Wechseln zu:Navigation, Suche
Wiki

UTM/APP/Nameserver

Aus Securepoint Wiki

Einleitung

Ein Nameserver ist ein Server, der Namensauflösung anbietet. Namensauflösung ist das Verfahren, das es ermöglicht, Namen von Rechnern bzw. Diensten in eine vom Computer bearbeitbare Adresse (IP) aufzulösen (z.B.: securepoint.de in 62.116.166.66). Des weiteren kann in der V11 eine Namensauflösung an einen anderen Nameserver weitergeleitet werden oder aus einer IP Adresse auf einen bestimmten Namen geschlossen werden (Reverse Lookup). Zusätzlich gibt es die Funktion "DNS Forwarding" die es erlaubt alle DNS Anfragen an einen bestimmten Nameserver weiterzuleiten.

Um die Einstellungen die der Nameserver der V11 bietet, besser verstehen zu können, folgt nun eine "Typ Beschreibung", der Typen die bei der Einrichtung auswählbar sind:

  • Beschreibung der Typen
- NS
- A
- AAAA
- TXT
- PTR
- MX
- CNAME

Im weiteren werden wir genauer auf die Einrichtung folgender Punkte der V11 eingehen:

  • Anlegen einer Forward-Zone
  • Anlegen einer Reverse-Zone
  • Anlegen einer Relay-Zone
  • Anlegen eines DNS Forwardings



Beschreibung der Typen

NS

Ein NS oder besser gesagt, NS-RR (Name Server Resource Record) ist ein Datensatz eines DNS Servers und kann zwei unterschiedliche Funktionen erfüllen:

  • Er definiert, welche Nameserver für diese Zone offiziell zuständig sind.
  • Er verkettet Zonen zu einem Zonen-Baum (Delegation).

In jedem Zonenfile muss mindestens ein NS-RR vorhanden sein, der angibt, welcher Nameserver für diese Zone autoritativ ist. Ist zum Bsp. die Firewall selbst zuständig muss hier "localhost" ausgewählt/eingegeben werden.


A

Mit einem A-RR (A Resource Record) wird einem DNS-Namen eine IPv4-Adresse zugeordnet.


AAAA

Mit einem AAAA Resource Record („quad-A“) wird einem DNS-Namen eine IPv6-Adresse zugeordnet. Es handelt sich damit um die IPv6-Entsprechung zum A Resource Record.


TXT

Mit einem TXT Resource Record kann ein frei definierbarer Text in einer DNS-Zone abgelegt werden. TXT Records können unter anderem zum Tunneln über DNS eingesetzt werden.


PTR

PTR Resource Records ordnen im Domain Name System einer gegebenen IP-Adresse einen oder mehrere Hostname(s) zu. Sie stellen damit gewissermaßen das Gegenstück zur klassischen Zuordnung einer oder mehrerer IP-Adresse(n) zu einem gegebenen Hostname per A- oder AAAA Resource Record dar.

PTR Resource Records sind ein zentrales Element des Reverse DNS. Sie werden üblicherweise ausschließlich verwendet

  • in der in-addr.arpa-Zone (für den Reverse-Lookup von IPv4-Adressen),
  • in der Zone ip6.arpa (für den Reverse-Lookup von IPv6-Adressen)[1] sowie
  • in anderen Zonen für Hostnames, auf die ein CNAME Resource Record aus einer der vorgenannten Zonen zeigt.


MX

Der MX Resource Record (MX-RR) einer Domain ist ein Eintrag im Domain Name System, der sich ausschließlich auf den Dienst E-Mail (SMTP) bezieht.

Ein MX-Record sagt aus, unter welchem Fully Qualified Domain Name (FQDN) der Mail-Server zu einer Domäne oder Subdomäne erreichbar ist. Es ist üblich, für eine Domäne mehrere MX-Records zu definieren mit unterschiedlichen Prioritäten, so dass bei Ausfall eines Mail-Servers ein anderer die E-Mails entgegennehmen kann. Dies erhöht die Wahrscheinlichkeit, dass eine Mail trotzdem an die Empfängerdomain zugestellt werden kann.


CNAME

Ein CNAME Resource Record (CNAME RR) ist im Domain Name System dazu vorgesehen, einer Domänen einen weiteren Namen zuzuordnen. Die Abkürzung "CNAME" steht für canonical name (canonical = anerkannt, bezeichnet also den primären, quasi echten Namen).

