BIND löst permanent Einwahl aus!

[gewitter]

ich hab hier im kleinen netz bind8 laufen, der eigentlich nur wenn er nicht auflösen kann den automatischen dialup ins internet auslösen soll, aber er macht es permanent, selbst bei einem einfachen dateizugriff <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle"> jemand einen plan, wie ich das abstellen kann?

[Rossi]

Ratespiel: Hast Du bind mitgeteilt, das er nur lokal auf eth{lan} lauschen soll ? Das forwarding ist davon nicht betroffen. Ich gehe davon aus, das Dein komplettes lokales Netz eine eigene Zone hat (der bind also ein "richtiger" nameserver ist und kein "caching only" oder "forward only").
Evtl. ist bind auhc so engestellt, das er _immer_ versucht zu forwarden - also erst den forwarder anspricht und dann seine eigene Datenbank.

poste doh mal bite Deine named.conf

[gewitter]

# Copyright (c) 2001 SuSE GmbH Nuernberg, Germany
#
# Author: Frank Bodammer <feedback@suse.de>
#
# /etc/named.conf
#
# This is a sample configuration file for the name server BIND8.
# It works as a caching only name server without modification.
#
# A sample configuration for setting up your own domain can be
# found in /usr/share/doc/packages/bind8/sample-config.
#
# A description of all available options can be found in
# /usr/share/doc/packages/bind8/html/options.html

options {

# The directory statement defines the name server's
# working directory

directory "/var/named";

# The forwarders record contains a list of servers to
# which queries should be forwarded. Enable this line and
# modify the IP-address to your provider's name server.
# Up to three servers may be listed.

#forwarders { 10.11.12.13; 10.11.12.14; };

# Enable the next entry to prefer usage of the name
# server declared in the forwarders section.

#forward first;

# The listen-on record contains a list of local network
# interfaces to listen on. Optionally the port can be
# specified. Default is to listen on all interfaces found
# on your system. The default port is 53.

#listen-on port 53 { 127.0.0.1; };

# The next statement may be needed if a firewall stands
# between the local server and the internet.

#query-source address * port 53;

# The allow-query record contains a list of networks or
# IP-addresses to accept and deny queries from. The
# default is to allow queries from all hosts.

#allow-query { 127.0.0.1; };

# The cleaning-interval statement defines the time interval
# in minutes for periodic cleaning. Default is 60 minutes.
# By default, all actions are logged to /var/log/messages.

cleaning-interval 120;

# Name server statistics will be logged to /var/log/messages
# every <statistics-interval> minutes. Default is 60 minutes.
# A value of 0 disables this feature.

statistics-interval 0;

# If notify is set to yes (default), notify messages are
# sent to other name servers when the the zone data is
# changed. Instead of setting a global 'notify' statement
# in the 'options' section, a separate 'notify' can be
# added to each zone definition.

notify no;
forwarders {
194.25.2.129;
212.185.248.84;
};
};

# The following three zone definitions don't need any modification.
# The first one defines localhost while the second defines the
# reverse lookup for localhost. The last zone "." is the
# definition of the root name servers.

zone "localhost" in {
type master;
file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
type master;
file "127.0.0.zone";
};

zone "." in {
type hint;
# file "root.hint";
file "/var/named/db.cache.internet";
};

# You can insert further zone records for your own domains below.

zone "c-concept.de" {
type master;
file "/var/named/c-concept.de.hosts";
};

zone "0.168.192.in-addr.arpa" {
type master;
file "/var/named/192.168.0.rev";
};

[Rossi]

Schade auch. Lag in jedem Bereich voll daneben. Versuch mal (wenn auch wider der Logik) zusätzlich, allow-query auf dein lokales Netz zu legen. Ansonsten mal mit tcpdump überwachen, was vermutlich auch nur bringt, das er einen der forwarder kontaktieren will ...
Ansonsten bin ich auch überfragt. Hatte auf "forward-first" gehofft. Deine Zone-Dateien sind korrekt, nehme ich an, ob er vielleicht da Probleme hat, die Namen aufzulösen und deshalb einen außenstehenden kontaktieren will ?
Hostnamen sind auch alle korrekt gesetzt ?

