[sage] Suche DNS-Firewall oder speziellen DNS-Resolver
Erwin Hoffmann
feh at fehcom.de
Mon Oct 21 13:23:49 CEST 2013
Hi,
Am 21.10.2013 um 12:55 schrieb Hartmut Goebel:
> Hallo,
>
> ich suche eine DNS-Firewall bzw. einen DNS-Resolver, der folgendes kann:
>
> 1) Forwarding "interner" Zonen an den internen Resolver (wie üblich)
> 2) Für zugelassene Clients werden werden *bestimmte* FQDNs an den externen Resolver weitergeleitet.
>
> zu 2) stelle ich mir eine Liste vor:
>
> 10.10.10.10 www.xing.de A,AAAA
> 10.10.10.20 download.kleinweich.com A,AAA
> 10.10.10.42 *.nix-spam.de TXT
>
Also, wenn ich richtig verstehe, sind 10.10.10.x die IPs der 'zugelassenen' Clients.
Also, eine ganz einfache Lösung kenne ich auch nicht, aber ich kann mal einen Workaround skizzieren:
1. Aufsetzen zweier DNS Server; der eine für 1) der andere für 2)
2. Der 2) DNS Server nimmt nur Anfragen von den Clients an, wie gewünscht. Er besitzt die reduzierte Datenbasis.
3. Die Clients erhalten dann in /etc/resolv.conf die IP-Adressen der Nameserver.
Die Clients schauen auf den beiden Servern nach. Für nicht aufgeführte Adressen gibt es ein NXDOMAIN oder SERVFAIL (muss ich selber nachschauen).
Das Szenario lässt sich mit DNS Content oder auch mit Cache-Servern realisieren, z.B. mittels DJBDNS (TinyDNS+DNSCache).
Ob's bei anderen Produkten geht, müsstest Du selbst prüfen.
Sowas läuft unter dem Begriff 'Split Horizon'.
mfg.
--eh.
> Mit bind kann man das m.E. nicht, da bind immer Zonen-basiert arbeitet.
>
> Kennt jemand entsprechende Software (Unix-basiert)?
>
> --
> Schönen Gruß
> Hartmut Goebel
> Dipl.-Informatiker (univ), CISSP, CSSLP
> Information Security Management, Security Governance, Secure Software Development
> Goebel Consult, Landshut
> http://www.goebel-consult.de
>
> Monatliche Kolumne: http://www.cissp-gefluester.de/2012-09-steht-ein-manta-fahrer-vor-der-uni
> Blog: http://www.goebel-consult.de/blog/qualifikation-zahlt-sich-nicht-aus
>
> Goebel Consult ist Mitglied bei http://www.7-it.de/
>
> _______________________________________________
> SAGE mailing list
> SAGE at guug.de
> http://lists.guug.de/mailman/listinfo/sage
--
Dr. Erwin Hoffmann | FEHCom | http://www.fehcom.de | PGP Key-Id: 7E4034BE
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.guug.de/pipermail/sage/attachments/20131021/e52c0a74/attachment-0001.htm
More information about the SAGE
mailing list