Im einfachsten Fall verweist der Name eines CNAME Resource Records auf den Namen eines A Resource Records und/oder eines AAAA Resource Records. Die Namen dieser Resource Records verweisen auf eine IP-Adresse. Beim Wechsel einer IP-Adresse muss dann für mehrere Namen nur ein einziger Resource Record geändert werden.

Ein NS Resource Record, MX Resource Record oder PTR Resource Record darf nicht auf einen CNAME Resource Record verweisen. Umgekehrt darf ein PTR Resource Record aber durchaus nur über einen CNAME Resource Record zugänglich sein. Der Name eines CNAME Resource Records darf nicht als Name anderer Resource Records verwendet werden, da er stellvertretend für alle Resource Records des Ziels steht.


Forward-Zone

Eine Foward-Zone wird zur Umsetzung von Domainnamen in IP-Adressen verwendet. Diese Umsetzung ist sowohl in IPv4 (A) als auch in IPv6 (AAAA) möglich. In dem folgenden Einrichtungsbeispiel wird das Anlegen eines A-RR, für eine öffentliche Domain erklärt. Wird der DNS der Firewall zur Auflösung verwendet soll eine private IP aus dem internen Netz zurückgegeben werden.

Diese Einstellung wird unter anderem dann benötigt wenn aus dem internen Netz eine Domain aufgerufen wird dessen öffentliche IP die der Firewall ist. Ohne diesen Eintrag würde man eine komplizierte Portweiterleitung benötigen, so allerdings kann die Anfrage ohne Umwege direkt an den Server gestellt werden.


Nameserver der Firewall festlegen

Im ersten Schritt muss der Nameserver der Firewall festgelegt werden.

  1. Gehen Sie in der Navigationsleiste auf den Punkt Netzwerk und klicken Sie im Dropdown-Menü auf Server Einstellungen.
  2. Tragen Sie im Feld "Primärer Nameserver" als IP die "127.0.0.1" (localhost) ein.
  3. Klicken Sie auf Speichern
Nameserver IP


A-RR anlegen

Im nächsten Schritt wird der A-RR angelegt.

  1. Gehen Sie in der Navigationsleiste auf den Punkt Anwendungen und klicken sie im Dropdown-Menü auf Nameserver.
  2. Klicken Sie im erscheinenden Dialog auf den Button Forward-Zone hinzufügen.
  3. Tragen Sie im Step 1 die gewünschte Domain in das Feld Zonenname ein.
  4. Tragen Sie im Step 2 unter Nameserver Hostname "localhost" ein.
  5. Der Step 3 kann durch klicken auf den Button Fertig übersprungen werden.
  6. Bearbeiten Sie durch einen Klick auf den Schraubenschlüssel die angelegte Zone.
  7. Klicken Sie im erscheinenden Dialog auf den Button Eintrag hinzufügen.
  8. Tragen Sie in das Feld "Name" die gewünschte Domain ein. An die Domain wird ein Punkt "." angehängt!
  9. Als Typ wählen Sie "A".
  10. In das Feld Wert tragen Sie die interne IP des Servers ein auf den die Domain verweisen soll.
  11. Klicken Sie auf Hinzufügen.
  12. Klicken Sie auf Speichern.
Step 1
Step 2
Anlegen des A-RR
  • Nun ist das Anlegen des A-RR fertig und die Firewall setzt auf Anfrage die Domain auf die gewünschte Private IP um!


A-RR testen

Um das Umsetzten des zuvor angelegten A-RR zu testen können sie von extern eine DNS-Anfrage in Form eines nslookup schicken oder sie nutzen die eigenen Netzwerktools der Firewall.

  1. Gehen Sie in der Navigationsleiste auf den Punkt Netzwerk und klicken sie im Dropdown-Menü auf Netzwerkwerkzeuge.
  2. Klicken Sie im erscheinenden Dialog auf den Host.
  3. Wählen Sie als Abfragetyp "A" aus.
  4. Tragen Sie im Feld Hostname ihre Domain ein.
  5. Verwenden Sie im Feld Nameserver die 127.0.0.1
  6. Klicken Sie auf Senden.
A-RR testen
  • Im unteren Fenster löst er, wenn alles richtig eingerichtet wurde, die Domain auf die korrekte IP-Adresse auf.
Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/APP/Nameserver&oldid=3091