/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
DNS Doctoring
Fra : Kristian Krautwald


Dato : 25-01-04 23:24

Hej Gruppe,

Da Cisco ikke tillader at gå ind og ud af samme interface, fik jeg den
ide at benytte Alias kommandoen[1] i Pix'en[2]

Derfor konfigurerede jeg Pix'en til at ændre mine DNS forespørgsler på
eksterne IP til interne IP, så jeg kunne ramme min server[3] på dens
public DNS navn istedet for dens interne DNS navn.

Ja, det virker ikke! Efter tømming af arp cachen på min PC virker intet.
Jeg kan ikke pinge serverens interne IP adresse mere, eller se den via
public DNS navn. Det fatter jeg simpelthen ikke, da jeg ikke kan se
årsagen til at Pix'en 'blander' sig i den forspørgsel, da min PC og
server er på samme net. En debug fortæller mig ikke årsagen, ihvertfald
ikke en årdag jeg kan se!

Og har man kun mulighed for at benytte Alias, når DNS serveren står på
ydersiden af firewallen - og ikke som jeg har det, nemlig på indersiden?

[1] alias (inside) PrivateIP.20 PublicIP.11 255.255.255.255
[2] Pix'en er default gateway for det interne net
[3] Webserver, DNS server og Global Catalog server på samme maskine.

--
Hilsen
Kristian Krautwald
--
Med venlig hilsen
Kristian Krautwald

 
 
Peter Larsen (25-01-2004)
Kommentar
Fra : Peter Larsen


Dato : 25-01-04 23:33

Kristian Krautwald wrote:

> Hej Gruppe,
>
> Da Cisco ikke tillader at gå ind og ud af samme interface, fik jeg den
> ide at benytte Alias kommandoen[1] i Pix'en[2]

Hvad var der galt med en split dns?

Jeg kender ikke Pix produktet, men det lyder ikke som en løsning der er
så smart igen ;)

--
regards, Peter Larsen

Kristian Krautwald (26-01-2004)
Kommentar
Fra : Kristian Krautwald


Dato : 26-01-04 00:15

In newsgroup dk.edb.netvaerk wrote, Peter Larsen, this, the Sun, 25 Jan
2004 23:33:03 +0100:

Hello Peter Larsen,

>Hvad var der galt med en split dns?

Skal jeg så ikke bruge to DNS servere?


--
Med venlig hilsen
Kristian Krautwald

Peter Larsen (26-01-2004)
Kommentar
Fra : Peter Larsen


Dato : 26-01-04 17:36

Kristian Krautwald wrote:

> In newsgroup dk.edb.netvaerk wrote, Peter Larsen, this, the Sun, 25
> Jan 2004 23:33:03 +0100:
>
> Hello Peter Larsen,
>
>>Hvad var der galt med en split dns?
>
> Skal jeg så ikke bruge to DNS servere?

nej

du laver blot en "dobbelt" opsætning hvor der lyttes på en intern ip og
en extern ip. det kan i øvrigt være samme netkort.

Nu ved jeg så ikke hvad software vi snakker, men prøv google ..

--
regards, Peter Larsen

Martin Bilgrav (27-01-2004)
Kommentar
Fra : Martin Bilgrav


Dato : 27-01-04 23:01


"Kristian Krautwald" <kristian@krautw!Fjerndette!ald.dk> wrote in message
news:gfg81058ekbh5v8trsnhr0p5s8dupon1f5@4ax.com...
> Hej Gruppe,

Davs Hr. Krautwald,
Går det godt ?
Hvor er du henne nu om dage ? (Drop lige en mail til mig)

>
> Da Cisco ikke tillader at gå ind og ud af samme interface, fik jeg den
> ide at benytte Alias kommandoen[1] i Pix'en[2]
Hmm - alias er unsupported, dog stadig meget brugt...og hadet
Husk at der er TO forskellige måder at benytte den på !
Læs Cisco "man" page for PIXOS
http://www.cisco.com/warp/customer/110/alias.pdf
eller denne (samme)
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a0080094aee.shtml

Faktisk godt paper ...
Men nu hvor du selv har sagt det (Da Cisco ikke tillader at gå ind og ud af
samme interface) eller retteere PIX'en ikke tillader det,
Så er det jo heller ikke specielt "smart" at bruge den som gateway, vel ?
(You asked for it!)
Nok derfor du har arp problemer...måske


>
> Derfor konfigurerede jeg Pix'en til at ændre mine DNS forespørgsler på
> eksterne IP til interne IP, så jeg kunne ramme min server[3] på dens
> public DNS navn istedet for dens interne DNS navn.
>
Den forstår jeg ikke lige...mener du din alias commando ?

> Ja, det virker ikke! Efter tømming af arp cachen på min PC virker intet.
> Jeg kan ikke pinge serverens interne IP adresse mere, eller se den via
> public DNS navn. Det fatter jeg simpelthen ikke, da jeg ikke kan se
> årsagen til at Pix'en 'blander' sig i den forspørgsel, da min PC og
> server er på samme net. En debug fortæller mig ikke årsagen, ihvertfald
> ikke en årdag jeg kan se!
Du bruger PIx som gateway... .)
Hvad skulle du opnå ved at tømme arpcache'en ? Det er jeg heller ikke helt
med.
Din Alias er opsat til DNS doctoring, som ikke har noget med din arp at
gøre....
blot ændre i DNS svar (PTR osv)

>
> Og har man kun mulighed for at benytte Alias, når DNS serveren står på
> ydersiden af firewallen - og ikke som jeg har det, nemlig på indersiden?
>
se doc's


> [1] alias (inside) PrivateIP.20 PublicIP.11 255.255.255.255
> [2] Pix'en er default gateway for det interne net
> [3] Webserver, DNS server og Global Catalog server på samme maskine.

Og nu her hvor du sikkert allerede har spildt en masse tid, så prøv engang
at nærlæse cmd-ref på Static commandoen...
Specielt det der står med småt omkring tillæg commandoen "dns"
8)
Denne er den supportede version af DNS doctoring/Destination-NAT.
Se denne:
http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_command_reference_chapter09186a00801cd841.html#1026694
*Mind the URL wrapping*
[no] static [(local_ifc,global_ifc)] {tcp | udp} {global_ip | interface}
global_port {local_ip local_port [netmask mask] | access-list acl_name}
[dns] [norandomseq] [max_conns [emb_limit]]

dns: Rewrites the local address in DNS replies to the global address.


Denne side er god:
http://www.cisco.com/pcgi-bin/Support/browse/psp_view.pl?p=Hardware:PIX&viewall=true
næst sidst er cmd-ref

Ellers prøv i usenet gruppen: news://comp.dcom.sys.cisco
Der er mange der har haft lige netop dit problem, og som er klar til at
svare.


HTH
MartinSNABLEABilgravDOTdk


>
> --
> Hilsen
> Kristian Krautwald
> --
> Med venlig hilsen
> Kristian Krautwald



Kristian Krautwald (28-01-2004)
Kommentar
Fra : Kristian Krautwald


Dato : 28-01-04 22:47

In newsgroup dk.edb.netvaerk wrote, Martin Bilgrav, this, the Tue, 27
Jan 2004 23:00:36 +0100:

Hello Martin Bilgrav,

>> Da Cisco ikke tillader at gå ind og ud af samme interface, fik jeg den
>> ide at benytte Alias kommandoen[1] i Pix'en[2]
>Hmm - alias er unsupported, dog stadig meget brugt...og hadet

Hadet, ja!

>http://www.cisco.com/warp/customer/110/alias.pdf

Ja, den læste jeg før jeg gik igang.

>Så er det jo heller ikke specielt "smart" at bruge den som gateway, vel ?
>(You asked for it!)
>Nok derfor du har arp problemer...måske

ah.. at have Pix'en som default gateway burde vel være godt nok[tm].

>> Derfor konfigurerede jeg Pix'en til at ændre mine DNS forespørgsler på
>> eksterne IP til interne IP, så jeg kunne ramme min server[3] på dens
>> public DNS navn istedet for dens interne DNS navn.
>
>Den forstår jeg ikke lige...mener du din alias commando ?

