Toon posts:

DNS bind - Hoe zit dat bij IDNL

Pagina: 1
Acties:

dinsdag 1 oktober 2002 11:29

Acties:

Verwijderd

Topicstarter
Goeiemorgen,

Ik ben ff een nieuw serverparkje aan het inrichten met daarin 2 dns servers en nog een 10tal web-,file- en db- servers. Ik ben op dit moment de zooi aan het omgooien en de zonefiles zijn gekopieerd en in de bind-dnsservers geconfigged. Het probleem ligt nu een beetje in de vertraging die er zit in de verhuizing. Ik heb ze bij IDNL aangepast/verhuist. Als ik op NIC kijk dan zie ik dat ze al in de nieuwe servers staan. Als ik ze nu aanpas dan gebeurt er weinig. Hoe lang duurt het, na een verhuizing, voordat daadwerkelijk ook die records worden gebruikt. Ik zou ook wel eens graag willen weten hoe dat dan zit bij IDNL, ik krijg dat beeld gewoon niet helder. Waar zit die vertraging.

De vertraging tussen de verschillende dnsserver van providers is duidelijk. Maar dit is duidelijk een vertraging die optreed na verhuizing, niet na een zonefile update!

dinsdag 1 oktober 2002 11:33

Acties:

Verwijderd

als je van de dnsserver gebruik maakt met het soa record of een kopie (zone transfer) daarvan heb je geen vertraging... andere dnsservers kunnen de ttl tijd vertraging hebben...

in win2k en xp heb je verder nog local caching... type ipconfig /flushdns om deze cache te legen... (zelfs op dnsserver gebeurt dit...)

dinsdag 1 oktober 2002 13:09

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Wat is IDNL? Een ISP of bedoel je de SIDN ?

Wie is er verantwoordelijk voor die zone's qua DNS afhandeling? Verwijzen de NS records bij SIDN/Internic/e.d. naar jouw NS servers?

Pas je het serial number aan, reload je de zone? Welke TTL staat er op de zones?
Een nslookup oid met verwijzing naar je eigen DNS server geeft wel het juiste resultaat?

Geef eens een voorbeeld zone die niet goed functioneert met een van jouw NS servers ?

dinsdag 1 oktober 2002 13:13

Acties:
  • Kettrick
  • Registratie: Augustus 2000
  • Laatst online: 04:44

Kettrick

Rantmeister!

Als je een nameserver verandering aanvraagd wordt meteen gechecked of je nameservers goed ingesteld zijn (authoritive). Als dit het geval is worden je updates bij de eerste volgende reload van SIDN doorgevoerd, dit is rond 07:00.

Post eens een paar domein namen, dan kunnen we hier ook eens wat checken :)

dinsdag 1 oktober 2002 13:47

Acties:

Verwijderd

Topicstarter
SIDN, ja sorrie is inderdaad waar. Foutje

De nameservers geven geen fouten, wel een aantal warnings omdat de mx fallback verwijst naar een extern domein.

idateyou.nl
ihateyou.nl

Het vage is dat de serial is verhoogd, en de zonefiles zijn naar wijziging gereload. Beetje vreemd allemaal

[ Voor 0% gewijzigd door Verwijderd op 01-10-2002 13:48 . Reden: ff wat toevoegen ]

dinsdag 1 oktober 2002 13:52

Acties:

Verwijderd

Topicstarter
Ik heb net op de server een nslookup gedaan en hij verwijst daar dus wel naar de goeie server. Heel vreemd. Je zou dus zeggen dat de server goed geconfigueerd is

dinsdag 1 oktober 2002 14:19

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Ik vermoed dat jij bent:
Nameserver ns.businessmedia.nl 213.136.11.102
Nameserver ns.bit.nl 213.136.0.66
Als businessmedia.nl van jou is, dan staat je TTL op 1 dag. Als ik je serial lees, heb je gisteren pas de update gedaan, dus dan zal het vanmiddag of morgen wel in orde zijn. Als je een zone transfer sneller wilt doen, moet je voortaan een paar dagen van te voren je TTL lager zetten (eg: 5 minuten oid)

dinsdag 1 oktober 2002 15:25

Acties:

Verwijderd

Topicstarter
**** ik zie het ja. Dank je wel. Ik zal dat zeker doen bij de volgende keer. In ieder geval bedankt. Het kan maar weer duidelijk zijn!

dinsdag 1 oktober 2002 17:41

Acties:

Verwijderd

je dns staat wel helemaal open... fix dat ook ff :)

dinsdag 1 oktober 2002 17:56

Acties:

Verwijderd

ff offtopic:

BIT is redelijk duur kan ik je zeggen.

woensdag 2 oktober 2002 12:01

Acties:
  • _Arthur
  • Registratie: Juli 2001
  • Nu online

_Arthur

blub

Verwijderd schreef op 01 oktober 2002 @ 17:56:
ff offtopic:

BIT is redelijk duur kan ik je zeggen.
ook offtopic:
Beter duur een prima service dan voor een duppie op de eerste rang en je sites 100x per dag plat omdat het prutsers zijn.

woensdag 2 oktober 2002 12:58

Acties:

Verwijderd

Topicstarter
Hahaha, precies. En het is bij ons om de hoek, ken die gasten goed, service is echt heel goed, en onwijs snelle feed. Niks te klagen dus. Uptime boven alles

woensdag 2 oktober 2002 15:18

Acties:

