Bind von aussen nicht erreichbar!

antonios1

antonios1

Aktives Mitglied
Thread Starter
Dabei seit
12.10.2005
Beiträge
298
Reaktionspunkte
22
Bind (läuft auf OS 10.5 Server) will einfach nicht auf externe Anfragen reagieren...:(
Was mache ich nur falsch? Hier die Einträge im named.conf:

Code: 
// It is recommended that 127.0.0.1 be the only address used.
// This also allows non-privileged users on the local host to manage
// your name server.

//
// Default controls
//
controls  {
        inet 127.0.0.1 port 54 allow    {any;   }
        keys    { "rndc-key";    };
   };


options  {
        directory "/var/named";

        forwarders {} ;

        allow-query { any; };

        allow-transfer { none; };

        allow-recursion { none; };

        auth-nxdomain no;

        dnssec-enable yes;

        version "My version is so secret that I even dont know what Im running on";

                /*
         * If there is a firewall between you and nameservers you want
         * to talk to, you might need to uncomment the query-source
         * directive below.  Previous versions of BIND always asked
         * questions using port 53, but BIND 8.1 uses an unprivileged
         * port by default.
         */
         query-source address 192.168.0.9 port 53;
   };
//
// a caching only nameserver config
//
logging {
        include "/etc/dns/loggingOptions.conf.apple";
};

// Public view read by Server Admin

include "/etc/dns/publicView.conf.apple";

// Server Admin declares all zones in a view. BIND therefore dictates
 // that all other zone declarations must be contained in views.
 
Zuletzt bearbeitet:
Router? NAT? Portforwarding? DMZ?
 
Hallo falkgottschalk

Port 53 TCP/UDP sind geöffnet und weitergeleitet.
 
Ist denn überhaupt ein socket offen?
Ich vermisse in deiner named.conf ein "listen-on" unter den options.
z.B.
Code: 
listen-on port 53 { 127.0.0.1; x.y.bla.bla; };
 
Zuletzt bearbeitet:
Merci für die Antwort, MacMännchen!

"listen-on" habe ich hinzugefügt - funtzt immer noch nicht.

Oh, mit Sockets kenne ich mich gar nicht aus. Da der Dienst im LAN erreichbar ist und ordnungsgemäss funktioniert sollte der auch offen sein.
 
Hast du bei x.y.bla.bla die IP eingesetzt, über die der Nameserver von aussen erreichbar ist?
zu Socket siehe hier.
 
Ja, bei listen-on habe ich 127.0.0.1, die interne und die externe eingetragen.

Hier die Socket-Abfrage:
Code: 
ns:~ admin$ lsof -i
COMMAND   PID  USER   FD   TYPE    DEVICE SIZE/OFF NODE NAME
ARDAgent  288 admin   17u  IPv4 0x3d0ce68      0t0  UDP *:net-assistant
AppleVNCS 294 admin    4u  IPv6 0x3d10b2c      0t0  TCP *:vnc-server (LISTEN)
SystemUIS 301 admin   10u  IPv4 0x3d0cbe0      0t0  UDP *:*
sshd      741 admin    3u  IPv4 0x53f9270      0t0  TCP ns.home.private:ssh->192.168.0.14:65047 (ESTABLISHED)
sshd      741 admin    4u  IPv4 0x53f9270      0t0  TCP ns.home.private:ssh->192.168.0.14:65047 (ESTABLISHED)
Wie kann man Bind jetzt dazubringen einen Socket offen zu halten? :)
 
Aus deiner Abfrage geht nicht hervor, ob der named auf Port 53 lauscht.
Was sagt denn ein:
sudo lsof | grep LISTEN
 
Code: 
ns:~ admin$ sudo lsof | grep LISTEN
launchd      1           root   10u     IPv6 0x3d11be8       0t0      TCP *:appleugcontrol (LISTEN)
launchd      1           root   11u     IPv4 0x4002e64       0t0      TCP *:appleugcontrol (LISTEN)
launchd      1           root   17u     IPv6 0x3d11984       0t0      TCP localhost:ipp (LISTEN)
launchd      1           root   18u     IPv4 0x4002a68       0t0      TCP localhost:ipp (LISTEN)
launchd      1           root   20u     IPv6 0x3d11720       0t0      TCP *:ftp (LISTEN)
launchd      1           root   21u     IPv4 0x400266c       0t0      TCP *:ftp (LISTEN)
launchd      1           root   55u     IPv6 0x3d114bc       0t0      TCP *:afpovertcp (LISTEN)
launchd      1           root   57u     IPv4 0x4407e64       0t0      TCP *:afpovertcp (LISTEN)
launchd      1           root   62u     IPv6 0x3d11258       0t0      TCP *:ssh (LISTEN)
launchd      1           root   63u     IPv4 0x4407a68       0t0      TCP *:ssh (LISTEN)
Directory   25           root    5u     IPv4 0x4002270       0t0      TCP *:dec_dlm (LISTEN)
httpd       44           root    3u     IPv4 0x440766c       0t0      TCP localhost:9010 (LISTEN)
httpd       44           root    4u     IPv6 0x3d10ff4       0t0      TCP *:http (LISTEN)
kadmind     45           root    7u     IPv4 0x45cae64       0t0      TCP *:kerberos-adm (LISTEN)
servermgr   51           root    8u     IPv4 0x4a2c270       0t0      TCP *:asip-webadmin (LISTEN)
PasswordS   54           root   14u     IPv4 0x45ca270       0t0      TCP *:3com-tsmux (LISTEN)
PasswordS   54           root   15u     IPv4 0x46afa68       0t0      TCP *:apple-sasl (LISTEN)
PasswordS   54           root   16u     IPv4 0x46af66c       0t0      TCP *:3com-tsmux (LISTEN)
PasswordS   54           root   17u     IPv4 0x46af270       0t0      TCP *:apple-sasl (LISTEN)
named      125           root   21u     IPv4 0x4735a68       0t0      TCP localhost:domain (LISTEN)
named      125           root   23u     IPv4 0x4b66270       0t0      TCP ns.home.private:domain (LISTEN)
named      125           root   25u     IPv4 0x4735270       0t0      TCP localhost:xns-ch (LISTEN)
AppleFile  149           root    3u     IPv6 0x3d114bc       0t0      TCP *:afpovertcp (LISTEN)
AppleFile  149           root    4u     IPv4 0x4407e64       0t0      TCP *:afpovertcp (LISTEN)
AppleVNCS  294          admin    4u     IPv6 0x3d10b2c       0t0      TCP *:vnc-server (LISTEN)
slapd      541           root    6u     IPv6 0x3d10664       0t0      TCP *:ldap (LISTEN)
slapd      541           root    7u     IPv4 0x45ca66c       0t0      TCP *:ldap (LISTEN)
krb5kdc    543           root   15u     IPv6 0x3d10d90       0t0      TCP *:kerberos (LISTEN)
krb5kdc    543           root   16u     IPv4 0x4b66e64       0t0      TCP *:kerberos (LISTEN)
httpd     1066           _www    3u     IPv4 0x440766c       0t0      TCP localhost:9010 (LISTEN)
httpd     1066           _www    4u     IPv6 0x3d10ff4       0t0      TCP *:http (LISTEN)
httpd     1067           _www    3u     IPv4 0x440766c       0t0      TCP localhost:9010 (LISTEN)
httpd     1067           _www    4u     IPv6 0x3d10ff4       0t0      TCP *:http (LISTEN)
 
Sieht eigentlich ganz okay aus.
Wie fragst du nun extern ab und was passiert dann?
 
So:

Code: 
Oberon:~ admin$ dig @62.104.3.251 google.ch

; <<>> DiG 9.4.1-P1 <<>> @62.104.3.251 google.ch
; (1 server found)
;; global options:  printcmd
;; connection timed out; no servers could be reached
interne Abfrage:

Code: 
Oberon:~ admin$ dig @192.168.0.9 google.ch

; <<>> DiG 9.4.1-P1 <<>> @192.168.0.9 google.ch
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 833
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 4, ADDITIONAL: 0

;; QUESTION SECTION:
;google.ch.			IN	A

;; ANSWER SECTION:
google.ch.		1758	IN	A	216.239.59.104
google.ch.		1758	IN	A	72.14.221.104
google.ch.		1758	IN	A	66.249.93.104

;; AUTHORITY SECTION:
google.ch.		345558	IN	NS	ns2.google.com.
google.ch.		345558	IN	NS	ns4.google.com.
google.ch.		345558	IN	NS	ns3.google.com.
google.ch.		345558	IN	NS	ns1.google.com.

;; Query time: 2 msec
;; SERVER: 192.168.0.9#53(192.168.0.9)
;; WHEN: Mon Sep  8 00:04:44 2008
;; MSG SIZE  rcvd: 157
 
Fassen wir mal kurz zusammen: der Bind läuft, lauscht auf Port 53, beantwortet aber nur interne queries.

Ich sehe in deiner named.conf keine allow-query. Muss ja auch nicht, per default wird allow-query auf any gesetzt. Es sei denn, du hast in einem anderen Teil der Konfig allow-query auf das lokale Netz eingeschränkt. Das müsstest du dann entfernen.

Ansonsten stellt sich wieder die Eingangsfrage, die schon falkgottschalk gestellt hat: ist der Server von extern erreichbar? Im Moment sieht das nicht so aus. Das würde ich noch mal überprüfen. Ich kann mich z.B. mit telnet 62.104.3.251 53 nicht verbinden, er gibt mir ein "Network is unreachable".

Edit:
sehe gerade, allow-query ist ja doch vorhanden und auf any gesetzt. ;)
ok, dann bitte die Erreichbarkeit überprüfen.
 
Zuletzt bearbeitet:
Hab den MacMini ins DataCenter zu seinen Geschwistern mitgenommen und an einen anderen Router angeschlossen. Hat ohne Probleme funktioniert. Zuhause mal die AirPort Extreme in der Grundconfig laufen gelassen. Hat auch ohne Probleme funktioniert. Ich muss wohl meine Router-Config nochmal richtig durchchecken. (kenne mich noch nicht so richtig mit RouterOS aus...)

*Schande über mich* An Bind hat es definitiv nicht gelegen.

Vielen Dank für die Hilfe!!!

PS: Darf ich euch und dir MacMännchen noch ein paar Fragen zur DNS-Sicherheit stellen ..? :eek:
 
antonios1 schrieb:
PS: Darf ich euch und dir MacMännchen noch ein paar Fragen zur DNS-Sicherheit stellen ..? :eek:
Zum Vergrößern anklicken....

Fragen sind doch streng verboten in einem Forum ;)

Wo du gerade das Thema Sicherheit ansprichst... :D
dein named läuft mit root Rechten ... das geht auch mit eingeschränkten Rechten. Schau dir mal named -u an.
 
Ein bisschen OT:

Webserver ist im LAN über die LAN-IP erreichbar, aber nicht mit der externen WAN-IP.

Hingegen ausserhalb des LAN mit der WAN-IP erreichbar...Wie kann ich das verstehen? :D
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten