• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

BIND9 Root DNS Server faken

Grisu1982

Newbie
Hallo zusammen echt Klasse Forum.

Ich habe ein kleines Problem.
Ich mache grade meinen Techniker und sitze an einer Prüfungsaufgabe mit mehreren virtuellen Machienen.
Es soll eine DNS Struktur mit 7 Name Servern nachgestellt werden.

DNS.jpg


Mein Problem ist wir sollen mit einem Server einen wirklichen Root NS nachstellen also den (.).
Ich finde diese Idee ja eher bescheiden. Alle meine NS unterhalb des Root NS funktionieren bestens.

Nur der Root NS kennt weder sich selber, noch löst er nach unten auf. :???:
Ich habe mittlerweile vieles durchprobiert. Die Musterlösung ist den Zoneneintrag (.) in der named.conf auf den Typ master ändern
und eine Zonendatei anlegen in dem er selber als NS für (.) steht und die NS für fst61g20, fst61g30 eintragen.

Ich habe es getestet es funktioniert nicht!
Dann habe ich das Lösungs Image getestet und es funktioniert auch nicht. :D

Ich habe dann versucht nur R1 selber in der root Zonendatei einzutragen und zusätzliche hint Zonendatein für fst61g20, fst61g30 anzulegen.
Ergebnis unverändert!

Jetzt habe ich noch eine Zone server. angelegt in die ich R1 eingetragen habe.
R1 kann jetzt von allen anderen NS aufgelöst werden und immer noch nichts für die darunter liegenden Zonen auflösen.

Mein letzter Versuch war, die (.) Zone wieder auf hint ändern und die NS für fst61g20, fst61g30 einzutregen.
Und siehe da, er kann alles auflösen ABER gibt keine Anfrage mehr, die ihn erreicht, nach unten weiter.
Somit können keine an den root server gerichteten anfragen von anderen NS aufgelöst werden.

Ich hätte gerne noch ein paar Config Datein eingestellt aber durch die Rumprobiererei habe ich jetzt das totale Chaos, so das es nichts genutzt hätte.

Hat jemand eine Idee wie man den Rootserver mit Bind9 faken kann und wie die config Datein hierzu aussehen?

Danke
 

HBtux

Member
Grisu1982 schrieb:
Ich habe dann versucht nur R1 selber in der root Zonendatei einzutragen und zusätzliche hint Zonendatein für fst61g20, fst61g30 anzulegen.
Ergebnis unverändert!

Jetzt habe ich noch eine Zone server. angelegt in die ich R1 eingetragen habe.
R1 kann jetzt von allen anderen NS aufgelöst werden und immer noch nichts für die darunter liegenden Zonen auflösen.
Ein eigener Root-DS ist interessant - ist mir aber auch noch nie begegnet....!
Bzw. getrennte DNS-Server für Sub-Domains auch noch nicht....
Von meiner Seite mal folgende theoretische Hilfestellung.

Auf allen DNS-Servern R1 - R7 müsste in der root.hint ein einziger Root-DS enthalten sein.
Code:
.                        3600000  IN  NS    A.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET.      3600000      A     10.2.111.40

Auf dem Root-DS R1 musst Du folgende Master-Zones anlegen.
ROOT-SERVERS.NET.
Code:
ROOT-SERVERS.NET.		IN	NS	A.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET.	IN	A	10.2.111.40
fst61g20.
Code:
fst61g20.	IN	NS	r2.fst61g20.
r2.fst61g20.	IN	A	10.2.111.33
fst61g30.
Code:
fst61g30.	IN	NS	r2.fst61g30.
r2.fst61g30.	IN	A	10.2.111.34
Somit kennt der Root-DS die beiden Master-Zonen fst61g20. und fst61g30.

Auf dem DNS-Server R2 musst Du folgende Master-Zone anlegen.
fst61g20.
Code:
fst61g20.	IN	NS	r2.fst61g20.
r2.fst61g20.	IN	A	10.2.111.33
r3.fst61g20.	IN	A	10.2.111.32
r4.fst61g20.	IN	A	10.2.111.31
sub1.fst61g20.	IN	NS	r3.fst61g20.
sub2.sub1.fst61g20.	IN	NS	r4.fst61g20.

