DNS Forward Proxy mit Bind9

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
Tooobiazz
Beiträge: 2
Registriert: 14.09.2017 10:13:45

DNS Forward Proxy mit Bind9

Beitrag von Tooobiazz » 14.09.2017 11:48:23

Hallo,
Komme ich direkt zu meinem Problem:
Ich habe die Mission auf meinem Linux Debian Router, einen DNS forward proxy einzurichten. Ich bin der Rezeptanleitung "https://www.unixmen.com/setting-forward ... er-debian/" gefolgt, und bin bis zu dem Punkt "Checking BIND Configuration" gekommen. Dort steht dann ja beschrieben, dass ich Bind9 einmal Neustarten soll, und dann den Status abfragen soll. Und da ist nun mein Problem, denn dort kommt aus der Konsole raus:

bind9.service - BIND Domain Name Server
Loaded: loaded (/lib/systemd/system/bind9.service; enabled; vendor preset: enabled)
Active: failed (Result: exit-code) since Thu 2017-09-14 11:02:35 CEST; 40min ago
Docs: man:named(8)
Process: 864 ExecStop=/usr/sbin/rndc stop (code=exited, status=1/FAILURE)
Process: 862 ExecStart=/usr/sbin/named -f $OPTIONS (code=exited, status=1/FAILURE)
Main PID: 862 (code=exited, status=1/FAILURE)


Sep 14 11:02:35 debian systemd[1]: Started BIND Domain Name Server.
Sep 14 11:02:35 debian named[862]: named: user 'bind4' unknown
Sep 14 11:02:35 debian systemd[1]: bind9.service: Main process exited, code=exited, status=1/FAILURE
Sep 14 11:02:35 debian rndc[864]: rndc: connect failed: 127.0.0.1#953: connection refused
Sep 14 11:02:35 debian systemd[1]: bind9.service: Control process exited, code=exited status=1
Sep 14 11:02:35 debian systemd[1]: bind9.service: Unit entered failed state.
Sep 14 11:02:35 debian systemd[1]: bind9.service: Failed with result 'exit-code'.


Mein Problem ist, dass ich nicht weiß, was dort das Problem ist, und ich so nichts damit Anfangen kann, und nicht weiter weiß.
Ich hoffe dass mich jemand versteht, und auch eine Lösung zu dem Problem hat..! :D

---------------------------
mfg Tobias Benedikt

Jana66
Beiträge: 3946
Registriert: 03.02.2016 12:41:11

Re: DNS Forward Proxy mit Bind9

Beitrag von Jana66 » 14.09.2017 14:31:06

Hallo!

Wenn du nur einen DNS-Forwarder/Caching-Server benötigst, nimm Debiandnsmasq. Ist Standard in Debian, musst du nicht mal installieren.
https://wiki.debian.org/HowTo/dnsmasq
https://wiki.archlinux.org/index.php/dnsmasq

Debianbind9 arbeitet rekursiv. Dafür benutze "richtige" Manuals: http://www.bind9.net/manuals
Bind9 als reiner Forwarder/Cache ist wohl etwas "oversized"!

Hast du den Server so gestartet?

Code: Alles auswählen

su -
systemctl start bind9
systemctl status bind9
Und ohne deine komplette Konfig wird dir keiner helfen können ...
Lange Ausgaben nach pastebin/ und Link darauf!
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

Tooobiazz
Beiträge: 2
Registriert: 14.09.2017 10:13:45

Re: DNS Forward Proxy mit Bind9

Beitrag von Tooobiazz » 15.09.2017 08:57:22

Hey Jana!!
Danke für die Antwort! Habe es jetzt mit DNSmasq vollbracht!!
Weißt du auch zufällig, wie ich nachgucken kann, wer alles über den Router auf den DNS zugreift also so eine Art log Verzeichnis was sagt wer da den DNS benuzt hat?
Vielen dank!

Jana66
Beiträge: 3946
Registriert: 03.02.2016 12:41:11

Re: DNS Forward Proxy mit Bind9

Beitrag von Jana66 » 15.09.2017 09:11:57

Tooobiazz hat geschrieben: ↑ zum Beitrag ↑
15.09.2017 08:57:22
Weißt du auch zufällig, wie ich nachgucken kann, wer alles über den Router auf den DNS zugreift also so eine Art log Verzeichnis was sagt wer da den DNS benuzt hat?
Meinst du von außen (WAN) oder von innen (LAN, WLAN)?
Prinzipiell sollte kein Zugriff auf den DNS-Server aus dem WAN möglich sein, also Port 53 tcp + udp geschlossen. Scanne deinen Rouuter/Firewall dazu von "außen" (WAN) mit Debiannmap bzw Debianzenmap !

Ich kenne mich mit iptables nicht sonderlich gut aus, m. E. kannst du damit ein Logging vornehmen. Direction Inbound, Source-IP any, Source Port any, Zieladresse any (oder interne bzw. externe IP des Routers), Zielports 53 tcp + udp, Aktion Permit + Log. So mal ausgedrückt in allgemeiner Terminologie. Würde nur loggen, nichts droppen.

NAT lässt erst mal keine Verbindungen von außen nach innen zu. Wenn du mehr beschränken/regeln/loggen willst, musst du Debianiptables oder Debiannftables nutzen.

Für den Anfang suche dir vielleicht ein Frontend, muss nicht grafisch sein.
https://wiki.archlinux.org/index.php/firewalls
https://wiki.debian.org/Firewalls

Es gibt auch fertige Router-Firewall-Distributionen: PFSense, OpenSense, IPFire, OpenWRT/LEDE für x86_64-Hardware. Die Letzeren basieren auf Linux, erstere auf BSD. Die Distributionen sind von Spezialisten in jahrelanger Arbeit "gehärtet", so gut können wir nicht sein, so tief steckt keiner von uns im Thema und eine Firewall sollte schon sicher betrieben werden. Wunderschöne Logs kriegst du damit auch. :wink:

Lies oder überfliege mal den Thread: viewtopic.php?f=18&t=166733

Edit: Sachlich erweitert, Rechtschreibung korrigiert.
Zuletzt geändert von Jana66 am 15.09.2017 09:43:27, insgesamt 7-mal geändert.
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

Benutzeravatar
heisenberg
Beiträge: 1348
Registriert: 04.06.2015 01:17:27

Re: DNS Forward Proxy mit Bind9

Beitrag von heisenberg » 15.09.2017 09:16:32

Du könntest Dir dazu eine iptables-Regel anlegen:

Code: Alles auswählen

iptables -I INPUT 1 -p udp -dport 53 -j LOG
Damit siehst Du die Anfragenden IPs in /var/log/kern.log

Nachtrag

Ich sehe gerade, dass man via dnsmasq auch einfach die Abfragen protokollieren kann. Einfach mal in die Man-page von dnsmasq schauen. Dort ist das beschrieben.

Antworten