Toon posts:

[BIND9]Chroot'ed local en real domain probs

Pagina: 1
Acties:

zondag 23 maart 2003 16:09

Acties:
  • Tha_Butcha
  • Registratie: November 2000
  • Laatst online: 15-04 11:50

Tha_Butcha

Topicstarter
Ik heb hier een slackware 9.0 bak, die zowel de interne DNS als de DNS voor een real .nl domain moet hosten, hiervoor heb ik geprobeerd BIND9 chroot'ed te draaien, maar dat werkt niet helemaal.

op het moment staat deze server nog gewoon in het "reguliere" netwerk achter een router, uiteindelijk moet ie een DMZ staan zodat ie ook een real nl domain aan kan.
Ik neem aan dat dat gewoon kan?

Alleen het probleem is dat ie zelfs local njet eens werkt, als ik beijvoorbeeld een nslookup uitvoer krijg ik de volgende error:
code:
1

** server can't find router: NXDOMAIN


Ik heb braaf alle HOWTO's gelezen en half google doorgeploegd including deze

alle HOWTO's etc. zijn ook gebaseerd op SysV init style bootscripts en niet BSDstyle, zo heb ik al de syslog niet kunnen verbouwen.

de scripts:

/chroot/named/etc/named.conf:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40

options {
        directory "/chroot/named/etc/namedb;
        forward first;
        forwarders {
                194.159.73.135;
                194.159.73.136;
        };

        /*
         * If there is a firewall between you and nameservers you want
         * to talk to, you might need to uncomment the query-source
         * directive below.  Previous versions of BIND always asked
         * questions using port 53, but BIND 8.1 uses an unprivileged
         * port by default.
         */
         query-source address * port 53;
};

//
// a caching only nameserver config
//
zone "." IN {
        type hint;
        file "master/named.ca"  ; used to be root.hints
};

zone "utreg.93bis.nl" IN {
        type master;
        file "master/named.hosts";
};

zone "0.0.127.in-addr.arpa" IN {
        type master;
        file "master/named.local";
};

zone "0.0.10.in-addr.arpa" IN {
        type master;
        file "master/named.rev";
};


/chroot/named/etc/namedb/master/named.hosts
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42

@               IN      SOA     int-ns1.utreg.93bis.nl. root.utreg.93bis.nl (
                                200303221 ; serial
                                1D      ; refresh: one day
                                1H      ; retry: one hour
                                1W      ; expire: one week
                                1W      ; minimum TTL: one week
                                )

                        IN NS           int-ns1.utreg.93bis.nl.

                        IN MX           10 mail.utreg.93bis.nl.; Primary mail exchanger
                        TXT             "utreg.93bis.nl"

; loopback address
localhost.              IN A            127.0.0.1

; ethernet settings for int-ns1 (this machine)
int-ns1                 IN A            10.0.0.2
limper                  IN CNAME        int-ns1
mail                    IN CNAME        int-ns1
www                     IN CNAME        int-ns1
vls                     IN CNAME        int-ns1
mp3                     IN CNAME        int-ns1
ldap                    IN CNAME        int-ns1
pop3                    IN CNAME        int-ns1
imap                    IN CNAME        int-ns1

; settings for other computers
router                  IN A            10.0.0.1

int-ns2                 IN A            10.0.0.3
slugger                 CNAME           int-ns2
vcls                    CNAME           int-ns2

winap                   IN A            10.0.0.4

pc-20                   A       10.0.0.20
pc-21                   A       10.0.0.21
pc-22                   A       10.0.0.22
pc-23                   A       10.0.0.23
pc-24                   A       10.0.0.24
pc-25                   A       10.0.0.25


/chroot/named/etc/namedb/master/named.local
code:
1
2
3
4
5
6
7
8
9
10

@               IN      SOA     int-ns1.utreg.93bis.nl. root.utreg.93bis.nl (
                                200303221; serial
                                1D      ; refresh: once a day
                                1H      ; retry: one hour
                                1W      ; expire: one week
                                1W      ; minimum TTL: 1 week
                                )
                        IN NS   int-ns1.utreg.93bis.nl.

