pf, redirection und dyndns

D

deepblack

Member
hi leute, also ich fahr seit gestern openbsd auf meinem router und komm mit dem pf nicht so ganz klar. also:

inet<->obsd_gateway->switch->server
|->restlichen clients

server: 192.168.0.2
gateway: 192.168.0.1
keine dmz.
ich hab zwei dyndns urls und auf dem server rennt n apache mit zwei virtual hosts.
hinter der einen rennt ne gallery. ich komm mit den dyndns addys aus dem lan aber nicht an die seiten, aus dem inet geht es aber. ich frag mich nun ob es da eine lösung auf pf ebene gibt, weil ansonsten is das völlig inakzeptabel.
ich hoffe ihr habt ne idee/lösung.. ich hab bei google noch nix brauchbares gefunden..

mfg deep
 
Verstehe ich das richtig?
Du möchtest, daß du aus dem Lan deine dyndns Adresse in den Browser eintippen kannst und du dann auf deinem Webserver im Lan landest.

Für dieses Zenario brauchst du nicht PF, sondern du mußt deine DNS Auflösung konfigurieren.
Das kannst du am einfachsten, wenn du einen DNS Server im Lan hast, daß dem dann sagst:
Die dyndns Adresse blabla.blups und blupsblups.bla haben die IP xxx.xxx.xxx.xxx und yyy.yyy.yyy.yyy. Oder wenn du keinen DNS Server im Lan hast, kannst du auch deine hosts Datei benutzen.
 
Zuletzt bearbeitet:
Zepol schrieb:
Verstehe ich das richtig?
Du möchtest, daß du aus dem Lan deine dyndns Adresse in den Browser eintippen kannst und du dann auf deinem Webserver im Lan landest.

Für dieses Zenario brauchst du nicht PF, sondern du mußt deine DNS Auflösung konfigurieren.
Das kannst du am einfachsten, wenn du einen DNS Server im Lan hast, daß dem dann sagst:
Die dyndns Adresse blabla.blups und blupsblups.bla haben die IP xxx.xxx.xxx.xxx und yyy.yyy.yyy.yyy. Oder wenn du keinen DNS Server im Lan hast, kannst du auch eine hosts Datei benutzen.
Zum Vergrößern anklicken....

hi, ich hab bind auf dem server laufen.. ich werds mal probieren, danke für den tip ;)
 
Ich hab das bei mir zu Haus auch mit Bind am laufen. Klappt perfekt. Du mußt nur jeweils einen A Eintrag für deine dyndns Domains anlegen.
 
Zepol schrieb:
Ich hab das bei mir zu Haus auch mit Bind am laufen. Klappt perfekt. Du mußt nur jeweils einen A Eintrag für deine dyndns Domains anlegen.
Zum Vergrößern anklicken....

hmm kannst du mir n bisschen genauer erklären wie das geht? weil hab gerade den überblick verloren.. also in einer beliebigen zone file ein 'IN A' oder?
also ich hab das mal gemacht aber n dig zeigt das er immer die externe ip nimmt.. oder soll ich bin auf dem gateway laufen lassen? weil das is nur n kleiner mit 75mhz..
aber um nicht zu OT zu werden, mit iptables hatte ich die probleme nie, wieso geht pf damit denn anders um?
 
Zuletzt bearbeitet:
so hab mir ne neue zone files angelegt eine für die .org und eine für die .net
das klappt auch, nur kann ich nun (eigentlich logisch) keine .net/.org server mehr erreichen, zumindest keine die nicht http sind.. irc etc. geht net, gmx.net z.b. geht aber..
kann man da was am dns drehen?
 
Hallo deepblack,
du darfst natürlich nicht für die ganze .net und .org eine Zone-Datei anlegen. Dann müßtes du ja jeweils die komplette original Zone-Datei haben, damit du auch alle anderen org und net Domains erreichst.

Lege dir einfache eine deine.dyndns.org und deine.dyndns.net Zone-Datei an. Darin machst du natürlich den üblichen SOA und NS Eintrag, sowie einen A eintrag für die dyndns Domain.
Dein DNS-Server übernimmt dann "nur" die Verwalltung für die beiden Domains deine.dyndns.org und deine.dyndns.net. Mit den anderen .net und .org Domains hat dein DNS-Server dann nichts am Hut und leitet die Anfragen dann ins inet weiter (so wie du das halt konfiguriert hast).

Wenn ich nachher zu Hause bin, kann ich dir mal eine Beispiel Zone-Datei erstellen und posten. Falls du die noch benötigst.

PS: PF kann man auch dazu benutzen eine Umleitung auf deinen Web Server zu erstellen. Es ist nur nicht üblich Domainnamen in einer Firewall zu benutzen. Eigentlich nimmt man da immer IP-Adressen (was natürlich bei dyndns nicht geht). Zumal, wenn du die DNS Auflösung "korrigierst" sparst du Traffig. Die Anfrage geht direkt an deinen Webserver und nicht erst zur Firewall und dann zum Webserver.
 
oh ja, ne beispiel zone wäre super.. ich habs mit bind noch nicht so.. war froh das das ohne probleme lief, bis jetzt.. liegt aber sicher net an pf sondern daran das ich jetzt n port forwarding benutz.. vorher lief der apache auch auf dem server und somit musste ich ja nur n port öffnen..
gut url in ner firewall ist n bisschen komisch, würd ich auch net machen, da is die sache mit dem dns schon besser..
schonmal danke
 
Also hier mal eine Beispiel Config:

in deiner named.conf unter Master zones schreibst du sowas wie:
Code: 
zone "deine.dyndns.org" {
         master;
         notify no;
         file "master/deine.dyndns.org";
};

deine Zone-Datei sieht so aus:
Code: 
$TTL 6h
;
@	IN	SOA	dein.dns.server root.deine.mailadresse (	
			200408161	; serial
			1h		; refresh
			15m		; retry
			7d		; expiration
			1h )		; minimum
;
		NS	dein.dns.server
 		A	192.168.0.2

Ich hoffe damit kommst du nun klar.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben