Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hallo,

ich hab auf einem Server einen Bind laufen und habe nun ein merkwürdiges Problem.

Einige Provider scheinen Probleme zu haben, IPs von meinem DNS zu bekommen. Wenn jemand von T-Online z.B. auf eine Domain zugreifen will, die dort gehostet wird, dann kommt zu 80% die Meldung, dass kein DNS vorhanden ist (was auch immer der IE damit meint).

Von mir aus der Uni raus geht es aber einwandfrei. Woran könnte das liegen?

Achso, also der Server hat 4 IPs, auf allen lauscht er auf Anfragen und alles sind Master-Zones keine Slaves. Recursive Lookups und Zonetransfers sind ausgeschaltet.

Gruß

ice

Geschrieben

Auszug von http://www.isc.org/products/BIND/

ISC BIND

BIND (Berkeley Internet Name Domain) is an implementation of the Domain Name System (DNS) protocols and provides an openly redistributable reference implementation of the major components of the Domain Name System, including:

a Domain Name System server (named)

a Domain Name System resolver library

tools for verifying the proper operation of the DNS server

The BIND DNS Server is used on the vast majority of name serving machines on the Internet, providing a robust and stable architecture on top of which an organization's naming architecture can be built. The resolver library included in the BIND distribution provides the standard APIs for translation between domain names and Internet addresses and is intended to be linked with applications requiring name service.

Oder kurz: BIND ist ein DNS-Server ;)

Geschrieben

Einige Provider haben Probleme von Deinem DNS IPs zu bekommen? Ist Dein Nameserver ein öffentlicher Nameserver?

Oder muß es heißen: mein DNS löst nicht alle IPs aus dem Internet richtig auf?

Werd zur der Frage mal ein bisschen genauer. Was für eine Bind-Version hast Du? Hoffentlich keinen 4er. Auf was für einem System läuft er?

Geschrieben

Einige Provider haben Probleme IPs von meinem öffentlichen DNS Server aufzulösen, wie ich gesagt habe.

Es läuft BIND 9.2.0 unter SuSE 7.3 Pro. Ich hab keine Ahnung, wieso die da Probleme machen, bisher sind mir Probleme mit T-Online und SurfEU bekannt.

Viel mehr relevantes wüsste ich so auch nicht. Läuft halt auf 4 IPs, nur Master Zones keine Slave Zones.

Geschrieben

Hi,

ein einfaches nslookup hatte bei mir auch Probleme und meldete ebenfalls, daß der DNS-Server nicht gefunden wurde.

Beim zweiten Versuch funktionierte es.

Ich schlage vor, daß Netzwerk zu checken (vielleicht Timeouts?) und Debug in bind zu aktivieren.

P.S.: Müssen auf den Servern so viele Services (ftp, login, bnc, lpd, tomcat, etc.) aktiv sein?

Gruß,

Christian

Geschrieben

Also, auf dem Server laufen nur folgende services:

ftpd, sshd, bind, httpd, pop3 und ein mysqld der von aussen nicht erreichbar sein sollte alles andere sind Bots.

Reverse DNS ist total egal, denn wie man sehen kann, ist der Server nicht für rDNS Anfragen zuständig.

Das mit Debug kann ich probieren, ich seh nur denn Sinn nicht so ganz.

Geschrieben

Ok, ich habs mit debuglevel 10 probiert und folgendes:

wenn ein Client ein IP sucht:

Feb 23 22:58:40.592 client 194.109.6.xxx#53: UDP request

Feb 23 22:58:40.592 client 194.109.6.xxx#53: using view '_default'

Feb 23 22:58:40.592 client 194.109.6.xxx#53: request is not signed

Feb 23 22:58:40.592 client 194.109.6.xxx#53: query

Feb 23 22:58:40.592 client 194.109.6.xxx#53: ns_client_attach: ref = 1

Feb 23 22:58:40.592 dns_zone_attach: zone cyberscan.org/IN: eref = 2, irefs = 0

Feb 23 22:58:40.592 client 194.109.6.xxx#53: query approved

Feb 23 22:58:40.593 dns_zone_detach: zone cyberscan.org/IN: eref = 1, irefs = 0

Feb 23 22:58:40.593 client 194.109.6.xxx#53: send

Feb 23 22:58:40.593 client 194.109.6.xxx#53: sendto

Feb 23 22:58:40.593 client 194.109.6.xxx#53: ns_client_detach: ref = 0

Feb 23 22:58:40.594 client 194.109.6.xxx#53: senddone

Feb 23 22:58:40.594 client 194.109.6.xxx#53: next

Feb 23 22:58:40.594 client 194.109.6.xxx#53: endrequest

Wenn hingegen jemand eine Fehlermeldung bekommt, dann steht auch keine Anfrage im Log (wie nicht anders zu erwarten war)

Geschrieben

Du brauchst Dich nicht auf den Schlips getreten fühlen.

