Hallo,
Komme ich direkt zu meinem Problem:
Ich habe die Mission auf meinem Linux Debian Router, einen DNS forward proxy einzurichten. Ich bin der Rezeptanleitung "https://www.unixmen.com/setting-forward ... er-debian/" gefolgt, und bin bis zu dem Punkt "Checking BIND Configuration" gekommen. Dort steht dann ja beschrieben, dass ich Bind9 einmal Neustarten soll, und dann den Status abfragen soll. Und da ist nun mein Problem, denn dort kommt aus der Konsole raus:
bind9.service - BIND Domain Name Server
Loaded: loaded (/lib/systemd/system/bind9.service; enabled; vendor preset: enabled)
Active: failed (Result: exit-code) since Thu 2017-09-14 11:02:35 CEST; 40min ago
Docs: man:named(8)
Process: 864 ExecStop=/usr/sbin/rndc stop (code=exited, status=1/FAILURE)
Process: 862 ExecStart=/usr/sbin/named -f $OPTIONS (code=exited, status=1/FAILURE)
Main PID: 862 (code=exited, status=1/FAILURE)
Sep 14 11:02:35 debian systemd[1]: Started BIND Domain Name Server.
Sep 14 11:02:35 debian named[862]: named: user 'bind4' unknown
Sep 14 11:02:35 debian systemd[1]: bind9.service: Main process exited, code=exited, status=1/FAILURE
Sep 14 11:02:35 debian rndc[864]: rndc: connect failed: 127.0.0.1#953: connection refused
Sep 14 11:02:35 debian systemd[1]: bind9.service: Control process exited, code=exited status=1
Sep 14 11:02:35 debian systemd[1]: bind9.service: Unit entered failed state.
Sep 14 11:02:35 debian systemd[1]: bind9.service: Failed with result 'exit-code'.
Mein Problem ist, dass ich nicht weiß, was dort das Problem ist, und ich so nichts damit Anfangen kann, und nicht weiter weiß.
Ich hoffe dass mich jemand versteht, und auch eine Lösung zu dem Problem hat..!
---------------------------
mfg Tobias Benedikt
DNS Forward Proxy mit Bind9
Re: DNS Forward Proxy mit Bind9
Hallo!
Wenn du nur einen DNS-Forwarder/Caching-Server benötigst, nimm dnsmasq. Ist Standard in Debian, musst du nicht mal installieren.
https://wiki.debian.org/HowTo/dnsmasq
https://wiki.archlinux.org/index.php/dnsmasq
bind9 arbeitet rekursiv. Dafür benutze "richtige" Manuals: http://www.bind9.net/manuals
Bind9 als reiner Forwarder/Cache ist wohl etwas "oversized"!
Hast du den Server so gestartet?
Und ohne deine komplette Konfig wird dir keiner helfen können ...
Lange Ausgaben nach pastebin/ und Link darauf!
Wenn du nur einen DNS-Forwarder/Caching-Server benötigst, nimm dnsmasq. Ist Standard in Debian, musst du nicht mal installieren.
https://wiki.debian.org/HowTo/dnsmasq
https://wiki.archlinux.org/index.php/dnsmasq
bind9 arbeitet rekursiv. Dafür benutze "richtige" Manuals: http://www.bind9.net/manuals
Bind9 als reiner Forwarder/Cache ist wohl etwas "oversized"!
Hast du den Server so gestartet?
Code: Alles auswählen
su -
systemctl start bind9
systemctl status bind9
Lange Ausgaben nach pastebin/ und Link darauf!
Re: DNS Forward Proxy mit Bind9
Hey Jana!!
Danke für die Antwort! Habe es jetzt mit DNSmasq vollbracht!!
Weißt du auch zufällig, wie ich nachgucken kann, wer alles über den Router auf den DNS zugreift also so eine Art log Verzeichnis was sagt wer da den DNS benuzt hat?
Vielen dank!
Danke für die Antwort! Habe es jetzt mit DNSmasq vollbracht!!
Weißt du auch zufällig, wie ich nachgucken kann, wer alles über den Router auf den DNS zugreift also so eine Art log Verzeichnis was sagt wer da den DNS benuzt hat?
Vielen dank!
Re: DNS Forward Proxy mit Bind9
Meinst du von außen (WAN) oder von innen (LAN, WLAN)?Tooobiazz hat geschrieben:15.09.2017 08:57:22Weißt du auch zufällig, wie ich nachgucken kann, wer alles über den Router auf den DNS zugreift also so eine Art log Verzeichnis was sagt wer da den DNS benuzt hat?
Prinzipiell sollte kein Zugriff auf den DNS-Server aus dem WAN möglich sein, also Port 53 tcp + udp geschlossen. Scanne deinen Rouuter/Firewall dazu von "außen" (WAN) mit nmap bzw zenmap !
Ich kenne mich mit iptables nicht sonderlich gut aus, m. E. kannst du damit ein Logging vornehmen. Direction Inbound, Source-IP any, Source Port any, Zieladresse any (oder interne bzw. externe IP des Routers), Zielports 53 tcp + udp, Aktion Permit + Log. So mal ausgedrückt in allgemeiner Terminologie. Würde nur loggen, nichts droppen.
NAT lässt erst mal keine Verbindungen von außen nach innen zu. Wenn du mehr beschränken/regeln/loggen willst, musst du iptables oder nftables nutzen.
Für den Anfang suche dir vielleicht ein Frontend, muss nicht grafisch sein.
https://wiki.archlinux.org/index.php/firewalls
https://wiki.debian.org/Firewalls
Es gibt auch fertige Router-Firewall-Distributionen: PFSense, OpenSense, IPFire, OpenWRT/LEDE für x86_64-Hardware. Die Letzeren basieren auf Linux, erstere auf BSD. Die Distributionen sind von Spezialisten in jahrelanger Arbeit "gehärtet", so gut können wir nicht sein, so tief steckt keiner von uns im Thema und eine Firewall sollte schon sicher betrieben werden. Wunderschöne Logs kriegst du damit auch.
Lies oder überfliege mal den Thread: viewtopic.php?f=18&t=166733
Edit: Sachlich erweitert, Rechtschreibung korrigiert.
Zuletzt geändert von BenutzerGa4gooPh am 15.09.2017 09:43:27, insgesamt 7-mal geändert.
- heisenberg
- Beiträge: 3670
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: DNS Forward Proxy mit Bind9
Du könntest Dir dazu eine iptables-Regel anlegen:
Damit siehst Du die Anfragenden IPs in /var/log/kern.log
Nachtrag
Ich sehe gerade, dass man via dnsmasq auch einfach die Abfragen protokollieren kann. Einfach mal in die Man-page von dnsmasq schauen. Dort ist das beschrieben.
Code: Alles auswählen
iptables -I INPUT 1 -p udp -dport 53 -j LOG
Nachtrag
Ich sehe gerade, dass man via dnsmasq auch einfach die Abfragen protokollieren kann. Einfach mal in die Man-page von dnsmasq schauen. Dort ist das beschrieben.