Hallo Leute,
wie machen denn bei euch Nodes Namensauflösung für Autoupdate.
Meine resolv.conf auf dem node kennt nur den localost.
hätte da nicht der Dienst RAdvD was mit zu tun?
Grüße
Hi,
die entscheidenden resolv-Konfigurationsdateien liegen bei Gluon in /tmp. Sieht bei uns so aus, die Gateways stehen da drin:
# cat /tmp/resolv.conf*
search lan
nameserver 127.0.0.1
# Interface client
nameserver 2a03:2260:115:1600::3
nameserver 2a03:2260:115:1600::2
search ffms
# Interface wan
# Interface wan6
Grüße
Matthias
Und die Daten werden durch welchen Dienst gepusht?
Die /tmp/resolv.conf ist genauso leer …
search lan
nameserver 127.0.0.1Durch den DHCP-Server isc-dhcp und Bird6 für V6, das läuft bei uns auf den Gateways. Da die Knoten netzintern aber nur V6 können, siehst du oben nur die V6-Adressen.
Hi,
mein “Problem” war wohl in der übernommenen
named.conf.options.j2
listen-on-v6 { any; };
//listen-on-v6 { };
dass die obere Zeile remarked war, dafür die untere gültig.
Was fange ich mir jetzt ein - (ddos)?
Sollte ich hier im Produktiv-Betrieb die Adressen des GW eintragen.
Das würde aber kaum unterschied machen, da diese IPv6-Adressen ja auch öffentlich sind.
Ach ja, die /tmp/resolv.conf ist kennt immer noch nur den localhost (vor einem Neustart), aber nslookup frägt schon den GW an.
Grüße, Martin
listen-on-v6 { any; }; ist unproblematisch (und teilweise auch nötig), solange man nicht Rekursion für Nicht-Berechtigte erlaubt. D.h. entweder recursion no; oder allow-recursion { Adressliste }; mit passend eingeschränkter Adressliste.
Rekursion bedeutet, dass der Nameserver für einen Client die Anfrage an andere, zuständige Nameserver weiterleitet. Wenn man die ausschaltet, liefert der Nameserver nur noch Adressen, die in seinen eigenen Zonen sind. Rekursion kann man für DDoS auf andere Server missbrauchen. Ein Nameserver, den man irgendwo in /etc/resolv.conf einträgt oder per DHCP-Option verteilt, muss aber Recursion für diese Rechner machen.
1 „Gefällt mir“