DNS-Server mit mehreren Interfaces ohne UDP

Dieses Thema im Forum "Anwendungen" wurde erstellt von theton, 10.10.2006.

  1. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Da ich keinen besseren Platz gefunden habe, packe ich mein Problem einfach mal hier rein. Uns fehlt definitiv ein Bereich für "Sonstige Server-Applikationen". ;)

    Problem ist folgendes: Ich habe 2 DNS-Server am laufen ns1 und ns2 (beide BIND 9.3.2). Einer dieser Server hat nur ein Netzwerk-Interface und so reicht es, wenn ich dort nur TCP in der Firewall für Port 53 freigebe und er funktioniert einwandfrei. Um eine bessere Anbindung an's LAN zu ermöglichen, hat ns2 nun eine zweite Netzwerkkarte bekommen. Dadurch benötigt der DNS-Server jetzt (laut RFC 1035) UDP und TCP um korrekt zu funktionieren. Habe das auch ausprobiert und es ist tatsächlich so. Mache ich UDP in der Firewall dicht, bekomme ich bei anfragen an den DNS-Server nur Timeouts.

    Ich möchte aber nur sehr ungern auf einem Port UDP zulassen und suche daher nun nach einem Weg, mit dem ich trotz mehrerer Netzwerk-Interfaces im Server nur TCP nach aussen freigeben muss. Sollte also jemand eine Idee oder einen Ansatzpunkt haben, immer her damit. :D
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 damager, 10.10.2006
    damager

    damager Moderator

    Dabei seit:
    27.08.2003
    Beiträge:
    3.065
    Zustimmungen:
    0
    Ort:
    Munich
    naja, dns abfragen sind eben nun mal immer udp pakete und IMHO nur der zonentransfer erfolgt über tcp. aber eigentlich müsste es gehen wenn man rfc1034 glauben darf:
    man müsste also im speziellen BIND dazu bewegen auch auf TCP zu hören.

    unter http://seclists.org/security-basics/2002/Nov/0045.html hab ich folgendes gefunden:
    eine frage stellt sich mir: warum willst du tcp zulassen und kein udp? aus security-gründen kann es ja nicht sein eigentlich. oder? das risiko eines offenen udp-ports im vergleich zu einenm tcp-port sollte nicht höher sein.
     
  4. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Das Risiko ist aber höher, wenn auch nur minimal, da UDP-Flooder im Netz weitaus verbreiteter sind als TCP-Flooder. Ich möchte einfach eine Überlastung des Services durch UDP-Floods verhindern. Script-Kiddies fühlen sich von offenen UDP-Ports ja regelrecht angezogen. So zumindest meine bisherige Erfahrung, wenn ich mal irgendwo UDP offengelassen habe.
    DNS funktioniert mit TCP und ohne UDP einwandfrei, solange der Server nur ein Netzwerk-Interface hat. UDP kommt (seltsamerweise) erst in's Spiel sobald mehrere Interfaces im Server vorhanden sind. Für ns1 reicht es daher nur TCP in der Firewall freizugeben, was jetzt bei ns2 durch die zweite Netzwerkkarte nicht mehr möglich ist. Auch ein explizites Setzen von 'listen-on' brachte keine Abhilfe und ich finde auch sonst irgendwie nichts, womit ich den UDP-Kram unterbinden kann. Ich müsste es irgendwie schaffen die Verfügbarkeitsinformationen unnötig zu machen.
    Bei ns1 werden diese Infos ja offenbar auch nicht gebraucht. Mir stellt sich halt die Frage, warum die gebraucht werden sobald mehrere Interfaces vorhanden sind, aber nicht bei einem einzelnen und ob bzw. wie man das umgehen kann.
     
  5. #4 damager, 10.10.2006
    damager

    damager Moderator

    Dabei seit:
    27.08.2003
    Beiträge:
    3.065
    Zustimmungen:
    0
    Ort:
    Munich
    hmmm...lässt sich bind dann mit einem virtuellen interface evtl. austricksen?
    was würde das auskommentieren von
    domain 53/udp # Domain Name Server
    in der /etc/services bewirken? nur so ein spontan-dummer gedanke :sly:
     
  6. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema:

DNS-Server mit mehreren Interfaces ohne UDP

Die Seite wird geladen...

DNS-Server mit mehreren Interfaces ohne UDP - Ähnliche Themen

  1. Proxy-, DHCP-, DNS-Server für Lan-Party

    Proxy-, DHCP-, DNS-Server für Lan-Party: Guten Morgen, wie der Titel schon sagt, will ich für die kommende LAN-Party einen Server einrichten. Das ich dafür Linux benutze ist außer...
  2. centos 5.3 dns-server und windows 7

    centos 5.3 dns-server und windows 7: hi leutz, 1) mir ist aufgefallen, dass windows 7 nur die forward-lookup-zone updated, nicht jedoch die reverse-lookup-zone. Bei einem...
  3. centos 5.3 dns-server findet sich selber nicht

    centos 5.3 dns-server findet sich selber nicht: hi leutz, habe centos 5.3 als dns-server eingerichtet. Windows-Clients können mit nslookup den dns-server perfekt auflösen. Wenn ich auf dem...
  4. DNS-Server ändern

    DNS-Server ändern: Moin! Ich habe Ubuntu 9.04, bin mir aber nicht sicher ob das in das Ubuntu-Forum oder dieses soll (wenn falsch, bitte verschieben). Und zwar...
  5. DynDNS-Server bauen

    DynDNS-Server bauen: Hi, ich betreibe einen öffentlichen Namserver und würde eine Subdomain gerne mit einem DynDNS-Dienst verknüpfen. Gibt es fertige Server-Pakete,...