BIND in einer JAIL via NAT???

aah

catch me if you can
Hallo

Ich habe da ein Problem mit BIND 9.2.2. BIND läuft bei mir unter FreeBSD 4.9 in einer Jail. Ich benötige BIND um meine eigene Domain zu hosten. Caching brauche ich nicht.

Der Server läuft unter der IP 192.168.100.20
und die Jail unter der IP 192.168.100.21.

Die öffentliche IP habe ich auf meiner Firewall eingerichtet. Der Port 53 wird per NAT auf die IP 192.168.100.21 geleitet.
Im LOG von der Firewall kann ich entnehmen, dass die Requests auf Port 53 korrekt an den BIND-Server weiterleitet werden. Aber der BIND-Server gibt keie Antwort mehr!?

Wenn ich auf dem BIND-Server nslookup ausführe und "server 192.168.100.21" angebe, funktioniert die Namensauflösung wunderbar.
Bei "server 127.0.0.1" funktioniert die Namensauflösung nicht. (Leigt das daran, dass BIND in einer Jail läuft?)
Bei "server öffentliche IP" funktioniert die Namensauflösung ebenfalls nicht. Hier bekomme ich folgende meldung zurück: ";; reply from unexpectet source: xxx.xxx.xxx.xxx#12413, expectet xxx.xxx.xxx.xxx#53"

Von "Aussen" funktioniert die Namensauflösung ebenfalls nicht.

Hat jemand von euch Erfahrung mit BIND in einer JAIL via NAT? Ich bin newbie und bin recht verzweifelt. Im Internet finde ich auch nichts. :(

Danke!
gruss, aah
 
> Bei "server 127.0.0.1" funktioniert die Namensauflösung nicht. (Leigt das daran, dass BIND in einer Jail läuft?)
Ja, genau.

> Hat jemand von euch Erfahrung mit BIND in einer JAIL via NAT? Ich bin newbie und bin recht verzweifelt. Im Internet finde ich auch nichts.

Ich betreibe ein paar BIND's in Jails. Allerdings ohne NAT.
Da das vernünftig läuft, ist das bei Dir sicherlich ein NAT-Problem.

Zwei Dinge:
1. UDP-Pakete sind meines wissens nach nicht so einfach via Port-Forwarding zu handlen.
2. Was ist denn, wenn Du von außerhalb ein nslookup auf Deinen BIND machst?

Gruss...

Der Indy
 
In der named.conf ist auch NICHT 127.0.0.1 angegeben, sondern die IP der Jail in der der named läuft?
Code:
 query-source address 192.168.0.201 port 53;
        //transfer-source      192.168.0.201 port 53;
        //notify-source        192.168.0.201 port 53;
        

        listen-on {

        192.168.0.201;

        };

Wer macht das NAT? NATD? Welche FW? IPFW?
Wie sehen die entsprechenden Einträge aus?
 
Hallo Indy

von aussen bekomme ich lediglich eine Timeout meldung zurück.

Hier der LOG Eintrag von der Firewall:
Time: 05/20/2004 18:30:28
Message: Firewall default policy: UDP (WAN to DMZ)
Source: 130.59.1.82:51839
Destination: 192.168.100.21:53
Note: ACCESS FORWARD

Aber da ist kein Eintrag zu finden, der eine Antwort darstellen würde. (Kein "ACCESS FORWARD" und kein "ACCESS BLOCKED")

Danke!
 
Ja, named hört auf die IP 192.168.100.21:53. Das sollte stimmen.

Was ist query-source? Brauche ich dass?

NAT macht meine Firewall.
 
Back
Top