(→Zonen) |
Keine Bearbeitungszusammenfassung |
||
Zeile 15: | Zeile 15: | ||
==Zonen== | ==Zonen== | ||
===Nameserver der Firewall festlegen=== | ===Nameserver der Firewall festlegen=== | ||
<div> | |||
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div> | |||
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Standartmäßig ist hier die IP-Adresse 127.0.0.1 hinterlegt, diese muss ggf. angepasst werden.</span></div> | |||
</div> | |||
<div style="clear: both;"></div> | |||
=== Forward-Zone === | === Forward-Zone === | ||
Zeile 25: | Zeile 25: | ||
Diese Einstellung wird unter anderem dann benötigt, wenn aus dem internen Netz eine Domain aufgerufen wird, dessen öffentliche IP die der Firewall ist. Ohne diesen Eintrag würde man eine komplizierte Portweiterleitung benötigen, so allerdings kann die Anfrage ohne Umwege direkt an den Server gestellt werden. | Diese Einstellung wird unter anderem dann benötigt, wenn aus dem internen Netz eine Domain aufgerufen wird, dessen öffentliche IP die der Firewall ist. Ohne diesen Eintrag würde man eine komplizierte Portweiterleitung benötigen, so allerdings kann die Anfrage ohne Umwege direkt an den Server gestellt werden. | ||
<div> | |||
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div> | |||
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Wenn ein NAT-Router vorhanden ist, muss eine Forward-Zone eingerichtet werden.</span></div> | |||
</div> | |||
<div style="clear: both;"></div> | |||
==== A-RR anlegen ==== | ==== A-RR anlegen ==== |
Version vom 10. Juli 2017, 09:28 Uhr
Informationen
Letze Anpassung zur Version: 11.7
Bemerkung: Artikel- und Designanpassung
Vorherige Versionen: 11.6.11
Einleitung
Ein Nameserver ist ein Server, der Namensauflösung anbietet. Namensauflösung ist das Verfahren, welches es ermöglicht, Namen von Computern bzw. Diensten in eine Adresse (IP) aufzulösen (z.B.: securepoint.de in 195.4.128.46). Des Weiteren kann in der aktuellen UTM Software eine Namensauflösung an einen anderen Nameserver weitergeleitet werden oder aus einer IP Adresse auf einen bestimmten Namen geschlossen werden (Reverse Lookup). Zusätzlich gibt es die Funktion "DNS Forwarding" die es erlaubt alle DNS Anfragen an einen bestimmten Nameserver weiterzuleiten.
Um die Einstellungen die der Nameserver bietet, besser verstehen zu können kann der Artikel zu den Netzwerkwerkzeugen gelesen werden.
Zonen
Nameserver der Firewall festlegen
Forward-Zone
Eine Foward-Zone wird zur Umsetzung von Domainnamen in IP-Adressen verwendet. Diese Umsetzung ist sowohl in IPv4 (A) als auch in IPv6 (AAAA) möglich. In dem folgenden Einrichtungsbeispiel wird das Anlegen eines A-RR, für eine öffentliche Domain erklärt. Wird der DNS der Firewall zur Auflösung verwendet, soll eine Private IP aus dem internen Netz zurückgegeben werden. Diese Einstellung wird unter anderem dann benötigt, wenn aus dem internen Netz eine Domain aufgerufen wird, dessen öffentliche IP die der Firewall ist. Ohne diesen Eintrag würde man eine komplizierte Portweiterleitung benötigen, so allerdings kann die Anfrage ohne Umwege direkt an den Server gestellt werden.
A-RR anlegen
Über die Navigationsleiste, Anwendungen -> Nameserver wird die Anwendung ausgewählt und unter + Forward-Zone der A-RR angelegt.
- Für den A-RR muss der Zonenname angegeben werden.
- Für den Nameserver wird localhost eingetragen.
- Die Angabe der Ip-Adresse im Schritt 3 ist optional und kann übersprungen werden.
- Durch betätigen der Schaltfläche mit dem Schraubenschlüssel kann die Zone bearbeitet werden.
- Im erscheinenden Dialog auf + Eintrag hinzufügen klicken
- Im Feld Name wird die benötigte Domain eingetragen. Am Ende bitte einen "." anhängen!
- Der Typ für diesen Eintrag ist A
- Im Feld Wert muss die interne IP des Servers eingetragen werdenm auf den die Domain verweisen soll.
- Als nächstes muss die angelegte Zone bearbeitet werden. Dazu auf den Schraubenschlüssel klicken.
- Der Eintrag kann durch die Schaltfläche Speichern gespeichert werden.
- Die Änderungen in der Zone müssen ebenfalls durch klicken der Schaltfläche Speichern gespeichert werden.
A-RR testen
Der A-RR kann durch eine externe DNS-Anfrage oder durch ein Test über die Netzwerkwerkzeuge der UTM geprüft werden.
- In der Navigationsleiste im Menü Netzwerk und dann unter Netzwerkwerkzeuge das Menü Host auswählen.
- Abfragetyp = "A"
- Hostname = die angelegte Domain
- Nameserver = 127.0.0.1
- Mit Senden wird die die Hostabfrage durchgeführt.
- Im unteren Fenster wird, wenn alles richtig eingerichtet wurde, die Domain auf die korrekte IP-Adresse aufgelöst.
Reverse-Zone
Reverse DNS lookup (rDNS) bezeichnet eine DNS-Anfrage, bei der zu einer IP-Adresse der Name ermittelt werden soll. Als RR-Typen sind nur PTR Resource Records zulässig. Bei einem PTR-RR steht links eine IP-Adresse und rechts ein Name – im Gegensatz zum A Resource Record, wo links ein Name und rechts eine IP-Adresse steht.