1                       IN PTR  localhost.

/chroot/named/etc/namedb/master/named.rev
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14

@               IN      SOA     int-ns1.utreg.93bis.nl. root.utreg.93bis.nl. (
                                200203221 ; serial
                                1D      ; refresh: one day
                                1H      ; retry: one hour
                                1W      ; expire: one week
                                1W      ; minimum TTL: one week
                                )

                        NS      int-ns1.utreg.93bis.nl.

1               IN      PTR     router.utreg.93bis.nl.
2               IN      PTR     int-ns1.utreg.93bis.nl.
3               IN      PTR     int-ns2.utreg.93bis.nl.
4               IN      PTR     winap.utreg.93bis.nl.


en named.ca is gegenereerd aan de hand van dig.

iemand een idee waar ik ergens de mist in ga, en of ik nog ergens rekening mee moet houden als ik de externe DNS ook wil draaien?

NB!
Ik post dit in PNS en niet I&T omdat dat geen DNS voor real domain's inhoudt, en anders kunnen de modjes hem zo verplaatsen

[ Voor 3% gewijzigd door Tha_Butcha op 23-03-2003 16:11 ]

Compromises are for the weak

zondag 23 maart 2003 16:14

Acties:
  • zeroxcool
  • Registratie: Januari 2001
  • Laatst online: 04-05 13:54

zeroxcool

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

options {
        directory "/chroot/named/etc/namedb";
        forward first;
        forwarders {
                194.159.73.135;
                194.159.73.136;
        };

        /*
         * If there is a firewall between you and nameservers you want
         * to talk to, you might need to uncomment the query-source
         * directive below.  Previous versions of BIND always asked
         * questions using port 53, but BIND 8.1 uses an unprivileged
         * port by default.
         */
         query-source address * port 53;
};

Zo misschien?

zeroxcool.net - curity.eu

zondag 23 maart 2003 16:29

Acties:
  • Tha_Butcha
  • Registratie: November 2000
  • Laatst online: 15-04 11:50

Tha_Butcha

Topicstarter
mm, heel slim van me. alleen dat werkt dus nog niet echt :(

caching DNS werkt trouwens wel (daarvoor ook al), dus ik krijg wel een non-authoritative answer voor b.v. tweakers.net

Compromises are for the weak

zondag 23 maart 2003 16:30

Acties:
  • zeroxcool
  • Registratie: Januari 2001
  • Laatst online: 04-05 13:54

zeroxcool

lama

[ Voor 92% gewijzigd door zeroxcool op 23-03-2003 16:31 ]

zeroxcool.net - curity.eu

maandag 24 maart 2003 16:48

Acties:
  • imdos
  • Registratie: Maart 2000
  • Laatst online: 14:35

imdos

I use FreeNAS and Ubuntu

Aan de hand van deze http://www.ecst.csuchico....cHTML/TrinityOS-c-24.html HOWTO heb ik een splitted chrooted dns gemaakt!

Ik zie in eerste instantie verder niet veel fouten staan!
Heb je verder nog een foutmelding in je logs???


Voor die syslog moet je in /etc/rc.d/rc.M zijn en dan ook datgene uit 24.12 kopieren!

edit:

Vergeet ook je serial niet op te hogen bij een aanpassing!

[ Voor 11% gewijzigd door imdos op 24-03-2003 16:50 . Reden: toevoeging ]

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

dinsdag 25 maart 2003 10:31

Acties:
  • Predator
  • Registratie: Januari 2001
  • Laatst online: 00:20

Predator

Suffers from split brain

PNS -> NOS :)

Everybody lies | BFD rocks ! | PC-specs

dinsdag 25 maart 2003 17:21

Acties:

Verwijderd

Ik mis sowieso al de TTL in de zonefiles die verplicht is tegenwoordig. Lijkt me vrij sterk dat de zonefiles dus geladen worden op dit moment.