Wenn Du in der host.conf order host, bind setzt und die Namen temporär in die hosts Datei einträgst, tritt das Phänomen nicht auf, nehme ich an, oder ?

[trinity]

Hi Thomas,

enthält deine hosts Datei auch alle lokalen Rechner bzw auch den Router selbst?
Ich nehme an, dass die datei: /var/named/192.168.0.rev alle deine lokalen Rechner enthält. Solltest du in der resolv.conf die Reihenfolge hosts, irgendwas geändert haben. solltest du vielleicht auch noch die 127.0.0.1 in diese Datei aufnehmen.

[gewitter]

also in /etc/host.conf steht jetzt "order bind, hosts", weil /etc/hosts "nicht" die Namen der Rechner enthält. Auch /etc/nsswitch beinhaltet jetzt:

hosts: dns files # dns
networks: dns files # dns

in /etc/named steht jetzt auf dem server

domain c-concept.de
nameserver 127.0.0.1

bei den klienten

domain c-concept.de
nameserver 192.168.0.99

die zone-dateien:

forward:
$ttl 38400
c-concept.de. IN SOA tower. root.tower.c-concept.de. (
2002010303
10800
3600
604800
38400 )
c-concept.de. IN NS tower.
tower.c-concept.de. IN A 192.168.0.99
linux.c-concept.de. IN A 192.168.0.2
tester.c-concept.de. IN A 192.168.0.3

reverse:
$ttl 38400
0.168.192.in-addr.arpa. IN SOA tower. root.tower.c-concept.de. (
2002010303
10800
3600
604800
38400 )
0.168.192.in-addr.arpa. IN NS tower.
2.0.168.192.in-addr.arpa. IN PTR linux.c-concept.de.
3.0.168.192.in-addr.arpa. IN PTR tester.c-concept.de.
99.0.168.192.in-addr.arpa. IN PTR tower.c-concept.de.

ich habe mir jetzt ein wenig geholfen, indem ich bei ip-down eine leere root.hints dem dns hinlege und erst wenn der online geht durch ip-up, dann gibts eine aktuelle root.hints mit den root-namens-servern. jetzt ist es nicht mehr ganz so schlimm, trotzdem ist der permanent online, wenn ich an einem der rechner arbeite <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">

[trinity]

Hi Thomas,

>also in /etc/host.conf steht jetzt "order bind, hosts", weil /etc/hosts "nicht" die Namen der Rechner enthält.

Das ist IMHO egal. Solange die hosts Tabelle den "localhost mit 127.0.0.1" definiert, solltest du die die order auf "hosts,bind" stehen lassen.
Try it. <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

Poste doch auch bitte mal: /var/named/192.168.0.rev

[Rossi]

Das /etc/hosts die Namen nicht enthält, ist schon klar. Die Frage war, was passiert, wenn Du die Rechner da _testweise_ mal einträgst und die Reihenfolge änderst.

Weiterhin nimm mal bitte unbedingt die dns Einträge aus der /etc/nsswitch.conf raus. Das könnte (d)ein Problem sein. Ist für Namenauflösung absolut nicht erforderlich.

P.S.: was ist/soll /etc/named ? Welche Distribution hat sowas ? Die Nameserver werden eigentlich in der /etc/resolve.conf eingetragen. Welche stehen jetzt da drin ? Vielleicht die "externen" ?

Entweder ist Deine resolv.conf schuld oder Deine nsswitch. Gewagte Aussage, aber zuviele Möglichkeiten gibt es nicht mehr :^)

[gewitter]

@Lutz:
>Poste doch auch bitte mal: /var/named/192.168.0.rev

Steht direkt oben drüber "reverse"

@Rossi:
>was ist/soll /etc/named ?

Du hast Recht, war ein Schreibfehler, ist natürlich in resolve.conf.