Obwohl man keinen Sinn in irgendwelchen Tests, oder ähnliches sieht, heißt es nicht, daß einem die Schlußfolgerungen aus diesen nicht weiterhelfen. ;)

Laß' mich nochmal ins blaue Testen/Tippen:

---schnipp---

miami@localhost$ nslookup -type=ns real.cyberscan.org

Server: xxx.xxx.xxx.xxx

Address: xxx.xxx.xxx.xxx#53

*** Can't find real.cyberscan.org: No answer

miami@localhost$ nslookup -type=ns real.cyberscan.org

Server: xxx.xxx.xxx.xxx

Address: xxx.xxx.xxx.xxx#53

Non-authoritative answer:

*** Can't find real.cyberscan.org: No answer

Authoritative answers can be found from:

cyberscan.org

origin = dns1.angjelina.ch

mail addr = hisi.hrz.tu-chemnitz.de

serial = 1010474798

refresh = 10800

retry = 3600

expire = 604801

minimum = 60800

---schnapp---

Dies sieht für mich so aus, als ob Dein DNS nicht authorative für diese Domain ist. Authorative scheint "dns1.angjelina.ch" zu sein.

Da Du forwarding disabled hast, holt sich Dein DNS-Server nicht die Antwort von "angjelina" und gibt somit nur eine Näherung an den Anfrager weiter:

*** Can't find real.cyberscan.org: No answer

Mit dem Hinweis, das die Antwort jedoch bei "dns1.angjelina.ch" zu finden ist.

Jo, bei meiner ersten Antwort hatte ich noch Debug bei nslookup enabled und sah, daß er von z. B. "real.cyberscan.org" ein reverse lookup machen wollte...

Meiner Meinung solltest Du forwarding enablen. Ein Versuch ist's schonmal wert.

Gib bitte bescheid, wie die Situation mit forwarding aussieht,

Christian

Geschrieben

so, läuft wieder... hier die imho wichtigen teile der named.conf (also alles ausser die zone-files, das würde zuviel werden)

options {

directory "/var/named";

listen-on-v6 { none; };

notify yes;

allow-transfer {

62.67.214.100;

62.67.214.101;

62.67.214.102;

62.67.222.173;

};

allow-recursion {

62.67.214.100;

62.67.214.101;

62.67.214.102;

62.67.222.173;

};

recursion no;

auth-nxdomain yes;

transfers-in 1;

transfer-format one-answer;

max-transfer-time-in 1;

};

zone "localhost" in {

type master;

file "localhost.zone";

};

zone "0.0.127.in-addr.arpa" in {

type master;

file "127.0.0.zone";

};

zone "." in {

type hint;

file "root.hint";

};

#ganz viele domains wie z.B.:

zone "cyberscan.org" {

type master;

file "/var/named/cyberscan.org.hosts";

};

Geschrieben

D:\Dokumente und Einstellungen\stiV>nslookup www.hackerattack.org

Server: WS01IS01.highway.telekom.at

Address: 195.3.96.67

DNS request timed out.

timeout was 2 seconds.

DNS request timed out.

timeout was 2 seconds.

*** Zeitüberschreitung bei Anforderung an WS01IS01.highway.telekom.at

wie man sieht bin ich aus österreich ... und bei mir gehtz nicht.

Geschrieben

Das ganze ist recht krank.

Wenn ich für eine "funktionierende" Domain die Nameserver abfrage, bekomme ich sowas:


[ae@storm] > dig jsod.de. NS


;; ANSWER SECTION:

jsod.de.		3h20m2s IN NS	ns15.schlund.de.

jsod.de.		3h20m2s IN NS	ns16.schlund.de.


;; ADDITIONAL SECTION:

ns15.schlund.de.	48m23s IN A	195.20.224.105

ns16.schlund.de.	50m38s IN A	212.227.123.12

Also die Domain-NS Records und die A-Records zu den Nameservern. Jetzt das mal für dich:

[ae@storm] > dig hackerattack.org NS


;; ANSWER SECTION:

hackerattack.org.	1d1h15m IN NS	DNS2.ANGJELINA.CH.

hackerattack.org.	1d1h15m IN NS	DNS1.ANGJELINA.CH.

NS-Records kommen, aber keine A-Records. Was macht ein resolver dann? er guckt nach wo er die IPs für ANGJELINA.CH herbekommt.

[ae@storm] > dig angjelina.ch NS


;; ANSWER SECTION:

angjelina.ch.		10h46m17s IN NS  dns2.free-bsd.org.

angjelina.ch.		10h46m17s IN NS  dns1.free-bsd.org.

Super, wieder nur NS-Records. Auf ein neues...

[ae@storm] > dig free-bsd.org NS


;; ANSWER SECTION:

free-bsd.org.		3h58m36s IN NS	b.ns.ods.org.

free-bsd.org.		3h58m36s IN NS	a.ns.ods.org.

free-bsd.org.		3h58m36s IN NS	a.ns.uk.ods.org.


;; ADDITIONAL SECTION:

b.ns.ods.org.		3h58m36s IN A	64.3.150.189

a.ns.ods.org.		3h58m36s IN A	66.28.41.162

a.ns.uk.ods.org.	3h58m36s IN A	212.100.224.241

Endlich eine Antwort. Woraufhin man rausfindet, das dns1.free-bsd.org == dns1.angjelina.ch ist. Wieso existieren keine A-Records dafür und wieso benutzt diese Domain als DNS einen NS-Record der zwar anders heißt, aber dieselbe IP hat? Extrem kranke Config. Please Fix.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...