DNS server megadása a named.conf-ban

mit kell csinálni ha váltzoik az ip-m de dns szervert akarok üzemeltetni?

minden változásnál új ipt kell írni a /var/cache/bind/akrámi
www.akármi.hu IN A IP

résznél?

Egyaltalaban biztos vagy te abban, hogy kell arra a gepre named???

Szolgaltatsz te sajat zonat? Ha nem, akkor a bind-ot (named) hagyd beken, es a resolv.conf-ot turkald.

[quote:b1eafbdeec="Tsab"]mit kell csinálni ha váltzoik az ip-m de dns szervert akarok üzemeltetni?

minden változásnál új ipt kell írni a /var/cache/bind/akrámi
www.akármi.hu IN A IP

résznél?

Kinek uzemelteted a DNS szervert?? Sajat halozatodnak, vagy kifele??? :-)

Ha sajat halozatodnak, akkor kell lenni egy sajat belso halozati IP cimednek is. pl. 192.168.1.xx, vagy 10.x.y.z . Ha csak a sajat geped szamara akarsz DNS szervert
beallitani, akkor a 127.0.0.1 a te IP cimed!!! ott keressen az alkalmazas :-)

Ha kifele, akkor szerezz statikus IP cimet, anelkul NEM MEGY!!!

A www.akarmi.hu IN A IP sort nem ertem :-)

Zsiraf

u.i.: he, finrod! lehet hogy utalja a matav-ot/datanet-et es kozvetlenul a ROOT-DNS szerverekkel szeret kapcsolatot tartani... raadasul, akkor sose kerul olyan cikis helyzetbe,
(ha megy a gepe), hogy a beallitott DNS szerver down ;-)

[quote:ca65308f64="szaszg"]
u.i.: he, finrod! lehet hogy utalja a matav-ot/datanet-et es kozvetlenul a ROOT-DNS szerverekkel szeret kapcsolatot tartani... raadasul, akkor sose kerul olyan cikis helyzetbe,
(ha megy a gepe), hogy a beallitott DNS szerver down ;-)

Akkor meg mindig eleg egy dns cache progi, nem kell bind :-)

Pont most csinaltam egy ilyen caching only nameservert, ami csak a belso halozat gepeinek szolgaltat (nincs sajat zona). Lattok benne valami hibat?

[code:1:2e25aaaba1]
acl "internal" { 192.168.0.0/24;};

options {
listen-on {192.168.0.1;};
forwarders {x.y.z.1; x.y.z.2;};
allow-query { "internal";};
};

controls {};

zone "." {
type hint;
file "standard/root.hint";
};

zone "127.in-addr.arpa" {
type master;
file "standard/loopback";
};
[/code:1:2e25aaaba1]

[quote:5895437feb="netchan"]Pont most csinaltam egy ilyen caching only nameservert, ami csak a belso halozat gepeinek szolgaltat (nincs sajat zona). Lattok benne valami hibat?

[code:1:5895437feb]
acl "internal" { 192.168.0.0/24;};

options {
listen-on {192.168.0.1;};
forwarders {x.y.z.1; x.y.z.2;};
allow-query { "internal";};
};

controls {};

zone "." {
type hint;
file "standard/root.hint";
};

zone "127.in-addr.arpa" {
type master;
file "standard/loopback";
};
[/code:1:5895437feb]

attol eltekintve hogy bind-ot hasznalsz, djb fele dnscache helyett nem latok problemat hirtelen. a bind sajnos eleg erosen szivathato cache poisoning-al, ami bizonyos acl szabalyok eseten jogosulatlan hozzafereshez vezethet.

Egy jol osszerakott chroot bind konfig az alaprendszer reszet kepezi, ezert esett erre a valasztas. Csak a belso gepek (4 szerver) es a localhost eri el, igy a poisoning kizarva. Illetve belulrol lehet, de akkor nem emiatt fogok izgulni ;-)

Itt egy nagyon jo osszefoglalo a temarol: http://www.securityfocus.com/guest/17905

[quote:759539fbd0="netchan"]Itt egy nagyon jo osszefoglalo a temarol: http://www.securityfocus.com/guest/17905

olvastam, jo cikk, de azert erdemes hozza elolvasni djb dns-rol szolo oldalait is :-)

[quote:77e0ecba45="netchan"]Egy jol osszerakott chroot bind konfig az alaprendszer reszet kepezi, ezert esett erre a valasztas. Csak a belso gepek (4 szerver) es a localhost eri el, igy a poisoning kizarva. Illetve belulrol lehet, de akkor nem emiatt fogok izgulni ;-)

Nem tudod chroot-tal kizarni. Tuzfallal sem lehet kizarni.

A cache poisoning mukodesi elve az, hogy valaki figyeli a kimeno dns kereseidet, es dns valaszokat spoofol hozza gyorsabban mint a tenylegesen megkerdezett szerver. Ha a dns-ed mukodik, akkor a spoofolt csomagok bejutnak, ha a spoofolt csomagok nem tudnak bejutni, akkor a szabalyos dns valaszok sem.