Genutzt wird ein rDNS lookup häufig im Zusammenhang mit Spamfiltern. Viele Spam-Mails werden von Fake-Domainen versendet. Der Empfänger kann anhand einer Rückauflösung der IP festzustellen ob die Domain auch wirklich zu der ankommenden IP gehört, ist dies nicht der Fall wird die Mail abgewiesen.
Da es extrem zeitaufwändig wäre, bei einer inversen Anfrage den gesamten Domänen-Baum nach der gewünschten IPv4-Adresse zu durchsuchen wurde eine eigenständige Domäne für inverse Zugriffe gebildet, die in-addr.arpa-Domäne. Unterhalb dieser Domäne existieren lediglich drei Subdomänen-Ebenen, so dass maximal drei Schritte zur Auflösung einer IPv4-Adresse erforderlich sind.
Die unmittelbaren Subdomänen von in-addr.arpa haben als Label eine Zahl zwischen 0 und 255 und repräsentieren die erste Komponente einer IPv4-Adresse. (Beispiel: 64.in-addr.arpa oder 192.in-addr.arpa).
Die nächste Ebene im Baum repräsentiert die zweite Komponente einer IPv4-Adresse (Beispiel: 27.64.in-addr.arpa. enthält die IPv4-Adressen 64.27.x.y) und die unterste Ebene schließlich die dritte Komponente (Beispiel: 125.27.64.in-addr.arpa enthält alle bekannten IPv4-Adressen des Netzes 64.27.125.0/24 – also z. B. 64.27.125.60).
Wie aus den Beispielen ersichtlich ist, enthält ein reverser Name die IP-Adresskomponenten in umgekehrter Reihenfolge. Diese Struktur ermöglicht ein Verfeinern des reversen Adressraums in mehreren Schritten. In unserem folgenden Einrichtungsbeispiel werden wir mit dem letzten Adressraum (/24) arbeiten.
PTR-RR anlegen
Über die Navigationsleiste, Anwendungen -> Nameserver wird die Anwendung ausgewählt und unter + Reverse-Zone der A-RR angelegt.
- Das entsprechende Netzwerk muss im ersten Schritt eingetragen werden.
- Im nächsten Schritt wird als Nameserver localhost eingetragen.
- Der Zonenname bildet sich automatisch wie im oberen Beispiel beschrieben.
- Durch betätigen der Schaltfläche mit dem Schraubenschlüssel kann die Zone bearbeitet werden.
- Im erscheinenden Dialog auf + Eintrag hinzufügen klicken
- Im Feld Name wird die letzte Zahl der Host-IP eingetragen, welche zu der gewünschten Domain gehört (In unserem Beispiel die "60".)
- Der Typ für diesen Eintrag ist PTR
- Im Feld Wert muss die die Domain eingetragen, auf den die die IP-Adresse zeigen soll. An die Domain wird ein Punkt "." angehängt!
- Der Eintrag kann durch die Schaltfläche Speichern gespeichert werden.
- Die Änderungen in der Zone müssen ebenfalls durch klicken der Schaltfläche Speichern gespeichert werden.
- Nun ist das Anlegen des PTR-RR fertig und die Firewall setzt auf Anfrage die IP auf die gewünschte Domain um!
PTR-RR testen
Der PTR-RR kann durch eine externe DNS-Anfrage oder durch ein Test über die Netzwerkwerkzeuge der UTM geprüft werden.
- In der Navigationsleiste im Menü Netzwerk und dann unter Netzwerkwerkzeuge das Menü Host auswählen.
- Abfragetyp = "PTR"
- Hostname = Die verwendete IP
- Nameserver = 127.0.0.1
- Mit Senden wird die die Hostabfrage durchgeführt.
- Im unteren Fenster wird, wenn alles richtig eingerichtet wurde, zu der IP-Adresse die richtige Domain aufgelöst.
Relay-Zone
Eine Relay-Zone ist für das Weiterleiten von Anfragen, die zu einer bestimmten Domain gehören zuständig. Hierzu ein Beispiel.: Die Firewall wird im internen Netz von allen Clients als Nameserver verwendet. Zusätzlich ist im internen Netz ein Nameserver integriert der für die interne Domänenverwaltung zuständig ist. Möchte nun ein Client einen internen Namen auflösen (z.B.: uma.test.local) wird diese DNS-Anfrage an die Firewall gestellt. Durch eine Weiterleitung aller Anfragen auf "test.local" an den internen Nameserver können diese ohne Probleme von selbigem aufgelöst werden. Anfragen die nicht zur internen Domain gehören, löst die Firewall weiterhin selbst auf.
Relay anlegen
Im nächsten Schritt wird das Relay angelegt.
Über die Navigationsleiste, Anwendungen -> Nameserver wird die Anwendung ausgewählt und unter + Relay-Zone die Relay-Zone angelegt.
- Die entsprechende Domain muss in das Feld Zonenname eingetragen werden.
- Als Typ wird Relay ausgewählt.
- Die IP-Adresse muss die des entfernten Nameservers sein. (Gibt es mehrere Nameserver/Domaincontroller die für diese Domain zuständig sind, kann die zweite IP mit einem Semikolon (;)getrennt´, hinter der ersten IP angegeben werden.)
- Der Eintrag kann durch die Schaltfläche Speichern gespeichert werden.
- Die Änderungen in der Zone müssen ebenfalls durch klicken der Schaltfläche Speichern gespeichert werden.