Neueinrichtung DNS für mein LAN mit DYNDNSDomain ...

Stefan Ulrich Hegner stefan at hegner-online.de
Fri Feb 20 12:35:19 CET 2004 

Hi Sebastian,

Am Fr, den 20.02.2004 schrieb Sebastian Lechte um 12:00:
> > > > Was mir dabei etwas Not macht ist, dass ich über einen
> > "A"-Eintrag eine
> > > > IP nur einmal vergeben darf und dass "MX" und "SOA" Records nicht auf
> 
> wo genau hast du das gelesen? das ist imho voelliger bloedsinn. mx und soa -
> ja, aber a-records?

Hmmmm. Weiß ich nicht mehr genau. Ist auch schon etwas her. - Kann also
als Zeiten früherer Bind-Versionen kommen.

Ich erinnere mich sogar dunkel, dass Bind sogar eine Warnung beim Prüfen
der Zonen ausgab. - Deshalb hatte ich das mal alles in CNames geändert.

> das einzige, was mich kurz aufhorchen laesst, sind die leute, die staendig
> meckern dass beim reverse-lookup der host nicht stimmt. aber denen schlag
> ich immer die ip-knappheit im v4-adressraum um die ohren...

Ja, glaube auch, dass das die Begründung dafür war. Aber
Internet-Reverse-Lookup klappt bei mir ja auch nur in soweit, als dass
dann irgendein Dial-in-Host meines ISPs kommt ...

> also koenntest du theoretisch:
> 
> - ---
> $TTL 3D
> @	IN	SOA	ns.hegner.hn.org. hostmaster.hegner.hn.org. (
> 			200402191	; serial
> 			8H		; refresh
> 			2H		; retry
> 			4W		; expire
> 			1D )		; minimum
> 			NS	ns
> 			MX	10 mail
> 			TXT	"Welcome hegner.hn.org!"
> 
> localhost		A	127.0.0.1
> 
> ns			A	192.168.1.1
> mail			A	192.168.1.1
> www			A	192.168.1.1
> ftp			A	192.168.1.1
> news			A	192.168.1.1
> http-proxy		CNAME	www

Ist so ein Vorgehen allgemein "Mehrheitsfähig" ???

> hegi			A	192.168.2.10	; WAN interface
> gateway		CNAME	hegi

Gibt es eigentlich einen Standard zur Nomenklatur von Kisten mit
mehreren Interfaces? - Ich find es nach wie vor befremdlich, dass der
Name das Iface und nicht die Kiste bezeichnet. (Obwohl ich die Logik
dahinter schon verstanden habe ... ausnahmsweise!)

> und ich frag mich dann noch:
> 
> 1) willst du 'gateway' vom internen netz her benutzen? muss des dann nich
> auch des interne interface sein?

Ich habe ein Tranfernet zwichen Router und Server. In dieses Transfernet
habe ich auch den WLAN Access-Point gehängt (wg. Sicherheit). Wenn ich
von dort an meinen Server will, ist das "gateway". - Ob das so sinreich
ist weiß ich nicht ... es funzt jedenfalls bisher.

> 2) ich hab den host hegner.hn.org rausgenommen, denn wenn du dir schon
> soviel muehe machst, eine eigene zone dafuer anzulegen, solltest du
> wenigstens die hosts darin auch benutzen :)

Ich will ja nur nicht, dass "hegner.hn.org" ins Nirwana zeigt. Dachte
halt, sowas sollte/müsste man mit konfigurieren. - "dig microsoft.com"
liefert ja auch zwei IPs.

> 3) willst du deinen nameserver auch von 'aussen' ansprechbar machen? (du
> erwaehntest 'chrooted'...)
>  - in dem fall solltest du mit 'views' arbeiten. bind9arm.pdf hilft :)

Eigentlich hatte ich das nicht vor, zumal es auch wenig Sinn macht.

Angenommen, ich richte mir eine neue Kiste als POP Server ein, würde ich
den einfach pop.hegner.hn.org nennen. Da *.hegner.hn.org auch auf meiner
DynIP rauskommt, würde ich dann einfach Port 110 auf die Kiste "pop"
forwarden. Zugriff von aussen klappt und ich gebe meine interne
Architektur nicht preis. - Halte ich schon aus Sicherheitsgründen für
besser.

Das der Bind 'chrooted' läuft ist einfach ein security-standard. Aber da
Bind sowieso für seine Löcher bekannt ist, nutze ich ihn besser nur
intern.

> nichtsdestotrotz darf ich von der dyndns-regelung abraten, solange du das
> offizielle zonefile ansich nicht aendern kannst, was ja hier der fall ist.
> denn soetwas nur intern zu nutzen ist ein bisschen verschwendung. 

Ist das der einzige Grund? - Also ich kann damit leben. Wie gesagt,
Anstoß für diese ganze wilde Geschichte war, meinen Postfix einen im
Internet gültigen FQDN zu verpassen. ... mehr nicht.

> es gibt im
> internet bestimmt hoster, die zonenupdates von kunden zulassen. sowas kann
> man schoen ueber ip-up.d/ip-up.local machen, ist bei mir selbst auch im
> betrieb.

Hmmm. Aber die Frage ist, was mir das bringt ... außer einem sauberen
reverse-dns-lookup. - Gut, wär nett ... aber dafür wechsele ich keien
Provider ... zumindest jetzt nicht.

Jedenfalls vielen Dank für die vielen guten Hinweise!

Gruß

Stefan.
-- 
/ Stefan Ulrich Hegner aka "Hegi" - Loehne/ Westfalen - Germany \
| stefan at hegner-online.de, my Cyberhome http://www.hegner-web.de|
\ GPG-Fprint D9DB 51BD 2DA6 9B3A 41CB  0287 05A1 8D11 38BA CE91 /
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: Dies ist ein digital signierter Nachrichtenteil
URL: <http://lug-owl.de/pipermail/linux/attachments/20040220/851aa5e6/attachment.sig>

More information about the Linux mailing list