Die Datei hosts brauche ich auch nicht für localhost, weil die locale zone auch in bind eingetragen ist (forward/reverse). Es macht auch keinen Sinn /etc/hosts zu unterhalten und alle rechner dort einzutragen, wenn ich bind benutze. ich benutze ja bind, damit ich das nicht brauche. im übrigen würde mir das auch nichts auf einem rechner bringen, das müsste ich wieder auf allen machen, aber dann kann ich bind abschalten <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> insofern sind auch die einträge in nsswitch und host.conf korrekt. ich werde aber auf jeden fall "isdnctrl verbose 3" setzen, damit ich debuggen kann, wer eventuell der übeltäter ist. vielleicht ist es auch NIS?

[trinity]

Hi Thomas,
>Die Datei hosts brauche ich auch nicht für localhost, weil die locale zone auch in bind eingetragen ist (forward/reverse).
Nur hört sich deine Fehlerbeschreibung so an, als ob dein BIND laufend irgendwelche Namen auflösen will. Wenn diese Namensauflösung stattfindet während alle anderen Rechner ausgeschaltet sind und/oder bei lokalen Zugriffen. Das sieht m. E. danach aus, dass er die lokale IP nicht zuordnen kann.

>Es macht auch keinen Sinn /etc/hosts zu unterhalten und alle rechner dort einzutragen, wenn ich bind benutze.
Das ist ausser Frage.
Du kennst meine Meinung zu BIND. Das basiert auf der Konzeption _meines_ (Heim) Netzwerkes und ist für andere Netze evtl. so nicht zu gebrauchen (aus welchen Gründen auch immer) <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

Bin aber gespannt, was der Fehler war (wenn du´s mal herausgefunden haben solltest) <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

PS: Sicherheitstechnisch gesehen, solltest du evtl. auch die folgenden Parameter des BIND mit sinnvollen Werten füllen:
listen-on port
allow-query

[Rossi]

Der Eintrag in der nsswitch.conf ist abosult überflüssig und hat nichs damit zu tun, ob Du nun über bind oder /etc/hosts auflöst.
Es macht keinen Sinn, bei einer Dateioperation o.ä. einen Namenserver anzufragen. Bei "nameserviceswitch" steht das "nameservice" nicht unbedingt für DNS - mir ist bis jetz auch ein Räsel, warum da überhaupt "dns" angegeben werden kann. Es geht bei nss um Systemnamen (vorzugweise Accountinfos; unix, db, ldap, nis, kerberos, etc), _nicht_ um Rechnernamen. Diese Information kann Dein System nicht aus einem DNS bekommen. Der DNS will dies aber auflösen und findet diese Info natürlich nicht.
Anders: Du machst einen chown. Der Rechner sucht die zugehörigen Accountinformation - schaut bei Deiner Konfiguraion erst auf den Nameserver, der diese Info _natürlich_ nicht hat.
Ändere zumindest die Reihenfolge von "dns" "files" in "files" "dns" und probiere es wenigstens mal aus.
Das "files" steht hier _nicht_ für die /etc/hosts, sondern für /etc/passwd (pam ?).
Vielleicht hat mal jemand überhaupt einen Anwendungsbereich, bei dem "dns" als nameserviceswitch Sinn macht ?

Hostauflösung hat mit nsswitch _nichts_ aber auch gar nichts zu tun.

[Rossi]

Ups. Nehme alles zurück. Hab ganz mächtig Bockmist geredet vorhin. Zwar ist der Eintrag in nsswitch.conf weiterhin nicht notwendig, aber die Erklärung mit seiner Schlußfolgerung war falsch - ergo, muß nicht sein, das die nsswitch.con daran schuld ist. Weiß zwar ich immer noch nicht, wofür der Eintrag nun notwendig ist, aber er hat definitiv nicht die Folgen, die ich dargestellt hab (das wäre gewesen, wenn "group" oder "passwd" auf "dns" gestaden hätten. Sowas hätte aber auch massiv Fehler produzieren müssen).

[gewitter]

/etc/host,conf und /etc/nsswitch.conf sollten laut meiner Distri (SuSE7.3) synchronisiert sein. Aber ich glaube, das Thema hat sich beruhigt. Ich weiss zwar nicht warum genau sich bind beruhigt hat, aber vielleicht fand das wirklich nur beim Anmelden in kde statt, weil über NIS und /home-export entsprechend netztraffic anliegt.