Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- tachtler:dns_isc_bind_centos_6_-_master-slave_und_tsig [2012/08/06 14:42] – [Log-Datei des Zonen-Transfers] klaus
+++ tachtler:dns_isc_bind_centos_6_-_master-slave_und_tsig [2012/12/19 13:15] (aktuell) – [Konstellationsbeschreibung] klaus
@@ Zeile 17: / Zeile 17: @@
 <code>
- +-------------------+                                                                                         +---------------------+
+ +-------------------+                                          +---------------------+
- |                   |                                                                                         |                     |
+ |                   |                                          |                     |
- |   MASTER-Server   |                                                                                         |   SLAVE-Server      |
+ |   MASTER-Server   |                                          |   SLAVE-Server      |
- |   =============   |                                                                                         |   ============      |
+ |   =============   |                                          |   ============      |
- |                   |                                                                                         |                     |
+ |                   |                                          |                     |
- |   Präsenz:        |                                                                                         |   Präsenz:          |
+ |   Präsenz:        |                                          |   Präsenz:          |
- |   DMZ             |                                                                                         |   DMZ, Intranet     |
+ |   DMZ             |                                          |   DMZ, Intranet     |
- |                   |                                                                                         |                     |
+ |                   |                                          |                     |
- +-------------------+                                                                                         +---------------------+
+ +-------------------+                                          +---------------------+
- |                   |                                                                                         |                     |
+ |                   |                                          |                     |
- |   DMZ-IP-Adresse: |                                                                                         |   DMZ-IP-Adresse:   |
+ |   DMZ-IP-Adresse: |                                          |   DMZ-IP-Adresse:   |
- |   192.168.0.20    | -------> Transfer der Zone DMZ   <------> Anfrage des Transfers der Zone DMZ   <------- |   192.168.0.10      |
+ |   192.168.0.20    | -------> Transfer der Zone DMZ   ------> |   192.168.0.10      |
- |                   |                                                                                         |                     |
+ |                   |                                          |                     |
- |   DMZ-IP-Adresse: |                                                                                         |   intra-IP-Adresse: |
+ |   DMZ-IP-Adresse: |                                          |   intra-IP-Adresse: |
- |   192.168.0.20    | -------> Transfer der Zone intra <------> Anfrage des Transfers der Zone intra <------- |   192.168.1.1       |
+ |   192.168.0.20    | -------> Transfer der Zone intra ------> |   192.168.1.1       |
- |                   |                                                                                         |                     |
+ |                   |                                          |                     |
- +-------------------+                                                                                         +---------------------+
+ +-------------------+                                          +---------------------+
 </code>
@@ Zeile 1132: / Zeile 1132: @@
 ...
 </code>
+==== Fehlersuche ====
 Falls ein Fehler, wie nachfolgend dargestellt (**nur relevanter Ausschnitt**),
@@ Zeile 1142: / Zeile 1144: @@
 in der Log-Datei auftreten sollte und der **Zonen-Transfer**, **nicht stattgefunden hat**, sollten nachfolgende Konfigurationen überprüft werden:
   - Ist der generierte Schlüssel korrekt erstellt worden?
-  - Ist der **Name** des generierten Schlüssels (hier z.B. ''intra.''), auch so in der Konfigurationsdatei konfiguriert?
+  - Ist der **Name** des generierten Schlüssels (hier z.B. **intra.**), auch so in der Konfigurationsdatei konfiguriert? (**Punkt am Ende das Namens?)**
   - Sind die **Views** korrekt konfiguriert?