Start bind gewoon eens met volledige debuging en ga dan eens kijken wat voor een meldingen er verschijnen in de logfiles.

dinsdag 25 maart 2003 23:14

Acties:

Verwijderd

code:
1

        directory "/chroot/named/etc/namedb";

moet zijn
code:
1

        directory "/etc/namedb";

edit:
mits je -t /chroot/named gebruikt


Het directory statement is relatief aan de chroot'ed dir als je chroot gebruikt.

[ Voor 12% gewijzigd door Verwijderd op 25-03-2003 23:16 ]

woensdag 26 maart 2003 00:07

Acties:
  • Tha_Butcha
  • Registratie: November 2000
  • Laatst online: 15-04 11:50

Tha_Butcha

Topicstarter
eerste probleem heb ik al opgelost, alle config files waren nog van root, heel slim, dus kon ie de configuration niet opstarten (dat zei syslog althans)
nadat te hebben gefixed, kon ie hem wel laden maar kwam ie met de volgende melding:

code:
1
2
3
4
5
6
7
8

Mar 26 00:22:16 limper portmap[395]: cannot bind udp: Address already in use
Mar 26 00:22:17 limper inetd[404]: pop3/tcp (2): bind: Address already in use
Mar 26 00:22:17 limper inetd[404]: imap2/tcp (2): bind: Address already in use
Mar 26 00:22:17 limper sshd[407]: error: Bind to port 22 on 10.0.0.2 failed: Address already in use.
Mar 26 00:22:17 limper sshd[407]: fatal: Cannot bind any address.
Mar 25 23:22:17 limper named[409]: none:0: open: /chroot/named-int/etc/named.conf: file not found
Mar 25 23:22:17 limper named[409]: loading configuration: file not found
Mar 25 23:22:17 limper named[409]: exiting (due to fatal error)


enig idee wat voor stom iets ik nou heb gedaan?

Compromises are for the weak

woensdag 26 maart 2003 01:25

Acties:

Verwijderd

als je named start, moet je wel -c /etc/named.conf gebruiken ipv bovenstaande. Ook de configfile word relatief aan de chroot geladen.

woensdag 26 maart 2003 11:44

Acties:
  • Tha_Butcha
  • Registratie: November 2000
  • Laatst online: 15-04 11:50

Tha_Butcha

Topicstarter
okay, ik ben al een stapje verder:

ik heb nog een paar keer named als foreground process:
code:
1

/chroot/named-int/usr/sbin/named -u named -g -t /chroot/named-int/ -f


en toen kwam daaruit dat ie geen pid file kon vinden en geen rndc.key.
dus ik heb rndc.key gekopieerd van /etc/ naar /chroot/named-int/etc
met owner als named.named, met chmod 700 erop.
en in de /chroot/named-int/etc/named.conf de pid expliciet aangegeven:
code:
1

pid-file "/var/run/named.pid";


en als ik hem nou laad (met logging in de foreground), doet ie het braaf, maar alleen zone 0.0.10.in-arpa.addr/IN en 0.0.127.in-arpa.addr/IN.

dus niet de blaat.nl zone file, enig idee wat ik nou over het hoofd heb gezien?

ik ben wel slim, om een zone definition te vergeten in de named.conf 8)7

[ Voor 7% gewijzigd door Tha_Butcha op 26-03-2003 11:52 ]

Compromises are for the weak

woensdag 26 maart 2003 12:03

Acties:
  • Tha_Butcha
  • Registratie: November 2000
  • Laatst online: 15-04 11:50

Tha_Butcha

Topicstarter
damn
heb ik de zone definition probs netjes opgelost, en de foreground logs geven geen problemen aan en ik kan nou maar 1 resolv doen

nslookup 10.0.0.1

geeft enig vorm van antwoord:
code:
1
2
3
4
5
6
7

Server: 10.0.0.1
Address: 10.0.0.1#53

Non-authoritative answer:
1.0.0.10.in-addr.arpa  name = smoothwall.