Auf dem DNS-Server R3 geht es dann wie folgt weiter.
fst61g20.
Code:
fst61g20.	IN	NS	r2.fst61g20.
r2.fst61g20.	IN	A	10.2.111.33
sub1.fst61g20.
Code:
sub1.fst61g20.	IN	NS	r3.fst61g20.
r3.fst61g20.	IN	A	10.2.111.32

Auf dem DNS-Server R4 folgende Master-Zones.
fst61g20.
Code:
fst61g20.	IN	NS	r2.fst61g20.
r2.fst61g20.	IN	A	10.2.111.33
sub2.sub1.fst61g20.
Code:
sub2.sub1.fst61g20.	IN	NS	r4.fst61g20.
r4.fst61g20.	IN	A	10.2.111.31

SOA-Header
In allen SOA-Headern musst Du noch als "Master-Server" immer den Server selbst eintragen.
Hier das Beispiel für Die Master-Zone sub2.sub1.fst61g20. auf dem DNS-Server R4
Code:
$ttl 38400
sub2.sub1.fst61g20.    IN      SOA     r4.fst61g20. dnsadmin.fst61g20. (
                        2010012503
                        10800
                        3600
                        604800
                        38400 )
sub2.sub1.fst61g20.	IN	NS	r4.fst61g20.
r4.fst61g20.	IN	A	10.2.111.31

Root-DS R1 muss die Master-Server der Haupdomain fst61g20. + fst61g30. kennen.
Der DNS-Server R2 muss die DNS-Server für die darunter liegenden Sub-Domains sub1.fst61g20. und sub2.sub1.fst61g20. kennen.
Der DNS-Server R3 muss zumindest den Master-Server für fst61g20. kennen. Ob er gleich noch den Master-Server für die Sub-Domain sub2.sub1.fst61g20. kennen muss, kannst Du ausprobieren.
usw....
 

Tooltime

Advanced Hacker
Grisu1982 schrieb:
Ich habe es getestet es funktioniert nicht!Dann habe ich das Lösungs Image getestet und es funktioniert auch nicht.
Und was hat nicht funktioniert, wenn man fragen darf?

HBtux schrieb:
Auf allen DNS-Servern R1 - R7 müsste in der root.hint ein einziger Root-DS enthalten sein.
Für R2-R7 unterstütze ich die Aussage, R1 als Rootserver muss man nicht sagen das er der Rootserver ist.

HBtux schrieb:
Auf dem Root-DS R1 musst Du folgende Master-Zones anlegen.ROOT-SERVERS.NET.Code: Alles auswählenROOT-SERVERS.NET. IN NS A.ROOT-SERVERS.NET.A.ROOT-SERVERS.NET. IN A 10.2.111.40
Wozu? Rootserver werden direkt über ihre IP angesprochen, oder habe ich da etwas übersehen?

HBtux schrieb:
Ein eigener Root-DS ist interessant - ist mir aber auch noch nie begegnet....!
Nicht ohne Grund. Ein Rootserver muss per Definition alle TLD's und deren Nameserver kennen. Der Aufbau kann daher keine externen Domains auflösen, sondern nur die Internen. Es sei denn man tippt noch alle offiziellen TLD's per Hand ein.
 

HBtux

Member
Tooltime schrieb:
Für R2-R7 unterstütze ich die Aussage, R1 als Rootserver muss man nicht sagen das er der Rootserver ist.
Nagut - dann aber zumindest die originalen ROOT-Server Einträge rauslöschen.
Wobei es in einer reinen Testumgebung ohne Verbindung zur Außenwelt sowieso egal ist....
Der Schönheitshalber bin ich aber doch der Meinung DNS-Server ist DNS-Server - auch wenn er selber der ROOT-Server ist.
Aber warum soll dieser was Anderes in der root.hint stehen haben wie seine Untertanen?


Tooltime schrieb:
Wozu? Rootserver werden direkt über ihre IP angesprochen, oder habe ich da etwas übersehen?
Meine Devise war.
Wenn ich eine reelle Welt nachbauen will, muss ich mich auch an die Spielregeln halten.
"ROOT-SERVERS.NET." ist in dieser Testumgebung ein Domainname der auch irgendwo auflösbar sein sollte.
 

Tooltime

Advanced Hacker
HBtux schrieb:
Aber warum soll dieser was Anderes in der root.hint stehen haben wie seine Untertanen?
Weil er der master der root-Zone ist und deshalb keine Fragen zur root-Zone an andere DNS weiterleitet. Die anderen benötigen die root.hints um mindestens einen root-DNS zu finden, der alle TLD an die entsprechenden Domäneninhaber weiter delegiert.

Zum Zweiten, ein Fehler meinerseits. Ich bin davon ausgegangen, da R2-R7 einen entsprechenden Eintrag in ihren root.hints haben, würde eine entsprechende DNS-Anfrage nie auflaufen. Dann habe ich einfach mal in einer Konsole nslookup A.ROOT-SERVERS.NET zum besten gegeben, das ist tatsächlich ein offizieller FQDN. Du hast also im Prinzip recht, aber der Name ist ungünstig gewählt.
 
Oben