     - z.B. Zone - **ohne** - TSIG, wie z.B. ''localhost''
-      - **''match-clients { !key intra. ; "localhost"; };''**
+      - <code>match-clients { !key intra. ; "localhost"; };</code>
-      - **''match-destinations { "localhost"; };''**
+      - <code>match-destinations { "localhost"; };</code>
     - z.B. Zone - **mit** - TSIG, wie z.B. ''intra''
-      - **''match-clients { key intra. ; "intra"; };''**
+      - <code>match-clients { key intra. ; "intra"; };</code>
-      - **''match-destinations { key intra. ; "intra"; };''**
+      - <code>match-destinations { key intra. ; "intra"; };</code>
-      - **Master**-Server -> **''server 192.168.1.1 { keys intra; };''**
+      - **Master**-Server -> <code>server 192.168.1.1 { keys intra; };</code>
-      - **Slave**-Server -> **''server 192.168.0.20 { keys intra; };''**
+      - **Slave**-Server -> <code>server 192.168.0.20 { keys intra; };</code>
+===== Zonen-Transfer über NAT-Firewall =====
+Um einen **Zonen-Transfer** über eine Firewall, welche z.B. bei alle ausgehenden Verbindungen, via **NAT** die Absender-IP-Adresse umschreibt (MASQUERADING), sind nachfolgende **iptables**-Regeln
+  * :!: **VOR** :!:
+der **MASQUERADING**-Regel einzufügen:
+Um die aktuellen ''iptables''-Regeln **(CHAIN NAT)** erweitern zu können, sollten diese erst einmal aufgelistet werden, was mit nachfolgendem Befehl durchgeführt werden kann:
+<code>
+# iptables -t nat -nvL --line-numbers
+Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
+num   pkts bytes target     prot opt in     out     source               destination
+Chain POSTROUTING (policy ACCEPT 980 packets, 82233 bytes)
+num   pkts bytes target     prot opt in     out     source               destination
+     5224  379K SNAT       all  --  *      eth0    0.0.0.0/0            0.0.0.0/0           to:10.0.0.10
+Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
+num   pkts bytes target     prot opt in     out     source               destination
+</code>
+Nachfolgende Befehle, fügen folgende ''iptables''-Regeln dem ''iptables''-Regelwerk **(CHAIN NAT)** jeweils ab der **Position 1** hinzu, ohne das der Paketfilter angehalten werden muss:
+  * <code>-A POSTROUTING -s 192.168.1.1/32 -d 192.168.0.20/32 -o eth0 -p tcp -m tcp --dport 53 -j ACCEPT</code>
+  * <code>-A POSTROUTING -s 192.168.1.1/32 -d 192.168.0.20/32 -o eth0 -p udp -m udp --dport 53 -j ACCEPT</code>
+  * <code>-A OUTPUT -s 192.168.1.1/32 -d 192.168.0.20/32 -o eth0 -p tcp -m tcp --dport 53 -j ACCEPT</code>
+  * <code>-A OUTPUT -s 192.168.1.1/32 -d 192.168.0.20/32 -o eth0 -p udp -m udp --dport 53 -j ACCEPT</code>
+und hier die Befehle:
+<code>
+# iptables -I POSTROUTING 1 -s 192.168.1.1/32 -d 192.168.0.20/32 -o eth0 -p tcp -m tcp --dport 53 -j ACCEPT
+# iptables -I POSTROUTING 1 -s 192.168.1.1/32 -d 192.168.0.20/32 -o eth0 -p udp -m udp --dport 53 -j ACCEPT
+# iptables -I OUTPUT 1 -s 192.168.1.1/32 -d 192.168.0.20/32 -o eth0 -p tcp -m tcp --dport 53 -j ACCEPT
+# iptables -I OUTPUT 1 -s 192.168.1.1/32 -d 192.168.0.20/32 -o eth0 -p udp -m udp --dport 53 -j ACCEPT
+</code>
+Ein erneute Abfrage des ''iptables''-Regelwerts **(CHAIN NAT)** , sollte dann nachfolgend dargestellte Ausgabe ergeben, was mit folgendem Befehl durchgeführt werden kann:
+<code>
+# iptables -t nat -nvL --line-numbers
+Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
+num   pkts bytes target     prot opt in     out     source               destination
+Chain POSTROUTING (policy ACCEPT 980 packets, 82233 bytes)
+num   pkts bytes target     prot opt in     out     source               destination
+       36  2160 ACCEPT     tcp  --  *      eth0    192.168.1.1          192.168.0.20        tcp dpt:53
+       82 10989 ACCEPT     udp  --  *      eth0    192.168.1.1          192.168.0.20        udp dpt:53
+     5224  379K SNAT       all  --  *      eth0    0.0.0.0/0            0.0.0.0/0           to:192.168.0.10
+Chain OUTPUT (policy ACCEPT 3598 packets, 294K bytes)
+num   pkts bytes target     prot opt in     out     source               destination
+       36  2160 ACCEPT     tcp  --  *      eth0    192.168.1.1          192.168.0.20        tcp dpt:53
+       82 10989 ACCEPT     udp  --  *      eth0    192.168.1.1          192.168.0.20        udp dpt:53
+</code>
+Die neuen Zeilen sind an **Position 1** und **Postition 2** zu sehen, hier nachfolgend zur Verdeutlichung noch einmal dargestellt (**nur relevanter Ausschnitt**):
+<code>
+...
+       36  2160 ACCEPT     tcp  --  *      eth0    192.168.1.1          192.168.0.20        tcp dpt:53
+       82 10989 ACCEPT     udp  --  *      eth0    192.168.1.1          192.168.0.20        udp dpt:53
+...
+       36  2160 ACCEPT     tcp  --  *      eth0    192.168.1.1          192.168.0.20        tcp dpt:53
+       82 10989 ACCEPT     udp  --  *      eth0    192.168.1.1          192.168.0.20        udp dpt:53
+...
+</code>
+Um diese ''iptables''-Regel dauerhaft, auch nach einem Neustart des Server, weiterhin im ''iptables''-Regelwerk zu speichern, muss nachfolgend dargestellter Befehl abschließend noch ausgeführt werden:
+<code>
+# service iptables save
+iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]
+</code>