware in einem separaten Netzwerk, dass auch nur sehr beschränkt Zugang nach außen hat.
Ich will vor allem zentral loggen was wohin geschickt wird und dann auch die Ausbreitung auf andere Systeme betrachten. Daher der DNS + Apache.
Also hab ich da 3 alte Rechner als "Opfer" mit Win10 ohne aktuelle Updates, Defender aus. Dazu einen Parrot-Laptop mit diversen Tools zur Analyse als Forensik-System, DNS und Webserver und ein Router auf dem ich Internet über eine mobile Verbindung mit Prepaid-Karte freigeben kann.
Quasi ein völlig getrenntes eigenes Netzwerk nur zum experimentieren.
Ich weiß von der ersten Analyse, dass da diverse Scrips auf diversen gehackten WP-Seiten und dergleichen angesprochen werden. Da die Schadware auch nicht die aktuellste ist, sind die meisten der Scripts schon gelöscht oder die Seiten gar nicht mehr erreichbar.
Daher dachte ich mir bevor ich mir das alles mit Ghidra oder anderen Tools aufdrösle lass ich die Dinger lieber in so einem Netzwerk los... Ich komm zwar irgendwie klar aber ich bin bei Gott nicht geübt oder schnell was Reverse-Engineering angeht.
Mir geht es primär darum die Aktivitäten zu loggen. Ich experimentiere hier mit Schadware in einem separaten Netzwerk, dass auch nur sehr beschränkt Zugang nach außen hat.
Ich will vor allem zentral loggen was wohin geschickt wird und dann auch die Ausbreitung auf andere Systeme betrachten. Daher der DNS + Apache.
Also hab ich da 3 alte Rechner als "Opfer" mit Win10 ohne aktuelle Updates, Defender aus. Dazu einen Parrot-Laptop mit diversen Tools zur Analyse als Forensik-System, DNS und Webserver und ein Router auf dem ich Internet über eine mobile Verbindung mit Prepaid-Karte freigeben kann.
Quasi ein völlig getrenntes eigenes Netzwerk nur zum experimentieren.
Ich weiß von der ersten Analyse, dass da diverse Scrips auf diversen gehackten WP-Seiten und dergleichen angesprochen werden. Da die Schadware auch nicht die aktuellste ist, sind die meisten der Scripts schon gelöscht oder die Seiten gar nicht mehr erreichbar.
Daher dachte ich mir bevor ich mir das alles mit Ghidra oder anderen Tools aufdrösle lass ich die Dinger lieber in so einem Netzwerk los... Ich komm zwar irgendwie klar aber ich bin bei Gott nicht geübt oder schnell was Reverse-Engineering angeht.
Ich will vor allem zentral loggen was wohin geschickt wird und dann auch die Ausbreitung auf andere Systeme betrachten. Daher der DNS + Apache.
Setz doch gleich nen MITM Proxy dazwischen dann siehst du auch was da per SSL abgeht 
.
Es soll sowas in der Art sein aber nicht per Proxy gelöst - das wäre in bestimmten Fällen ein Problem.
Zitat von @pd.edv:
Es soll sowas in der Art sein aber nicht per Proxy gelöst - das wäre in bestimmten Fällen ein Problem.
Auch kein Problem machst du halt einen transparenten Proxy draus 😉Es soll sowas in der Art sein aber nicht per Proxy gelöst - das wäre in bestimmten Fällen ein Problem.
Ja da hast du recht. Das löst mir aber das Logging Problem nicht.
Da ist es mir lieber ich lass erst mal alles laufen, erstelle dann VirtualHost-Einträge aus dem query.log und lass dann dort ein PHP-Script laufen, dass mir alles schön auswertet und ordentlich in eine DB packt mit Zeitstempel, IP des Rechners und allen anderen Daten die ich so brauche.
So kann ich sogar verschiedenste Sessions zusammensammeln und dann alle möglichen Analysen damit anstellen.
Dann kann ich Änderungen über Versionen, etc. beobachten, testen welche verwundbaren Programme eventuell ausgenutzt werden, und vieles mehr.
Du hast recht wenn es mal schnell darum geht eine Schadware näher anzusehen dann wäre ein MITM-Proxy deutlich einfacher.
So wie ich es mache kann ich dann auch veränderte Reg.-Schlüssel, etc. zu den Systemen und einzelnen Programmen zuordnen bzw. zu bestimmten Konfigurationen. Außerdem kann ich diverse andere Daten wie erstellte, veränderte, etc. Dateien und die Änderungen an sich hinzufügen.
Ich kann einzelne Request durchlassen und zur richtigen IP auflösen und dann schauen was dann die Nachgeladene Datei macht, usw.
Und ja, ich weiß, dass ich dies auf Diensten wie Any.run oder ähnlichem auch haben kann wenn ich etwas Geld in die Hand nehme. Aber so lerne ich mehr und kann mit diversen neuen Tools spielen.
Da ist es mir lieber ich lass erst mal alles laufen, erstelle dann VirtualHost-Einträge aus dem query.log und lass dann dort ein PHP-Script laufen, dass mir alles schön auswertet und ordentlich in eine DB packt mit Zeitstempel, IP des Rechners und allen anderen Daten die ich so brauche.
So kann ich sogar verschiedenste Sessions zusammensammeln und dann alle möglichen Analysen damit anstellen.
Dann kann ich Änderungen über Versionen, etc. beobachten, testen welche verwundbaren Programme eventuell ausgenutzt werden, und vieles mehr.
Du hast recht wenn es mal schnell darum geht eine Schadware näher anzusehen dann wäre ein MITM-Proxy deutlich einfacher.
So wie ich es mache kann ich dann auch veränderte Reg.-Schlüssel, etc. zu den Systemen und einzelnen Programmen zuordnen bzw. zu bestimmten Konfigurationen. Außerdem kann ich diverse andere Daten wie erstellte, veränderte, etc. Dateien und die Änderungen an sich hinzufügen.
Ich kann einzelne Request durchlassen und zur richtigen IP auflösen und dann schauen was dann die Nachgeladene Datei macht, usw.
Und ja, ich weiß, dass ich dies auf Diensten wie Any.run oder ähnlichem auch haben kann wenn ich etwas Geld in die Hand nehme. Aber so lerne ich mehr und kann mit diversen neuen Tools spielen.