Authoritative answers can be found from:


dus ik zal maar zelf weer verder gaan ploegen, tenzij iemand nog lumineuze ideen heeft? :)

[ Voor 59% gewijzigd door Tha_Butcha op 26-03-2003 12:08 ]

Compromises are for the weak

donderdag 27 maart 2003 16:08

Acties:
  • Tha_Butcha
  • Registratie: November 2000
  • Laatst online: 15-04 11:50

Tha_Butcha

Topicstarter
okay, ik heb me conf files wat veranderd (o.a. om de TTL toe te voegen):

/choot/named-int/etc/named.conf:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45

options {
        // Remember, this is *already* CHROOTed, so /var/named IS correct!!
                directory "/var/named";
                pid-file "/var/run/named.pid";

        // You don't want the external interface to listen on this zone
                listen-on port 53 {
                10.0.0.1; 127.0.0.1;
                };

        // Uncommenting this might help if you have to go through a firewall:
         query-source address * port 53;
};

// Filter out any LAME server messages from cluttering up the SYSLOGs
        logging {
                category "lame-servers" { null; };
        };

zone "." {
        type hint;
        file "root.hints.db";
};

zone "0.0.127.in-addr.arpa" {
        type master;
        notify no;
        file "127.0.0.db";
};

zone "utreg.bla.nl" {
        type master;
        notify no;
        file "utreg.bla.nl.db";
        allow-transfer { none; };
        allow-query { 127/8; 10.0.0/24; };
};

zone "0.0.10.in-addr.arpa" {
        type master;
        notify no;
        file "10.0.0-in.addr.db";
        allow-transfer { none; };
        allow-query { 127/8; 10.0.0/24; };
};


/chroot/named-int/var/named/127.0.0.db:

code:
1
2
3
4
5
6
7
8
9
10
11

$TTL    86400
@               IN      SOA     ns.utreg.bla.nl. hostmaster.utreg.bla.nl. (
                                2003032502      ; serial
                                        8H      ; refresh
                                        2H      ; retry
                                        1W      ; expire
                                        1D)     ; minimum TTL

                                NS      ns.utreg.bla.nl.

1                       86400   PTR     localhost.utreg.bla.nl.


/chroot/named-int/var/named/utreg.bla.nl.db:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

$TTL    86400
@       IN      SOA     ns.utreg.bla.nl. hostmaster.utreg.bla.nl. (
                                2003250302      ; serial
                                        8H      ; refresh
                                        2H      ; retry
                                        1W      ; expire
                                        1D )    ; minimum TTL

                                        NS      ns.utreg.bla.nl.
                                        NS      ns-2.utreg.bla.nl.
                                        MX      10 mail.utreg.bla.nl.


router  86400                           A       10.0.0.1
                                        HINFO   "ADT Copperjet 10" "Custom OS"

ns      86400                           A       10.0.0.2
                                        HINFO   "Pentium-I/266" "Slackware 9.0"

limper                                  CNAME   ns
mail                                    CNAME   ns

winap   86400                           A       10.0.0.4
                                        HINFO   "Pentium-II/266" "Windows 2000 Advanced Server"

slugger 86400                           A       10.0.0.3
                                        HINFO   "Uknown" "Linux"


/chroot/named-int/var/named/10.0.0-in.addr.arpa:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14

$TTL    86400
@               IN      SOA     ns.utreg.bla.nl. hostmaster.utreg.bla.nl. (
                                        2003250302      ; serial
                                                8H      ; refresh
                                                2H      ; retry
                                                1W      ; expire
                                                1D )    ; minimum TTL

                                        NS      ns.utreg.bla.nl.

1                               86400   PTR     router.utreg.bla.nl.
2                               86400   PTR     ns.utreg.bla.nl.
3                               86400   PTR     slugger.utreg.bla.nl.
4                               86400   PTR     winap.utreg.bla.nl.


De server krijgt een "static" ip adres (gelocked met MAC adres) van de dhcpd van de router, te weten 10.0.0.2.

ik heb echt alle howto's erover doorgeploegd, trinityOS + verwijzingen doorgelezen, maar ik kmo er maar niet uit.

