DNS Namensauflösung ?

[claus]

Ich habe einen Server (SuSE Linux 6.4) mit ISDN und einer netztwerkkarte ins interne Netz. Mit der Firewall und Masquerading möchte ich von den Clients aus ins Internet.
Alles funktioniert, bis auf die namensauflösung an den Client-Kisten (Win98).
Im Netscape komme ich nur in die weite Welt, wenn ich die entsprechende IP angebe. Als Gateway habe ich bei den Clients meinen Linux Server angegeben. Die DNS Adresse habe ich von meinem Provider genommen.
Vom Linuxserver geht alles, auch die Namensauflösung (Ich komme mit Netscape raus). Hat jemand eine Idee, was bei den Clients falsch läuft ?

Würde mich über eine Antwort sehr freuen.
Claus

[RvB]

Hast du auch die DNS bei den Clients eingestellt?

cu

[claus]

Ja ich habe bei den Clients die DNS meines Providers eingetragen. Diese DNS Adresse kann ich auch von den Clients per Ping ansprechen.
Aber irgend wie mag dann trotzdem mein Browser keine Namen.

Claus

[hjb]

Hi,

vielleicht hast du Masquerading nur für TCP definiert. DNS ist aber UDP.

Teste mit nslookup auf den Clients.

Gruß,
hjb

[claus]

Ich denke die Sache mit dem UDP kann es sein.
Was muß ich genau in die verschiedenen Variablen der Firewall config eintragen. Die diversen Anleitungen sind leider nicht eindeutig !
Claus

[odauter]

Wenn Du das Paket 'firewals' von SuSE benutzt, ist das relativ einfach: Trag bei den zu akzeptierenden und den zu forwardenden Ports (UDP) einfach 53 mit ein.
Wenn Du ipchains manuell benutzt, brauchst Du halt die üblichen Input, Forward und Output Regeln für den Port 53. Dazu würde ich Dir aber dann das Firewall-HowTo ans Herz legen.

[claus]

Ich benutze das paket firewls von sues6.4
Laut den letzten Infos von suse müßte dies aber ohne port freischalten gehen.
FW_ALLOW_INCOMING_HIGHPORTS_UDP ="dns"
soll angeblich langen.
Könntest du mir die genauen variablen nennen, die ich deiner meinung nach setzen muß ?

Claus

[Gunnar]

Bei mir gibts ein ähnliches Problem. Ich hab gestern einen DNS Server auf meiner Linux Maschiene aktiviert. Seit dem treten genau die gleichen Probleme wie bei Dir auf (nur das ich mit PMFirewall anstatt der SuSE Tools arbeite). Ich vermute, daß bei Dir auch ein DNS läuft. Versuch mal "ndc stop" als root. Danach einwählen. Auf den Windows Clients sollte der Provider DNS an erster Stelle stehen. Bei mir werd ich das auch noch mal testen und nach einer Lösung mit DNS suchen. Man muß dem eigenen DNS ja nur sagen, daß er die Anfragen an den Provider DNS weiterleiten soll.

[claus]

Ein Nameserver läuft auf dem LinuxRechner nicht. Trotzdem will die Namensauflösung (clientseitig) nicht funktionieren.
Kann es vielleicht sein, daß es nur mit einem richtig konfigurierten Nameserver läuft ? Laut diversen Anleitungen sollte es aber auch ohne einem nameserver auf der Linuxkiste rennen.
Gruß Claus

[hjb]

Hi,

funktioniert nicht ist eine super Problembeschreibung.

Gruß,
hjb

[claus]

Ich habe das Problem ganz oben genauer beschrieben. Viel mehr kann ich dazu nicht sagen. Wenn ich mehr dazu sagen könnte hätte ich das problem vielleicht schon gelöst.