Verwijderd

je dns staat wel wagenwijd open... dus zo goede professionals zijn ze nu ook weeer niet...
dit zou ik nooit op mogen kunnen vragen !!!! (of is dit jou dns server :))

zelfde geldt voor bit.nl... je wordt niet vrolijk als je ziet wat je allemaal zonder problemen kan opvragen... dus voor mij zijn het ook prutsers :)

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

> ls -d businessmedia.nl
[ns.businessmedia.nl]
 businessmedia.nl.              SOA    ns.businessmedia.nl hostmaster.businessme
dia.nl. (200209271 43200 3600 608400 600)
 businessmedia.nl.              NS     ns.bit.nl
 businessmedia.nl.              NS     ns.businessmedia.nl
 businessmedia.nl.              MX     50   mail.businessmedia.nl
 businessmedia.nl.              TXT             "Business Media"

 businessmedia.nl.              A      213.136.11.98
 *                              A      213.136.11.98
 kiowa                          A      213.136.0.206
 localhost                      A      127.0.0.1
 mail                           A      212.204.246.40
 ns                             A      213.136.11.102
 ns1                            A      213.136.11.102
 www                            A      213.136.11.98
 businessmedia.nl.              SOA    ns.businessmedia.nl hostmaster.businessme
dia.nl. (200209271 43200 3600 608400 600)

woensdag 2 oktober 2002 20:28

Acties:

Verwijderd

Wat is nou het security risico van een zone transfer toestaan? Als je erg in "security through obscurity" denkt mag het niet, sure ... Maar alle info kun je op een andere manier ook wel vinden meestal.

woensdag 2 oktober 2002 20:35

Acties:
  • mavink
  • Registratie: April 2000
  • Laatst online: 24-11-2025

mavink

Ik zie ook het probleem niet hoor... DNS is in principe een publiek toegankelijke database. Wat is het probleem als iemand je zone files kan opvragen?

donderdag 3 oktober 2002 10:47

Acties:

Verwijderd

Een van de redenen om zone xfers te blocken is dat er soms ook HWINFO of OSINFO in het commentaar staat, waardoor een hacker net iets meer info over je netwerk ziet dan misschien wenselijk is.
Een andere, vrij essentiële is, dat je mbv zone XFERS ook een DoS kan uitvoeren:
http://www.kb.cert.org/vuls/id/715973

donderdag 3 oktober 2002 13:52

Acties:

Verwijderd

Topicstarter
Dit is absoluut geen security probleem. Het is makkelijk als je moet verhuizen, daarbij is het zo dat de meeste providers gelukkig een zone transfer toelaten. En dat je zonefile bloot ligt, gewoon je servers goed up2date houden. Lijkt me logisch

donderdag 3 oktober 2002 14:14

Acties:

Verwijderd

aan de hand van de zonefiles kan je vaak het hele netwerk tekenen...
in dit geval is het idd niet zo boeiend... deze adressen wil je publiekelijk toegankelijk hebben... (maar ik denk niet dat dat geldt voor bit.nl)

in win2k is het veel linker... er zijn zat bedrijfjes die hun eigen SOA record hebben en intern ook dat domain gebruiken... als je dan een zonetransfer (default staat het open; in .net is de default gelukkig beter) kan doen, kan je dus het hele netwerk in kaart brengen, including domaincontrollers etc... dingen die je dus niet publiekelijk toegankelijk wil hebben...

even ip restricties instellen voor zonetransfers lijkt me toch niet zo moeilijk...

vrijdag 4 oktober 2002 12:05

Acties:

Verwijderd

Topicstarter
Dat is zo, ik zal het eens aanpassen. Maar wat je zegt klopt al. We hebben ook zonefiles draaien die verwijzen naar interne adressen. Die krijg je echt niet te zien ;)

vrijdag 4 oktober 2002 19:29

Acties:
  • igmar
  • Registratie: April 2000
  • Laatst online: 20-04 22:06

igmar

ISO20022

Verwijderd schreef op 01 oktober 2002 @ 11:29:
Goeiemorgen,

Ik ben ff een nieuw serverparkje aan het inrichten met daarin 2 dns servers en nog een 10tal web-,file- en db- servers. Ik ben op dit moment de zooi aan het omgooien en de zonefiles zijn gekopieerd en in de bind-dnsservers geconfigged. Het probleem ligt nu een beetje in de vertraging die er zit in de verhuizing. Ik heb ze bij IDNL aangepast/verhuist. Als ik op NIC kijk dan zie ik dat ze al in de nieuwe servers staan.
De zoneinformatie loopt niet gelijk aan de info van de whois.

Waar het nu op staat kun je checken met :

code:
1

host -t NS domain.nl ns.nic.nl


De uitvoer is een lijst met NS records (die dus actueel zijn).
Als ik ze nu aanpas dan gebeurt er weinig. Hoe lang duurt het, na een verhuizing, voordat daadwerkelijk ook die records worden gebruikt. Ik zou ook wel eens graag willen weten hoe dat dan zit bij IDNL, ik krijg dat beeld gewoon niet helder. Waar zit die vertraging.
De aanpassing duurt 2 werkdagen.
Pagina: 1
Reageer