<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Hi,<div><br></div><div><br><div><div>Am 21.10.2013 um 12:55 schrieb Hartmut Goebel:</div><br class="Apple-interchange-newline"><blockquote type="cite">
  

    <meta http-equiv="content-type" content="text/html; charset=UTF-8">
  
  <div text="#000000" bgcolor="#FFFFFF">
    Hallo,<br>
    <br>
    ich suche eine DNS-Firewall bzw. einen DNS-Resolver, der folgendes
    kann:<br>
    <br>
    1) Forwarding "interner" Zonen an den internen Resolver (wie üblich)<br>
    2) Für zugelassene Clients werden werden *bestimmte* FQDNs an den
    externen Resolver weitergeleitet.<br>
    <br>
    zu 2) stelle ich mir eine Liste vor:<br>
    <br>
    10.10.10.10&nbsp; <a class="moz-txt-link-abbreviated" href="http://www.xing.de/">www.xing.de</a>&nbsp; A,AAAA<br>
    10.10.10.20 <a href="http://download.kleinweich.com">download.kleinweich.com</a> A,AAA<br>
    10.10.10.42 *.nix-spam.de TXT<br>
    <br></div></blockquote><div><br></div><div>Also, wenn ich richtig verstehe, sind 10.10.10.x die IPs der 'zugelassenen' Clients.&nbsp;</div><div><br></div><div>Also, eine ganz einfache Lösung kenne ich auch nicht, aber ich kann mal einen Workaround skizzieren:</div><div><br></div><div>1. Aufsetzen zweier DNS Server; der eine für 1) der andere für 2)</div><div>2. Der 2) DNS Server nimmt nur Anfragen von den Clients an, wie gewünscht. Er besitzt die reduzierte Datenbasis.</div><div>3. Die Clients erhalten dann in /etc/resolv.conf &nbsp;die IP-Adressen der Nameserver.&nbsp;</div><div><br></div><div>Die Clients schauen auf den beiden Servern nach. Für nicht aufgeführte Adressen gibt es ein NXDOMAIN oder SERVFAIL (muss ich selber nachschauen).&nbsp;</div><div><br></div><div>Das Szenario lässt sich mit DNS Content oder auch mit Cache-Servern realisieren, z.B. mittels DJBDNS (TinyDNS+DNSCache).&nbsp;</div><div><br></div><div>Ob's bei anderen Produkten geht, müsstest Du selbst prüfen.&nbsp;</div><div><br></div><div>Sowas läuft unter dem Begriff 'Split Horizon'.&nbsp;</div><div><br></div><div>mfg.</div><div>--eh.&nbsp;</div><div><br></div><br><blockquote type="cite"><div text="#000000" bgcolor="#FFFFFF">
    Mit bind kann man das m.E. nicht, da bind immer Zonen-basiert
    arbeitet.<br>
    <br>
    Kennt jemand entsprechende Software (Unix-basiert)?<br>
    <br>
    -- <br>
    <div class="moz-signature"><span style="color:black">
        Schönen Gruß <br>
        Hartmut Goebel <br>
      </span>
      <span style="font-size:smaller">Dipl.-Informatiker (univ), CISSP,
        CSSLP</span><br>
      <span style="font-size:smaller">Information Security Management,
        Security Governance, Secure Software Development</span><p style="color:black" lang="de">
        Goebel Consult, Landshut <br>
        <a style="color:black" href="http://www.goebel-consult.de/">http://www.goebel-consult.de</a>
      </p><p style="color:grey;font-size:smaller">
        Monatliche Kolumne:
        <a style="color:grey !important;text-decoration:none !important" href="http://www.cissp-gefluester.de/2012-09-steht-ein-manta-fahrer-vor-der-uni">http://www.cissp-gefluester.de/2012-09-steht-ein-manta-fahrer-vor-der-uni</a>
        <br>
        Blog:
        <a style="color:grey !important;text-decoration:none !important" href="http://www.goebel-consult.de/blog/qualifikation-zahlt-sich-nicht-aus">http://www.goebel-consult.de/blog/qualifikation-zahlt-sich-nicht-aus</a>
      </p><p style="color:grey;font-size:smaller">
        Goebel Consult ist Mitglied bei <a style="color:grey
          !important;text-decoration:none !important" href="http://www.7-it.de/">http://www.7-it.de/</a>
      </p>
    </div>
  </div>

_______________________________________________<br>SAGE mailing list<br><a href="mailto:SAGE@guug.de">SAGE@guug.de</a><br><a href="http://lists.guug.de/mailman/listinfo/sage">http://lists.guug.de/mailman/listinfo/sage</a><br></blockquote></div><br><div>
<span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; ">--&nbsp;<br>Dr. Erwin Hoffmann | FEHCom |&nbsp;<a href="http://www.fehcom.de">http://www.fehcom.de</a>&nbsp;| PGP Key-Id: 7E4034BE<br><br></span>
</div>
<br></div></body></html>