[cptchaos]

Hallo,
Ich habe zu diesem Zweck einen Nameserver aufgesetzt wobei ich Bind8 benutze, dieses mußte zu eigenen DNS Verwaltung eh gemacht werden. Aber auch wenn man keinen eigenen Namensraum in seinem Netzwerk zu verwalten hat, kann man den DNS Dienst noch als DNS Cache Server einsetzen. Hier einmal eine einfache Conf. Datei für Bind8 die diesen Zweck erfüllt.


#
# overall options of the server
#
options {
directory "/var/named";
# the default is to fail, if the master file is not correct
check-names master warn;

pid-file "/var/run/named.pid";

datasize default;
stacksize default;
coresize default;
files unlimited;
recursion yes;

multiple-cnames no; // if yes, then a name my have more
// than one CNAME RR. This use
// is non-standard and is not
// recommended, but it is available
// because previous releases supported
// it and it was used by large sites
// for load balancing.

# the default is to ask the forwarders and if they fail
# try to find the answer yourself, this will only ask the forwarders
forward only;
# list of DNS servers to ask
forwarders {
145.253.2.11;
145.253.2.75;
145.253.2.11;
145.253.2.75;
145.253.2.203;
145.253.2.139;
145.253.2.203;
145.253.2.139;
145.253.2.11;
};
# the default is to listen on port 53 on all available interfaces
# you can also give a detailed list:
#listen-on { 5.6.7.8; };
#listen-on port 1234 { !1.2.3.4; 1.2/16; };
};

#
# do not be verbose about these problems...
#
#logging {
# category lame-servers { null; };
# category cname { null; };
#};

#
# predefined access control lists (acl):
# "any" allows all hosts
# "none" denies all hosts
# "localhost" allows the IP adresses of all interfaces of the system
# "localnets" allows any host on a network of the local interfaces
#
# defining an additional ACL:
#acl can_download { 192.168.0.17; 192.168.0.18; };


#
# The server statement defines the characteristics to be associated with
# a remote name server.
#
# Marking a server as bogus will prevent queries to that server.
#server 192.168.0.128 { bogus yes; }
# If the other name server has also BIND 8.1 or newer installed, you
# can allow compacter zone transfers with this statement.
#server 192.168.0.128 { transfer-format many-answers; }

zone "." IN {
type hint;
file "root.hint";
};

#zone "localhost" IN {
# type master;
# file "localhost.zone";
# check-names fail;
# allow-update { none; };
#};

#zone "0.0.127.in-addr.arpa" IN {
# type master;
# file "127.0.0.zone";
# check-names fail;
# allow-update { none; };
#};

#
# a master zone
#
#zone "union" IN {
# type master;
# file "union.zone";
# # by default, any host can receive #zone transfers
#allow-transfer { any; };
# notify yes;
#};
#zone "110.168.192.in-addr.arpa" IN {
# type master;
# file "110.168.192.rev";
# check-names fail;
# notify yes;
#};
#
# a slave zone
#
#zone "isc.org" IN {
# type slave;
# file "slave/db.isc.org";
# masters { 192.168.0.128; };
#};

Der größte Teil der Datei wird bei der Installation erstellt, auch das Verzeichniss für die Zonen Dateien wird festgelegt. Wenn man keine eigenen Domains zu verwalten hat, kann man entsprechende Einträge einsparen, ich habe hie die Master und Slave Verwaltung ausgemarkt.
Der Eintrag "Forward only" sorgt dafür das alle notwendigen DNS Anfragen (die nicht selbständig beantwortet werden können) an die Server in der "Forwarders" Liste geschickt werden, hier sollte eine Liste mit den DNS deines Providers stehen.

Danach ware dann ein Forwarder-only DNS erzeugt der ankommende Anfragen versucht zu beantworten oder weiterleitet und sich das Ergebniss merkt.

MfG Marek Walther

[claus]

Danke für den Hinweis !
Dies war es wohl. Mit diesem DNS-Server wollen die Clients jetzt auch. Mit firewall ist es wohl besser auch einen DNS Server zu betreiben.

Gruß

Claus