dns (bind) antwortet nicht der dmz
![](https://seccdn.libravatar.org/avatar/d2359cd27f93e3e2dc85ba817fd4869e.jpg?s=120&d=mm&r=g)
Hallo zusammen, habe ein Problem mit (vermutlich bind). Habe eine Firewall(hier laeuft bind) mit 3 Netzwerkkarten und konfigurietern Bereichen ext, dmz und intern. Nach vielen Versuchen klappt auch das Routing endlich. Es verbleibt ein Problem bei der Namensaufloesung. Aus dem internen und externen Bereich antwortet bind auf der FW ordnungsgemaess, jedoch nicht auf Anfragen aus der DMZ(10.0.0.0-Netz). Das Problem bleibt auch beim ausschalten der iptables! sodass es ein dns-Problem sein koennte. Lausche ich dem Traffic der DMZ passiert folgendes bei einer dns Anfrage von 10.0.0.2 ans die FW(10.0.0.1): 10.0.0.2.1024 > 10.0.0.1.domain: 11852+ PTR? 1.0.0.10.in-addr.arpa. (39) (DF) 10.0.0.1 > 10.0.0.2: icmp: "firewallname..." udp port domain unreachable (DF) [tos 0xc0] Wo koennte der Fehler liegen. Vielen Dank fuer Eure hilfe -- GMX - Die Kommunikationsplattform im Internet. http://www.gmx.net
![](https://seccdn.libravatar.org/avatar/d2359cd27f93e3e2dc85ba817fd4869e.jpg?s=120&d=mm&r=g)
Hallo zusammen, habe ein Problem mit (vermutlich bind). Habe eine Firewall(hier laeuft bind) mit 3 Netzwerkkarten und konfigurierten Bereichen ext, dmz und intern. Nach vielen Versuchen klappt auch das Routing endlich. Es verbleibt ein Problem bei der Namensaufloesung. Aus dem internen und externen Bereich antwortet bind auf der FW ordnungsgemaess, jedoch nicht auf Anfragen aus der DMZ(10.0.0.0-Netz). Das Problem bleibt auch beim ausschalten der iptables! sodass es ein dns-Problem sein koennte. In bind ist der NS auch fuer die entsprechenden Zonen eingetragen. Lausche ich dem Traffic der DMZ passiert folgendes bei einer dns Anfrage von 10.0.0.2 ans die FW(10.0.0.1): 10.0.0.2.1024 > 10.0.0.1.domain: 11852+ PTR? 1.0.0.10.in-addr.arpa. (39) (DF) 10.0.0.1 > 10.0.0.2: icmp: "firewallname..." udp port domain unreachable (DF) [tos 0xc0] Warum ist der port unreachable? Muss ich vielleicht in die named.conf etwas zusaetlich eintragen? Klappt aber doch auch aus dem private net... Wo koennte der Fehler liegen. Vielen Dank fuer Eure hilfe -- GMX - Die Kommunikationsplattform im Internet. http://www.gmx.net
![](https://seccdn.libravatar.org/avatar/02bd3b8e3a436c5b5dac0042a9a9fa6b.jpg?s=120&d=mm&r=g)
Hi Holger On Thu, Oct 04, 2001 at 11:18:39AM +0200, Holger Bleul wrote:
10.0.0.1 > 10.0.0.2: icmp: "firewallname..." udp port domain unreachable (DF) [tos 0xc0] Warum ist der port unreachable?
/etc/rc.config.d/firewall.rc.config FW_SERVICES_DMZ_TCP="" # Common: smtp domain FW_SERVICES_DMZ_UDP="" # Common: domain syslog vielleicht deshalb? ansonsten mal nachsehen ob der bind allgemein auf dem port lauscht und zwar als 0.0.0.0:53 oder ob der nur an einzelnen interfaces klebt. netstat -plan -- MfG. Falk
![](https://seccdn.libravatar.org/avatar/d2359cd27f93e3e2dc85ba817fd4869e.jpg?s=120&d=mm&r=g)
Vielen Dank fuer den ersten Hinweis. Es hat sich nun folgendes gezeigt:
/etc/rc.config.d/firewall.rc.config FW_SERVICES_DMZ_TCP="" # Common: smtp domain FW_SERVICES_DMZ_UDP="" # Common: domain syslog
vielleicht deshalb?
Daran liegt es nicht. Services sind mit domain eingetragen. Problem besteht zudem auch nach Abschalten der FW (nur routing).
ansonsten mal nachsehen ob der bind allgemein auf dem port lauscht und zwar als 0.0.0.0:53 oder ob der nur an einzelnen interfaces klebt.
netstat -plan Aber hier scheint Falk rechtzuhaben!!!: named klebt nur an 192.168.1.1:53 und "offizielle-ip":53!!! Wie kommt das, denn bind laeuft mit default listening on = alle interfaces (oder?). Was muss ich tun? Gruss,
HB
MfG. Falk
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
-- GMX - Die Kommunikationsplattform im Internet. http://www.gmx.net
![](https://seccdn.libravatar.org/avatar/02bd3b8e3a436c5b5dac0042a9a9fa6b.jpg?s=120&d=mm&r=g)
Hi Holger On Thu, Oct 04, 2001 at 12:49:42PM +0200, Holger Bleul wrote:
Problem besteht zudem auch nach Abschalten der FW (nur routing).
ich erlebe es oft genug das beim Abschalten der FW Fehler gemacht werden, deshalb der hnweis.
netstat -plan named klebt nur an 192.168.1.1:53 und "offizielle-ip":53!!! Wie kommt das, denn bind laeuft mit default listening on = alle interfaces (oder?).
ohne deine named.conf kann man nur raten, am Wahrscheinlichsten ist: # the default is to listen on port 53 on all available # interfaces # you can also give a detailed list: #listen-on { 5.6.7.8; }; #listen-on port 1234 { !1.2.3.4; 1.2/16; }; und bitte genau! so und mit allen semikolons in der options section. Und wo sollte in einer named.conf ein default listening on stehen? hint: 'all available interfaces' werden zur startzeit von bind ermittelt! PS: den listenfooter muss man nicht mitquoten -- MfG. Falk
participants (2)
-
Falk Sauer
-
Holger Bleul