Terminal Server(Win und Linux) DNS Einstellung

Kaala

Kaala

New Member
Hallo Zusammen ich benötige Hilfe, wie kann ich meinen Terminalserver (sowohl Linux als auch Win) beibringen keine Anfrage an RootServern zu schicken?
Ich habe einen eigenen DNS Server, er (TS) sollte nur diesen Nutzen. Nur die eigenen DNS Servern sind in die resolve.conf eingetragen.
 
Schnellschuss: Blockage des DNS nach Außen per Firewall
Regel 1: UDP/TCP Port 53 ins LAN/Networkrange zulassen
Regel 2: UDP/TCP Port 53 blockieren
 
Das heißt auf dem Terminal Server selbst kann Mann keine Einstellungen machen um ihm die Anfrage zum Rootserver zu verbieten?
 
Du kannst das ganze auch über die lokale Firewall auf dem Terminal-Server blockieren, wird aber wohl nicht viel bringen Was willst du erreichen? Deine Terminal-Server senden die Anfrage an deinen DNS-Server und der nimmt abhängig von seiner Konfiguration die rekursive Abfrage über die Root-Server oder einen konfigurierten Forwarder vor.
 
Vielen Dank für die Hilfe, also meine Firewall blockiert schon die Anfragen vom TS an den Rootservern. Ich dachte nur es wäre möglich den TS so zu konfigurieren, das er gar keine Anfragen an den Rootservern sendet. Das die DNS anfragen vom TS nur noch an meinen eigenen Dns-server gesendet werden dürfen. Ist dies überhaupt möglich?
Dankeschön
 
Wie ich schon schrieb: Dein TS (DNS-Client) sendet die DNS-Anfragen an den dort konfigurierten DNS-Server, das ist der Resolver. Der DNS-Server als Resolver schickt die Anfragen dann abhängig von seiner Konfiguration weiter, wenn er sie selber nicht beantworten kann. Dein TS macht also keine Abfragen direkt an die Root-Server.
Vielleicht erzählst du uns mal, was du mit dieser Aktion erreichen willst.
 
Ok. Im der resolv.conf vom TS sind nur die beiden eigenen Dns-servern hinterlegt. Mein Firewall bekommt trotzdem anfragen für die Rootservern, dies werden glücklicherweise vom Firewall blockiert.

Was ist erreichen möchte ist, das der TS (DNS-Client) ausschließlich den eingetragenen DNS-SERVER anspricht.
Kann ich solche Anfragen vom DNS client an den Rootservern auch wenn er nicht antworten kann unterbinden ?
 
Kaala said:
Was ist erreichen möchte ist, das der TS (DNS-Client) ausschließlich den eingetragenen DNS-SERVER anspricht.
Kann ich solche Anfragen vom DNS client an den Rootservern auch wenn er nicht antworten kann unterbinden ?
Click to expand...
Der DNS löst auf Rootserver auf nicht der Terminalserver.
Ein Client/Programm/Applikation hat keine Ahnung ob der System-Resolver bzw. (lokale) DNS eine lokale Auflösung oder recursive (root DNS) Auflösung für eine Anfrage starten muss.
Daher ist DNS seitig diese Einstellung nur im lokalen DNS verfügbar, bei BIND heißt sie "recursion".

Afaik kannst du BIND so empfinlich konfigurieren das je nach Anfrage IP diese Funktion seperat gesteuert werden kann via "views" Block und "match-clients". Beachte aber das dann die komplette Maschine hinter der Client-IP nicht rekursiv auflösen kann.
 
Last edited:
Ergänzend zu den Ausführungen von @MadMakz sei noch erwähnt, dass es durchaus Programme geben kann, die einen eigenen Resolver eingebaut haben und somit an den DNS-Einstellungen des Betriebssystems vorbei DNS-Anfragen rausschicken. Netflix hat das beispielsweise in seiner App verwendet, um VPNs und SmartDNS-Dienste zu erkennen, über die ein anderes Land vorgetäuscht wurde. Außerdem haben aktuelle Browser DoH (deaktivierbar) zur Namensauflösung an Bord, bei denen die DNS-Auflösung per HTTPS an einen DoH-Server geschieht (Firefox verwendet z.B. per Default einen Dienst von Cloudflare, bei Chrome von Google, bei beiden aber nicht die Root DNS Server).
 
Vielen Danke für die Hilfen.

Nun ist es grundsätzlich möglich,
1)dass der TS (DNS-Client) ausschließlich den eingetragenen DNS-SERVER anspricht?
2)Falls wie könnte so eine Lösung seine/ wo könnte ich am TS(DNS-Client) diese Einstellung tätigen?

PS: im TS(resolv.conf sind nur meinen beiden Eingetragenen DNS-Server enthalten) auf dem Firewall sehe ich die blockierten Anfragen vom TS(DNS_Client) an den Rootserver. Ich möchte diese Anfrage nicht sehen.

Danke für die Hilfe!
 
Ja, das ist möglich und i.d.R. auch der Normalfall. Dass einzelne Anwendungen nicht die Resolver-Funktion des Betriebssystems nutzen, hatte ich ja schon ausgeführt, da kannst du nur bei der jeweiligen Anwendung schauen, ob man das Verhalten ändern kann.
Hast du auf deinem TS evtl. noch einen Nameserver installiert? Oder ist bei dir systemd-resolved aktiv? Was steht in deiner /etc/nsswitch bez. hosts?
 
danton said:
Ja, das ist möglich und i.d.R. auch der Normalfall. Dass einzelne Anwendungen nicht die Resolver-Funktion des Betriebssystems nutzen, hatte ich ja schon ausgeführt, da kannst du nur bei der jeweiligen Anwendung schauen, ob man das Verhalten ändern kann.
Hast du auf deinem TS evtl. noch einen Nameserver installiert? Oder ist bei dir systemd-resolved aktiv? Was steht in deiner /etc/nsswitch bez. hosts?
Click to expand...
Vielen Dank, ich habe keinen anderen DNS-Sserver auf dem TS. In der /etc/nsswitch steht u.a. " dns Use DNS (Domain Name Service)": systemd-resolved ist nicht aktiv
 
Kaala said:
In der /etc/nsswitch steht u.a. " dns
Click to expand...
Und was steht in der Zeile noch drin? Wenn dns nicht drinstehen würde, würde die DNS-Auflösung ja nicht funktioneren.
Ansonste mit tcpdump den Traffic mit den entsprechenden Parametern gefiltert mittracen und dann schauen, welcher Prozess da was rausschicken will.
 
You must log in or register to reply here.
Back
Top