bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Namensauflösung mit Arktur 5.3 und dnsmasq

To: schan-user@xxxxxxxxxxxxxxxxx
Subject: Re: [Schan-user] Namensauflösung mit Arktur 5.3 und dnsmasq
From: Martin Hülsmann <huelsmann@xxxxxxxxxxxxx>
Date: Mon, 21 May 2012 21:03:08 +0200
Hallo Harry,

vielen Dank für deine ausführlichen Kommentare. Hat ein paar Tage gedauert, wir haben den Brückentag auf dem Fahrrad an der Weser zugebracht ...

Am 16.05.2012 00:31, schrieb Harry Jede:
Am Dienstag, 15. Mai 2012 schrieb Martin Hülsmann:
Hallo Harry,

Am 15.05.2012 11:42, schrieb Harry Jede:
Am Freitag, 11. Mai 2012 schrieb Harry Jede:
Am Freitag, 11. Mai 2012 schrieb Martin Hülsmann:
Und was ich jetzt brauche, ist eine saubere Namensauflösung durch
capella hindurch bzw. von Capella aus zu den Clients.

Was steht in der resolv.conf auf Capella?
Meine sieht so aus:

root@capella:~# cat /etc/resolv.conf
domain europa.xx
search europa.xx
nameserver 127.0.0.1
nameserver 192.168.231.254

Dies ist der Inhalt der Datei * /etc/reolv.conf *
NICHT der Datei /etc/ppp/resolv.conf !!!

/etc/resolv.conf wird von allen Programmen verwendet, die
DNS benutzen, z.B. apache, samba und squid; nicht aber named.

Um zu überprüfen, ob ein DNS-Server auf 127.0.0.1 läuft:
# netstat -tan |grep ':53'
tcp        0      0 192.168.0.1:53  0.0.0.0:*   LISTEN
tcp        0      0 127.0.0.1:53    0.0.0.0:*   LISTEN
tcp6       0      0 :::53           :::*        LISTEN

liefert bei mir:

Capella:~ # netstat -tan | grep ':53'
tcp        0      0 0.0.0.0:53              0.0.0.0:*
LISTEN Capella:~ #

womit da wohl kein Nameserver zu lauschen scheint.
Der Nameserver ist auf keine spezifische Adresse gebunden. Er kann
Anfragen von localhost, vom Intranet UND vom Internet beantworten.
Natürlich nur, wenn die Firewall das zulässt. Nicht optimal, aber OK.


Der Test bei Windows mit ipconfig -all ergibt:

Windows-IP-Konfiguration
          Hostname. . . . . . . . . . . . . : B101-PC05
          Primäres DNS-Suffix . . . . . . . :
          Knotentyp . . . . . . . . . . . . : Unbekannt
          IP-Routing aktiviert. . . . . . . : Nein
          WINS-Proxy aktiviert. . . . . . . : Nein
          DNS-Suffixsuchliste . . . . . . . :
BBSMeppenElektro.EL.Ni.bbs-meppen.de

Ethernetadapter LAN-Verbindung 2:
          Verbindungsspezifisches DNS-Suffix:
BBSMeppenElektro.EL.Ni.bbs-meppen.de
          Beschreibung. . . . . . . . . . . : Broadcom NetXtreme
Gigabit Ethernet
          Physikalische Adresse . . . . . . : 00-11-25-B7-00-95
          DHCP aktiviert. . . . . . . . . . : Ja
          Autokonfiguration aktiviert . . . : Ja
          IP-Adresse. . . . . . . . . . . . : 192.168.22.55
          Subnetzmaske. . . . . . . . . . . : 255.255.240.0
          Standardgateway . . . . . . . . . : 192.168.16.1
          DHCP-Server . . . . . . . . . . . : 192.168.16.1
          DNS-Server. . . . . . . . . . . . : 192.168.16.1
          Lease erhalten. . . . . . . . . . : Dienstag, 15. Mai 2012
11:41:13 Lease läuft ab. . . . . . . . . . : Donnerstag, 14. Juni
2012 11:41:13
Also hat dieser Rechner diesen FQDN:
  B101-PC05.BBSMeppenElektro.EL.Ni.bbs-meppen.de
zumindest glaubt er das, weil er so konfiguriert ist.

...

Capella:~ # host B101-PC05
B101-PC05 has address 192.168.22.55
OK, DNS funktioniert

Capella:~ # dig +short +search @127.0.0.1 B101_PC05
Capella:~ #
Der Nameserver antwortet nicht auf die Adresse 127.0.0.1 obwohl er dort
lauscht. Wahrscheinlich erreicht ihn die Anfrage nicht!!! Poste mal:
# iptables-save

Das meldet (usernamen gekürzt):

--------------
Capella:~ # iptables-save
# Generated by iptables-save v1.4.10 on Mon May 21 20:52:30 2012
*nat
:PREROUTING ACCEPT [1963461:178364659]
:INPUT ACCEPT [986990:102816437]
:OUTPUT ACCEPT [1253920:82705823]
:POSTROUTING ACCEPT [2062621:118995766]
-A POSTROUTING -o ippp+ -m owner --uid-owner h*** -j MASQUERADE
-A POSTROUTING -o ippp+ -m owner --uid-owner r*** -j MASQUERADE
-A POSTROUTING -o ippp+ -m owner --uid-owner t*** -j MASQUERADE
-A POSTROUTING -o ippp+ -m owner --uid-owner k*** -j MASQUERADE
-A POSTROUTING -o ippp+ -m owner --uid-owner s*** -j MASQUERADE
-A POSTROUTING -o ippp+ -m owner --uid-owner st*** -j MASQUERADE
-A POSTROUTING -o ippp+ -m owner --uid-owner t*** -j MASQUERADE
-A POSTROUTING -o ppp+ -m owner --uid-owner h*** -j MASQUERADE
-A POSTROUTING -o ppp+ -m owner --uid-owner r*** -j MASQUERADE
-A POSTROUTING -o ppp+ -m owner --uid-owner t*** -j MASQUERADE
-A POSTROUTING -o ppp+ -m owner --uid-owner k*** -j MASQUERADE
-A POSTROUTING -o ppp+ -m owner --uid-owner s*** -j MASQUERADE
-A POSTROUTING -o ppp+ -m owner --uid-owner st*** -j MASQUERADE
-A POSTROUTING -o ppp+ -m owner --uid-owner t*** -j MASQUERADE
-A POSTROUTING -o eth0 -m owner --uid-owner h*** -j MASQUERADE
-A POSTROUTING -o eth0 -m owner --uid-owner r*** -j MASQUERADE
-A POSTROUTING -o eth0 -m owner --uid-owner t*** -j MASQUERADE
-A POSTROUTING -o eth0 -m owner --uid-owner k*** -j MASQUERADE
-A POSTROUTING -o eth0 -m owner --uid-owner s*** -j MASQUERADE
-A POSTROUTING -o eth0 -m owner --uid-owner st*** -j MASQUERADE
-A POSTROUTING -o eth0 -m owner --uid-owner t*** -j MASQUERADE
COMMIT
# Completed on Mon May 21 20:52:30 2012
# Generated by iptables-save v1.4.10 on Mon May 21 20:52:30 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [83450910:123331963957]
:input_ext - [0:0]
:reject_fkt - [0:0]
-A INPUT -s 192.168.16.0/20 -p tcp -m multiport --dports 135,139,445 -j ACCEPT -A INPUT -s 192.168.16.0/20 -p udp -m multiport --dports 135,137,138,139 -j ACCEPT -A INPUT -s 192.168.3.0/24 -p tcp -m multiport --dports 135,139,445 -j ACCEPT -A INPUT -s 192.168.3.0/24 -p udp -m multiport --dports 135,137,138,139 -j ACCEPT
-A INPUT -p tcp -m multiport --ports 1194 -j ACCEPT
-A INPUT -p tcp -m multiport --ports 465,563,587,989,990,993:995 -j ACCEPT
-A INPUT -i eth2 -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.3.0/24 -j ACCEPT
-A INPUT -s 192.168.6.0/24 -j ACCEPT
-A INPUT -s 192.168.16.0/20 -j ACCEPT
-A INPUT -s 61.31.0.0/16 -p tcp -m tcp --dport 0:1024 -j reject_fkt
-A INPUT -s 61.31.0.0/16 -p udp -m udp --dport 0:1024 -j reject_fkt
-A INPUT -s 63.240.0.0/15 -p tcp -m tcp --dport 0:1024 -j reject_fkt
-A INPUT -s 63.240.0.0/15 -p udp -m udp --dport 0:1024 -j reject_fkt
-A INPUT -s 63.242.0.0/16 -p tcp -m tcp --dport 0:1024 -j reject_fkt
-A INPUT -s 63.242.0.0/16 -p udp -m udp --dport 0:1024 -j reject_fkt
-A INPUT -s 200.0.0.0/8 -p tcp -m tcp --dport 0:1024 -j reject_fkt
-A INPUT -s 200.0.0.0/8 -p udp -m udp --dport 0:1024 -j reject_fkt
-A INPUT -s 201.0.0.0/8 -p tcp -m tcp --dport 0:1024 -j reject_fkt
-A INPUT -s 201.0.0.0/8 -p udp -m udp --dport 0:1024 -j reject_fkt
-A INPUT -s 202.110.0.0/16 -p tcp -m tcp --dport 0:1024 -j reject_fkt
-A INPUT -s 202.110.0.0/16 -p udp -m udp --dport 0:1024 -j reject_fkt
-A INPUT -s 202.177.0.0/16 -p tcp -m tcp --dport 0:1024 -j reject_fkt
-A INPUT -s 202.177.0.0/16 -p udp -m udp --dport 0:1024 -j reject_fkt
-A INPUT -s 210.0.0.0/8 -p tcp -m tcp --dport 0:1024 -j reject_fkt
-A INPUT -s 210.0.0.0/8 -p udp -m udp --dport 0:1024 -j reject_fkt
-A INPUT -s 211.0.0.0/8 -p tcp -m tcp --dport 0:1024 -j reject_fkt
-A INPUT -s 211.0.0.0/8 -p udp -m udp --dport 0:1024 -j reject_fkt
-A INPUT -i ippp+ -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -A INPUT -i ippp+ -p tcp -m tcp --dport 22 -m state --state NEW -m recent --rcheck --seconds 60 --hitcount 4 --rttl --name SSH --rsource -j REJECT --reject-with tcp-reset -A INPUT -i ippp+ -p tcp -m tcp --dport 22 -m state --state NEW -m recent --rcheck --seconds 360 --hitcount 10 --rttl --name SSH --rsource -j REJECT --reject-with tcp-reset
-A INPUT -i ippp+ -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
-A INPUT -i ppp+ -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -A INPUT -i ppp+ -p tcp -m tcp --dport 22 -m state --state NEW -m recent --rcheck --seconds 60 --hitcount 4 --rttl --name SSH --rsource -j REJECT --reject-with tcp-reset -A INPUT -i ppp+ -p tcp -m tcp --dport 22 -m state --state NEW -m recent --rcheck --seconds 360 --hitcount 10 --rttl --name SSH --rsource -j REJECT --reject-with tcp-reset
-A INPUT -i ppp+ -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --rcheck --seconds 60 --hitcount 4 --rttl --name SSH --rsource -j REJECT --reject-with tcp-reset -A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --rcheck --seconds 360 --hitcount 10 --rttl --name SSH --rsource -j REJECT --reject-with tcp-reset
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
-A INPUT -i ippp+ -p tcp -m tcp --dport 21 -m state --state NEW -m recent --set --name FTP --rsource -A INPUT -i ippp+ -p tcp -m tcp --dport 21 -m state --state NEW -m recent --rcheck --seconds 60 --hitcount 4 --rttl --name FTP --rsource -j REJECT --reject-with tcp-reset
-A INPUT -i ippp+ -p tcp -m tcp --dport 21 -m state --state NEW -j ACCEPT
-A INPUT -i ppp+ -p tcp -m tcp --dport 21 -m state --state NEW -m recent --set --name FTP --rsource -A INPUT -i ppp+ -p tcp -m tcp --dport 21 -m state --state NEW -m recent --rcheck --seconds 60 --hitcount 4 --rttl --name FTP --rsource -j REJECT --reject-with tcp-reset
-A INPUT -i ppp+ -p tcp -m tcp --dport 21 -m state --state NEW -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -m state --state NEW -m recent --set --name FTP --rsource -A INPUT -i eth0 -p tcp -m tcp --dport 21 -m state --state NEW -m recent --rcheck --seconds 60 --hitcount 4 --rttl --name FTP --rsource -j REJECT --reject-with tcp-reset
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i tun+ -j ACCEPT
-A INPUT -p tcp -m tcp --dport 0:1024 -j reject_fkt
-A INPUT -p udp -m udp --dport 0:1024 -j reject_fkt
-A INPUT -p tcp -m tcp --dport 3128 -j reject_fkt
-A INPUT -p tcp -m tcp --dport 8080 -j reject_fkt
-A INPUT -p tcp -m tcp --dport 10000 -j reject_fkt
-A INPUT -m state --state NEW -j reject_fkt
-A INPUT -i ippp+ -j input_ext
-A INPUT -i ppp+ -j input_ext
-A INPUT -i eth0 -j input_ext
-A FORWARD -p tcp -m tcp --dport 80 -j reject_fkt
-A FORWARD -p tcp -m tcp --dport 3128 -j reject_fkt
-A FORWARD -p tcp -m tcp --dport 8080 -j reject_fkt
-A FORWARD -s 192.168.3.0/24 -j ACCEPT
-A FORWARD -s 192.168.6.0/24 -j ACCEPT
-A FORWARD -s 192.168.16.0/20 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ippp+ -j reject_fkt
-A FORWARD -i ppp+ -j reject_fkt
-A FORWARD -i eth0 -j reject_fkt
-A OUTPUT -o lo -j ACCEPT
-A input_ext -j reject_fkt
-A reject_fkt -p tcp -j REJECT --reject-with tcp-reset
-A reject_fkt -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject_fkt -j REJECT --reject-with icmp-proto-unreachable
COMMIT
# Completed on Mon May 21 20:52:30 2012
# Generated by iptables-save v1.4.10 on Mon May 21 20:52:30 2012
*mangle
:PREROUTING ACCEPT [120218814:62504943776]
:INPUT ACCEPT [110560111:57334935068]
:FORWARD ACCEPT [9066454:5068271240]
:OUTPUT ACCEPT [83785541:123376260903]
:POSTROUTING ACCEPT [92230111:128422481118]
-A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --sport 53 -j TOS --set-tos 0x10/0x3f -A OUTPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 53 -j TOS --set-tos 0x10/0x3f
COMMIT
# Completed on Mon May 21 20:52:30 2012
Capella:~ #
----------------------



