DNS: Masterzone und Subzone als Forwardzone

19/12/2007 - 19:04 von Peter Mairhofer | Report spam
Hi,

Mein DNS Server "served" eine Masterzone:

zone "domain.invalid" {
type master;
file "file";
allow-transfer { ... };
};

So, nun will ich, wie in einem vorigen Post beschrieben, einen DNS Tunnel
ueber eine Subdomain dieses "Masters" leiten: tunnel.domain.invalid.

Wie auf [1] beschrieben, will ich das ueber ozymandns machen, indem ich
den Fake-Server "nomde.pl" an Port 10053 am gleichen Rechner laufen
lasse.

Da ich nur eine statische IP habe, muss der "Eingang" ebenso ueber den
Bind gehen. Also will ich fuer diese Zone einen Forward einrichten:

zone "tunnel.domain.invalid" {
type forward;
forward only;
forwarders { 127.0.0.1 port 10053; };
};

Aber das funktioniert nicht :-( Wenn ich Daten von tunnel.domain.invalid
abfrage erhalte ich immer den SOA Record von domain.invalid :-(

Offenbar wird also nur die Zone "domain.invalid" abgefragt aber nie
"tunnel.domain.invalid" :-(

Gibt es irgendeine Moeglichkeit, dieses Verhalten zu aendern?

Danke und lg,
Peter

PS: Ich hab auch bereits probiert, in "domain.invalid" einen NS Record
fuer "tunnel" auf den gleichen DNS Server zu setzen. Dann funktioniert
alles wie gewuenscht, wenn man mit dig direkt den DNS Server befragt.
Aber wenn man ueber einen anderen DNS Server geht funktioniert es nicht.
"dig" mit "+trace" liefert dann "unendlich" oft den gleichen NS Record
fuer "tunnel".


[1] http://dnstunnel.de/
 

Lesen sie die antworten

#1 Juergen P. Meier
20/12/2007 - 08:43 | Warnen spam
Peter Mairhofer :
Mein DNS Server "served" eine Masterzone:

zone "domain.invalid" {
type master;
file "file";
allow-transfer { ... };
};



Soweit so gut.

So, nun will ich, wie in einem vorigen Post beschrieben, einen DNS Tunnel
ueber eine Subdomain dieses "Masters" leiten: tunnel.domain.invalid.



D.h. du willst tunnel.domain.invalid. delegieren.

Das geht nur mittels NS record fuer tunnel.domain.invalid. im Zonefile
"file" unter Angabe des Tunnel-NS. Da kannst du aber keine Ports
angeben.

Wie auf [1] beschrieben, will ich das ueber ozymandns machen, indem ich
den Fake-Server "nomde.pl" an Port 10053 am gleichen Rechner laufen
lasse.

Da ich nur eine statische IP habe, muss der "Eingang" ebenso ueber den
Bind gehen. Also will ich fuer diese Zone einen Forward einrichten:

zone "tunnel.domain.invalid" {
type forward;
forward only;
forwarders { 127.0.0.1 port 10053; };
};



Was nicht funktionieren wird, denn tunnel.domain.invalid. ist
Bestandteil der obigen masterzone.

Aber das funktioniert nicht :-( Wenn ich Daten von tunnel.domain.invalid
abfrage erhalte ich immer den SOA Record von domain.invalid :-(



Ach.

Offenbar wird also nur die Zone "domain.invalid" abgefragt aber nie
"tunnel.domain.invalid" :-(



Works as Intended.

Gibt es irgendeine Moeglichkeit, dieses Verhalten zu aendern?



Du musst eine andere Domain verwenden. Z.B. tunnel.invalid. Nur dann
kannst du mit den forwarders {} spielen.

Danke und lg,
Peter

PS: Ich hab auch bereits probiert, in "domain.invalid" einen NS Record
fuer "tunnel" auf den gleichen DNS Server zu setzen. Dann funktioniert
alles wie gewuenscht, wenn man mit dig direkt den DNS Server befragt.
Aber wenn man ueber einen anderen DNS Server geht funktioniert es nicht.
"dig" mit "+trace" liefert dann "unendlich" oft den gleichen NS Record
fuer "tunnel".



Die fagen immer wieder den gleichen NS. nach den gleichen Records und
bkeommen immer wieder die gleiche Antwort, die sie auf diesen NS
verweist.

DNS-Tunnel bauen ist einfach, wenn man eine eigene IP fuer den
Tunnel-NS hat. Auf dem selben Host ist das nicht wirklich
implementierbar, da du /anderen/ Resolvern keine Portnummern vorgeben
kannst. Du muesstest eine Art DNS-Reverse-Proxy vor den lokalen bind
vorschalten, der Anfragen an tunnel.domain.invalid an den
Tunnel-Prozesss umleitet und den Rest an den Bind weitergibt.
Aber da kenne ich nichts fertiges, das muesstest du selber schreiben.

Juergen
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Ähnliche fragen