Szerbusztok !
El kellne egy kis segítség .
Most installálok egy bind9-cet egy debian-ra. Ez így rendben is van. De ez a dns server egy ASA tűzfal mögött van és nem oldja fel a külsős domain neveket. pl google.com.
A belső címeket rendben oldogatja.
A doksit olvasva beállítottam mindent a named.conf.optionsba ami kell(het) a tűzfalon való átmászkáláshoz :
options {
directory "/var/cache/bind";
forwarders {
84.2.44.1; //t-system dns servere
};
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
forward only;
query-source port 53;
};
de nem megy .
Gondolom valamit még az ASA-n kell configolni , eddig ezt írtam bele :
access-list nat_allowed extended permit tcp host 10.10.0.1 any
access-list nat_allowed extended permit udp host 10.10.0.1 eq domain any
ahol a 10.10.0.1 a dns server ipcíme.
kérlek segítsetek !
Köszönöm
lelkész
- 4765 megtekintés
Hozzászólások
"Gondolom valamit még az ASA-n kell configolni , eddig ezt írtam bele"
Ebből a két sorból nem lehet megmondani hogy ez az ACL-t konkrétan milyen célra használod. A nevéből következtetve natolásra, vélhetőleg a kifelé tartó dinamikus NAT-ot szabályozza. A csomagszűrésre nincs aktív ACL feltéve (access-group), ami megfogná? Még mielőtt a Bind-ot konfigurálnád, ellenőrizd, hogy a Debianról indítva egy tetszőleges host, dig, nslookup stb. kérést a 84.2.44.1 felé, kapsz-e választ. Ha nem, akkor az ASA környékén nézelődj még. Ugye telekomos hozzáférésről próbálod a telekomos DNS szervert kérdezni?
- A hozzászóláshoz be kell jelentkezni
Mas geprol (ahol masik dns van), rendben valaszol a digre pl a google.com ill 84.2.44.1is .
Sejtesem szerint az vmi ASA-s elakadas lesz, csak ahhoz annyira nem ertek.
- A hozzászóláshoz be kell jelentkezni
Arra hasznalom,h a dns server ki tudjon menni a netre. Gyk a rola iranyulo minden kerest atenged az asa-n.
S igen T-Systemes hozzaferesrol probalom a t-systemes dns servert elerni.
- A hozzászóláshoz be kell jelentkezni
Szerintem a kolléga arra célzott hogy ebből pl. nem látszik, hogy az acl rá van-e szögelve valamelyik interfészre: http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/…
- A hozzászóláshoz be kell jelentkezni
Koszonom !!
Du megnezem ,most szaladni kell a buszomhoz:-)
lelkesz
- A hozzászóláshoz be kell jelentkezni
Hali !
En nem vagyok ciscos , de ha a dns a tuzfal mogott van akkor kell vmi NAT es kell vmi Masqurade is hozza. Legalabbis Linuxos tuzfalnal biztosan.
Szerintem nezd mag az ASA-t ill. ha van tanult kollega aki a Cisco ASA-ban is guru biztosan segit.
Esetleg nezd meg, az ASA-n ,h befele engedve vannak,e a 53 -as udp porton a csomagok
sztupi
- A hozzászóláshoz be kell jelentkezni
Nos mukodik.
Az asa-ba Fisher kolléga által adott linken levő bejegyzések kellettek ,
ill a bind named.conf.options-ba ez kell:
options {
directory "/var/cache/bind";
forwarders {
84.2.44.1;
};
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
query-source port 53;
};
Köszönöm a segítségeteket !
- A hozzászóláshoz be kell jelentkezni
Hm, egész jó, ha figyelembe vesszük, hogy bő 10 éve láttam utoljára csicsó tűzfalat/IOS-t :D
Ha már megoldódott, akkor egy off kérdés: miért jó a matávos DNS szervert használni? Ha erre kényszerülnék, akkor már eleve több forwardert adnék meg, illetve ha nincs technikai oka (pl. riasztóan rossz vonal), akkor egyáltalán, hanyagolnék mindenféle forwardert.
- A hozzászóláshoz be kell jelentkezni
Egyenlore meg csak teszteltem ill. konfiguralom a dns servert.
Minden tanacsot szivesen fogadok.
- A hozzászóláshoz be kell jelentkezni
+1, nekem is mindig csak bajom volt a forwarderek használatával.
- A hozzászóláshoz be kell jelentkezni
Meg egy kérdés.
Bind9 mellé milyen dhcp servert javasoltok ?
Környezet Debian squeeze.
- A hozzászóláshoz be kell jelentkezni
Bármilyen megfelel, például ISC DHCP, a csomag neve isc-dhcp-server.
- A hozzászóláshoz be kell jelentkezni
vagy a metacsomagé dhcp3-server :)
--
"'The time has come,' the Walrus said"
- A hozzászóláshoz be kell jelentkezni
köszönöm !
- A hozzászóláshoz be kell jelentkezni