Am Dienstag, 25. Januar 2011, 10:41:52 schrieb Andre Tann:
Servus Martin,
Hallo Andre,
Martin Jedamzik, Dienstag 25 Januar 2011:
die Server sind in einem unterschiedlichen Netz, deshalb sollte "allow_recursion { xxx; } ;" gesetzt werden. 192.168.0.0/16 oder "any" wäre die schnelle Lösung zum Testen.
vielen Dank für diesen Hinweis - in der Tat funktioniert es jetzt erstmal mit allow-recursion { any;};.
Allerdings verstehe ich den Zusammenhang noch nicht ganz: Wieso hat Rekursion etwas damit zu tun, daß die Nameserver in unterschiedlichen Segmenten sind? Betrifft Rekursion nicht eher die Frage, ob ein Nameserver sich überhaupt an einen anderen wenden darf oder nicht, falls er die Antwort nicht im Cache hat?
Du hast recht, das vermutet man erst. Im Prinzip ist Rekursion nicht anders, als das der DNS Server Anfragen beantwortet, für welche er selber nicht zuständig ist und die er dann selber auflösen muß. Aber "recursion" hat noch Einfluß auf einen zweiten Parameter. Aus dem Buch "DNS for rocket scientists" ( creative commons license ): --snip -- Only relevant if recursion yes; is present or defaulted. allow-recursion defines a address_match_list of IP address(es) which are allowed to issue recursive queries to the server. When allow-recursion is present allow-query- cache defaults to the same values. If allow-recursion is NOT present the allow-query-cache default is assumed (localnets, localhost only). Meaning that only localhost (the server's host) and hosts connected to the local LAN (localnets) are permitted to issue recursive queries. -- snip -- Rekursion ist sehr arbeitsaufwendig, deshalb sollte man dies nur für ausgewählte Rechner und Netze zulassen.
Zweitens verstehe ich nicht, wieso der ursprüngliche Nameserver die Adresse trotzdem rausgekriegt hat. Immerhin war dort nur ein einziges Server als Forwarder eingetragen. Wenn dieser nun ablehnt, dann müßte die Auflösung doch fehlschlagen, oder?
Nicht ganz, dies ist nur das Verhalten, wenn Du "forward only" verwendest. Im Prinzip passiert Folgendes: Der Server fragt bei seinem Forwarder an, ob dieser die Adresse auflösen kann. Da die Antwort "Nein, Du nicht" ist, macht er es danach selber. Dieses Verhalten ist sinnvoll, da immer mal ein Ausfall des Forwarders passieren kann.
Danke+Gruß!
Aber gerne :-) Gruß, Martin -- I would rather be exposed to the inconveniences attending too much liberty, than those attending too small a degree of it. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org