<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Hi,<div><br></div><div><br><div><div>Am 21.10.2013 um 12:55 schrieb Hartmut Goebel:</div><br class="Apple-interchange-newline"><blockquote type="cite">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div text="#000000" bgcolor="#FFFFFF">
Hallo,<br>
<br>
ich suche eine DNS-Firewall bzw. einen DNS-Resolver, der folgendes
kann:<br>
<br>
1) Forwarding "interner" Zonen an den internen Resolver (wie üblich)<br>
2) Für zugelassene Clients werden werden *bestimmte* FQDNs an den
externen Resolver weitergeleitet.<br>
<br>
zu 2) stelle ich mir eine Liste vor:<br>
<br>
10.10.10.10 <a class="moz-txt-link-abbreviated" href="http://www.xing.de/">www.xing.de</a> A,AAAA<br>
10.10.10.20 <a href="http://download.kleinweich.com">download.kleinweich.com</a> A,AAA<br>
10.10.10.42 *.nix-spam.de TXT<br>
<br></div></blockquote><div><br></div><div>Also, wenn ich richtig verstehe, sind 10.10.10.x die IPs der 'zugelassenen' Clients. </div><div><br></div><div>Also, eine ganz einfache Lösung kenne ich auch nicht, aber ich kann mal einen Workaround skizzieren:</div><div><br></div><div>1. Aufsetzen zweier DNS Server; der eine für 1) der andere für 2)</div><div>2. Der 2) DNS Server nimmt nur Anfragen von den Clients an, wie gewünscht. Er besitzt die reduzierte Datenbasis.</div><div>3. Die Clients erhalten dann in /etc/resolv.conf die IP-Adressen der Nameserver. </div><div><br></div><div>Die Clients schauen auf den beiden Servern nach. Für nicht aufgeführte Adressen gibt es ein NXDOMAIN oder SERVFAIL (muss ich selber nachschauen). </div><div><br></div><div>Das Szenario lässt sich mit DNS Content oder auch mit Cache-Servern realisieren, z.B. mittels DJBDNS (TinyDNS+DNSCache). </div><div><br></div><div>Ob's bei anderen Produkten geht, müsstest Du selbst prüfen. </div><div><br></div><div>Sowas läuft unter dem Begriff 'Split Horizon'. </div><div><br></div><div>mfg.</div><div>--eh. </div><div><br></div><br><blockquote type="cite"><div text="#000000" bgcolor="#FFFFFF">
Mit bind kann man das m.E. nicht, da bind immer Zonen-basiert
arbeitet.<br>
<br>
Kennt jemand entsprechende Software (Unix-basiert)?<br>
<br>
-- <br>
<div class="moz-signature"><span style="color:black">
Schönen Gruß <br>
Hartmut Goebel <br>
</span>
<span style="font-size:smaller">Dipl.-Informatiker (univ), CISSP,
CSSLP</span><br>
<span style="font-size:smaller">Information Security Management,
Security Governance, Secure Software Development</span><p style="color:black" lang="de">
Goebel Consult, Landshut <br>
<a style="color:black" href="http://www.goebel-consult.de/">http://www.goebel-consult.de</a>
</p><p style="color:grey;font-size:smaller">
Monatliche Kolumne:
<a style="color:grey !important;text-decoration:none !important" href="http://www.cissp-gefluester.de/2012-09-steht-ein-manta-fahrer-vor-der-uni">http://www.cissp-gefluester.de/2012-09-steht-ein-manta-fahrer-vor-der-uni</a>
<br>
Blog:
<a style="color:grey !important;text-decoration:none !important" href="http://www.goebel-consult.de/blog/qualifikation-zahlt-sich-nicht-aus">http://www.goebel-consult.de/blog/qualifikation-zahlt-sich-nicht-aus</a>
</p><p style="color:grey;font-size:smaller">
Goebel Consult ist Mitglied bei <a style="color:grey
!important;text-decoration:none !important" href="http://www.7-it.de/">http://www.7-it.de/</a>
</p>
</div>
</div>
_______________________________________________<br>SAGE mailing list<br><a href="mailto:SAGE@guug.de">SAGE@guug.de</a><br><a href="http://lists.guug.de/mailman/listinfo/sage">http://lists.guug.de/mailman/listinfo/sage</a><br></blockquote></div><br><div>
<span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; ">-- <br>Dr. Erwin Hoffmann | FEHCom | <a href="http://www.fehcom.de">http://www.fehcom.de</a> | PGP Key-Id: 7E4034BE<br><br></span>
</div>
<br></div></body></html>