A hatasmechanizmus pedig, hogy a caching nameserver eltarolja a valaszokat annyi ideig, amennyi az adott rekord a valaszban megadott TTL-je. Ertelemszeruen jo nagy TTL-t szoktak a poisonous rekordban beallitani, hogy sokaig rossz cimet hasznalj.

A privilegiumnyeres lehetosege pedig, hogy ha ACL vizsgalatnal a kliens domain nevetol fuggoen korlatoznak valamit (*.xydomain.com), akkor ha ez a korlatozas vagy jogadas ismert, akkor az adott domainrol a dns-cacheben orzott informacio megmergezesevel lehetseges az illeto ACL szabaly atverese, ami tiltasfeloldashoz vagy jogosultsagnyereshez vezethet.

[quote:87486e53cf="Finrod"]Egyaltalaban biztos vagy te abban, hogy kell arra a gepre named???

Szolgaltatsz te sajat zonat? Ha nem, akkor a bind-ot (named) hagyd beken, es a resolv.conf-ot turkald.

az apache-om tök jól megy belsõ hálon de netre szeretném azt nyomatni hogy www.akármi.hu viszont adsl-em van. így reconnectnál változik az ip de közben nem.
mit lehetne csinálni?
turkáltam már resolv.conf-ban
:D

sõt annyi lenne hogy egy index.html bejöjjön (ami var/www/ ben van)meg néhány fájlt le tudjanak tölteni a népek (ami szintén ott van)

[quote:376996eced="Tsab"][quote:376996eced="Finrod"]Egyaltalaban biztos vagy te abban, hogy kell arra a gepre named???

Szolgaltatsz te sajat zonat? Ha nem, akkor a bind-ot (named) hagyd beken, es a resolv.conf-ot turkald.

az apache-om tök jól megy belsõ hálon de netre szeretném azt nyomatni hogy www.akármi.hu viszont adsl-em van. így reconnectnál változik az ip de közben nem.
mit lehetne csinálni?
turkáltam már resolv.conf-ban
:D

1.) kersz fix ip cimet
2.) http://www.dyndns.org/

A cache poisoning mukodesi elve az, hogy valaki figyeli a kimeno dns kereseidet, es dns valaszokat spoofol hozza gyorsabban mint a tenylegesen megkerdezett szerver.

Nem, nem passzivan figyelik, hanem aktivan query-ket inteznek a 'mergezendo' szerverhez, es ezzel egyidoben kuldik neki a spoofolt valaszokat is. Gondolj bele, a passziv figyeleshez a tamado gepenek a lokalis halon kellene sniffelnie, es meg igy is jo sokaig tartana a dolog.

Nalam a bind-ot csak a belso szerverek erik el (de ok sem hasznaljak semmire, nem fut olyan szolgaltatas, amihez DNS kellene, max reverse lookup check-ek).

netchan

már megvan tsab.ath.cx
csak sajnos nem vagyok biztos benne hogy látják a netrõl
az elõbb valaki azt mondta hogy nem mûködik
igazából www.tsab.hu -ról lenne szó :lol:
nekem megy a www.tsab.hu is meg a tsab.ath.cx is de ez belsõ háló

tegyük el hogy fix ipm van akkor mit kell tennem hogy www.tsab.hu-t mûködésre bírjam?

host www.tsab.hu
azt írja Host www.tsab.hu not found: 3(NXDOMAIN)

[quote:942c149fe9="netchan"]

A cache poisoning mukodesi elve az, hogy valaki figyeli a kimeno dns kereseidet, es dns valaszokat spoofol hozza gyorsabban mint a tenylegesen megkerdezett szerver.

Nem, nem passzivan figyelik, hanem aktivan query-ket inteznek a 'mergezendo' szerverhez, es ezzel egyidoben kuldik neki a spoofolt valaszokat is. Gondolj bele, a passziv figyeleshez a tamado gepenek a lokalis halon kellene sniffelnie, es meg igy is jo sokaig tartana a dolog.

Vagy upstream halon. Ha kivulrol akarsz bejutni, akkor nem a belso halon vagy altalaban, es igy nem is feltetlen van jogod rekurziv queryt csinalni (te megkerded a dns szervert). Viszont valaszt spoofolni tudsz.

[quote:942c149fe9="netchan"]
Nalam a bind-ot csak a belso szerverek erik el (de ok sem hasznaljak semmire, nem fut olyan szolgaltatas, amihez DNS kellene, max reverse lookup check-ek).

netchan

Pont a reverse lookup tamadhato vele, es barmi ami reverse lookup alapjan dolgozik, pl. esetlegesen rosszul felallitott ACL ami hostnev alapjan dolgozik (ellenjavallott, mivel nem altalad ellenorizheto informacio alapjan dont).