und mit langem Rechnernamen:

Capella:~ # host capella.BBSElektro.El.Ni.Schule.de
capella.BBSElektro.El.Ni.Schule.de has address 192.168.3.1
OK, DNS mit FQDN funktioniert für die DNS Domäne Schule.de. Was aber
sagt:
# dig capella.BBSMeppenElektro.EL.Ni.bbs-meppen.de

Das meldet:

------------
Capella:~ # dig capella.BBSMeppenElektro.EL.Ni.bbs-meppen.de

; <<>> DiG 9.7.3-P1 <<>> capella.BBSMeppenElektro.EL.Ni.bbs-meppen.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60993
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;capella.BBSMeppenElektro.EL.Ni.bbs-meppen.de. IN A

;; ANSWER SECTION:
capella.BBSMeppenElektro.EL.Ni.bbs-meppen.de. 0 IN A 192.168.6.3
capella.BBSMeppenElektro.EL.Ni.bbs-meppen.de. 0 IN A 192.168.3.1

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon May 21 20:49:23 2012
;; MSG SIZE  rcvd: 94
-----------------



Poste doch bitte auch:

# dig capella.BBSElektro.El.Ni.Schule.de

und das meldet:

-----------
Capella:~ # dig capella.BBSElektro.EL.Ni.Schule.de

; <<>> DiG 9.7.3-P1 <<>> capella.BBSElektro.EL.Ni.Schule.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56058
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;capella.BBSElektro.EL.Ni.Schule.de. IN A

;; ANSWER SECTION:
capella.BBSElektro.EL.Ni.Schule.de. 0 IN A      192.168.3.1

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon May 21 20:50:49 2012
;; MSG SIZE  rcvd: 68
------------------


Capella:~ # host B101-PC05.BBSElektro.El.Ni.Schule.de
Host B101-PC05.BBSElektro.El.Ni.Schule.de not found: 3(NXDOMAIN)
Capella:~ #
Das funzt wohl nicht! Wie kommst Du darauf, dass B101-PC05 in Schule.de
ist. Er ist doch in bbs-meppen.de. Da ist wohl was falsch konfiguriert.
Oder ist es Absicht, das Du zwei DNS Domänen haben willst?

Ich glaube, ich komme dem Problem langsam auf die Schliche ... (Helmut, liest du mit?) Ich habe die starke Vermutung, dass ich irgendwann beim Neuaufsetzen die Domain (statt BBSMeppenElektro.EL.Ni.bbs-meppen.de ist wohl irgendwo noch BBSElektro.EL.Ni.Schule.de eingestellt) durcheinander geraten. Natürlich brauche ich _keine_ zwei DNS-Domänen. Ist mir bisher gar nicht aufgefallen ...


Der erste nameserver lösst lokale Adressen auf, der zweite zeigt
auf den Router und ist daher für die Welt zuständig.

domain und search zeigen auf meine lokale DNS-Domäne, somit werden
kurze Namen wie capella automatisch zu capella.europa.xx aufgelöst
und vom lokalen nameserver gefunden.



--
Viele Gruesse,

Martin Huelsmann

_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 21.05.2012