[ Voor 4% gewijzigd door Tha_Butcha op 27-03-2003 16:27 ]

Compromises are for the weak

donderdag 27 maart 2003 16:12

Acties:

Verwijderd

wat werkt er nu precies niet? Kun je alleen nog maar 10.0.0.1 resolven? Staan er nieuwe messages in je logs, wat heb je allemaal geprobeerd? etcetcetc ;)
edit:

Klopt het dat je 2 domeinen ondersteund? *.bla.nl en *.wackie.nl ?

[ Voor 23% gewijzigd door Verwijderd op 27-03-2003 16:14 ]

donderdag 27 maart 2003 16:37

Acties:
  • Tha_Butcha
  • Registratie: November 2000
  • Laatst online: 15-04 11:50

Tha_Butcha

Topicstarter
ik ondersteun bla.nl (andere had ik bij het C&P'en niet aangepast)

ik kan helemaal niet resolven, 10.0.0.1 ook niet meer

10.0.0.1 is dus de router, met dhcpd
10.0.0.2 is de slackware bak met dns (ip static gedefineerd bij de dhcp van de router)

/var/log/syslog: (na een /etc/rc.d/rc.inet2 restart)

code:
1
2
3
4
5
6

ar 27 16:48:02 limper portmap[488]: cannot bind udp: Address already in use
Mar 27 16:48:03 limper inetd[497]: pop3/tcp (2): bind: Address already in use
Mar 27 16:48:03 limper inetd[497]: imap2/tcp (2): bind: Address already in use
Mar 27 16:48:03 limper sshd[500]: error: Bind to port 22 on 10.0.0.2 failed: Address already in use.
Mar 27 16:48:03 limper sshd[500]: fatal: Cannot bind any address.
Mar 27 15:48:04 limper named[502]: binding TCP socket: address in use


/var/log/messages:

code:
1
2
3
4
5
6
7
8
9
10

Mar 27 15:48:03 limper named[502]: starting BIND 9.2.2 -u named -t /chroot/named-int -c /etc/named.conf
Mar 27 15:48:03 limper named[502]: using 1 CPU
Mar 27 15:48:03 limper named[502]: loading configuration from '/etc/named.conf'
Mar 27 15:48:04 limper named[502]: no IPv6 interfaces found
Mar 27 15:48:04 limper named[502]: listening on IPv4 interface lo, 127.0.0.1#53
Mar 27 15:48:04 limper named[502]: couldn't add command channel 127.0.0.1#953: address in use
Mar 27 15:48:04 limper named[502]: zone 0.0.10.in-addr.arpa/IN: loaded serial 2003250302
Mar 27 15:48:04 limper named[502]: zone 0.0.127.in-addr.arpa/IN: loaded serial 2003032502
Mar 27 15:48:04 limper named[502]: zone utreg.wackie.nl/IN: loaded serial 2003250302
Mar 27 15:48:04 limper named[502]: running


output van een willekeurige nslookup (naam):

code:
1
2
3
4

Server:         194.159.73.136
Address:        194.159.73.136#53

** server can't find router: NXDOMAIN


en van een ip

code:
1
2
3
4

Server:         194.159.73.136
Address:        194.159.73.136#53

** server can't find 1.0.0.10.in-addr.arpa: NXDOMAIN


/etc/resolv.conf:

code:
1
2
3
4

search utreg.bla.nl
nameserver 10.0.0.2
nameserver 194.159.73.136
nameserver 194.159.73.135


code-snippet van /etc/rc.d/rc.inet2:

code:
1
2
3
4

if [ -x /usr/sbin/named ]; then
   echo "Starting BIND: /chroot/named-int/usr/sbin/named -u named -t /chroot/named-int -c /etc/named.conf"
   /chroot/named-int/usr/sbin/named -u named -t /chroot/named-int -c /etc/named.conf
 fi

[ Voor 8% gewijzigd door Tha_Butcha op 27-03-2003 16:38 ]

Compromises are for the weak

vrijdag 28 maart 2003 14:39

Acties:
  • Tha_Butcha
  • Registratie: November 2000
  • Laatst online: 15-04 11:50

Tha_Butcha

Topicstarter
een bescheiden schopje (ik kom er nl. echt niet uit)

Compromises are for the weak

Pagina: 1
Reageer