DNS Server BIND

[wonder2]

Hallo liebe Profis

Ich habe mit BIND ein DNS-Hole eingerichtet. BIND ist auf dem Webserver eingerichtet, der holt dann alle Clients, die auf das WLAN zugreifen direkt auf den Localhost.
Nun ist aber der Webserver via LAN noch in ein anderes Netzwerk eingebunden. Leider stört der BIND-Server nun die Clients dieses Netzwerks (Netzwerk funktioniert nicht mehr einwandfrei)
Wo kann ich definieren, dass BIND nur auf die Clients die via WLAN-Netzwerk zugreifen Einfluss nimmt, nicht aber auf das LAN (andere IP-Range)?

Vielen Dank für eure Hilfe!
Wonder2

 

[Blutschlumpf]

Wenn die Anfragen überhaupt bei deinem Bind ankommen, ist offenbar schon was falsch gelaufen, im Gegensatz zu DHCP werden DNS-Anfragen ja zielgerichtet gesendet.
Da solltest du ansetzen und nicht beim Bind.

Zur Frage:

options {
allow-query { 1.2.3.0/24;
5.6.7.0/24;
};
};

Oder natürlich mit iptables in der INPUT-Chain Pakete für UDP Port 53 rejecten.

 

[mensch183]

Wo kann ich definieren, dass BIND nur auf die Clients die via WLAN-Netzwerk zugreifen Einfluss nimmt, nicht aber auf das LAN (andere IP-Range)?

listen-on { 1.2.3.4; };

Da die IP des Interfaces rein, an dem Bind lauschen soll. Bei dir also die IP zum WLAN.

 

[wonder2]

Vielen DAnk für eure prompten Antworten.

listen-on { 192.168.1.1 ; }; habe ich eingestellt, nützt nichts.
Ich habe die IP des Webservers eingetragen. Muss es eine andere IP sein?



das andere, müsste dann sein:

options {
allow-query { 192.168.1.0/24;
};
};

stimmt das?

Ergänzung (19. September 2013)

ich habe in named.conf

options {
auth-nxdomain no;
listen-on { 192.168.1.1; };
};


zone "." {
type master;
file "C:\WINDOWS\system32\dns\etc\db.catchall";
};

 

[mensch183]

Dann werden Anfragen von anderswo nicht mehr beantwortet, ja. Aber wie schon in #2 steht, mußt du noch klären, wieso die falschen Clients überhaupt diesen DNS-Server befragen. In deren Client-Konfiguration ist also noch was faul.

 

[wonder2]

Das Problem ist: Wenn ich bei den anderen Clients (die nicht in 192.168.1.xy drin sind) Netzwerkumgebung öffne, dann die Workgroup, dann erscheint die Meldung, dass auf diese Workgroup nicht zugegriffen werden könne, Sie haben ev. keine Berechtigung diese Netzwerkresource zu verwenden und blabla.....
Das ist eindeutig wegen dem Bind-Server. Denn wenn ich den Webserver als letzten ins Netzwerk anschliesse, dann passiert das nicht (aber ich muss ihn ja irgendwann anstellen können, nicht als letzten...)

 

[Blutschlumpf]

Dann solltest du mal tcpdump (auf dem Bind-Rechner) laufen lassen während du das aufrufst, dann siehst du ja was der macht.

Aber ohne Infos was du für Netze benutzt und wie welcher Rechner welche IP und welchen DNS bekommt, wird dir das hier niemand beantworten können.

 

[wonder2]

wie genau mach ich das?

und: Das LAN hat fixe IP. Der WLAN-Router verteilt DHCP (in anderer IP-Range)

 

[Blutschlumpf]

Hi,
sofern es installiert ist:

tcpdump -i any -n

Wenn der nur ein interface hat das any durch z.B. eth0 ersetzen.
Sollteste nicht per ssh machen oder ein

host not <DEINE-CLIENT-IP> and tcp port 22

dranhängen

Ansonsten: Aufmalen, hier kennt keiner dein Setup.
Welcher Rechner hat welche IP und von wo bekommen und was läuft da drauf ?
Wie sind die Netze verbunden bzw. getrennt (z.B. vlans) ?
Was wird ggf. als Gateway benutzt.
Welche Hardware wird benutzt und ist wie verkabelt ?