Når Alias kommandoen skrives ind i Pix'en, stopper al trafik fra PC til
Server. Ingen retur af pakker fra serveren.

Tænk dette scenario:

Jeg pinger på serveren's interne IP fra min PC, og når jeg taster Alias
kommandoen ind i Pix'en og tømmer PC'ens ARP, stopper ping med at virke.

>Du bruger PIx som gateway... .)

Ja? Hvad burde det have af indvirkning? Både PC og Server er på samme
net, ergo spørger mit ping ikke default gateway om vej!

>Hvad skulle du opnå ved at tømme arpcache'en ? Det er jeg heller ikke helt
>med.
>Din Alias er opsat til DNS doctoring, som ikke har noget med din arp at
>gøre....blot ændre i DNS svar (PTR osv)

Jeg tømmer ARP for at sikre at der ikke er lavet et navneopslag og
derved pinger den forkerte IP.

Hvis jeg har pinget www.mitdomain.dk og får en IP adresse på
192.168.235.20, og ikke tømmer ARP cache efter alias kommandoen, vil jeg
igen pinge samme ip adresse. Kun en sikring for at dette ikke forvirre
mig.

>> Og har man kun mulighed for at benytte Alias, når DNS serveren står på
>> ydersiden af firewallen - og ikke som jeg har det, nemlig på indersiden?
>>
>se doc's

Det skriver de rigtigt nok, men det burde da virke alligevel.

>Og nu her hvor du sikkert allerede har spildt en masse tid, så prøv engang
>at nærlæse cmd-ref på Static commandoen...
>Specielt det der står med småt omkring tillæg commandoen "dns"
>dns: Rewrites the local address in DNS replies to the global address.

Keyword er Global Address. Min Global Address er ikke den samme som mit
Public IP til serveren. Ergo virker dns i min static ikke!

>Ellers prøv i usenet gruppen: news://comp.dcom.sys.cisco
>Der er mange der har haft lige netop dit problem, og som er klar til at
>svare.

Hvad har de gjort ved det?

Dog skrev Peter Larsen om Split-Horizon DNS, som jeg er ved at kigge på.
Det var faktisk den funktion, jeg ledte efter, men mente at min Elskede
Pix kunne klare ærterne for mig, især da jeg mente at vide at SH-DNS
involerede to DNS-Servere, men åbenbart ikke!

Jeg ved intet om SH-DNS på MS....?!?


--
Med venlig hilsen
Kristian Krautwald

Martin Bilgrav (29-01-2004)
Kommentar
Fra : Martin Bilgrav


Dato : 29-01-04 00:18


"Kristian Krautwald" <kristian@krautw!Fjerndette!ald.dk> wrote in message
news:ft9g101qif1n746vfbo30ana7q9cpup1md@4ax.com...
> In newsgroup dk.edb.netvaerk wrote, Martin Bilgrav, this, the Tue, 27
> Jan 2004 23:00:36 +0100:
>
> Hello Martin Bilgrav,
>
> >> Da Cisco ikke tillader at gå ind og ud af samme interface, fik jeg den
> >> ide at benytte Alias kommandoen[1] i Pix'en[2]
> >Hmm - alias er unsupported, dog stadig meget brugt...og hadet
>
> Hadet, ja!

8)

>
> >http://www.cisco.com/warp/customer/110/alias.pdf
>
> Ja, den læste jeg før jeg gik igang.

ok


>
> >Så er det jo heller ikke specielt "smart" at bruge den som gateway, vel ?
> >(You asked for it!)
> >Nok derfor du har arp problemer...måske
>
> ah.. at have Pix'en som default gateway burde vel være godt nok[tm].

Ikke altid, pga den ikke kan sende redirects.


>
> >> Derfor konfigurerede jeg Pix'en til at ændre mine DNS forespørgsler på
> >> eksterne IP til interne IP, så jeg kunne ramme min server[3] på dens
> >> public DNS navn istedet for dens interne DNS navn.
> >
> >Den forstår jeg ikke lige...mener du din alias commando ?
>
> Når Alias kommandoen skrives ind i Pix'en, stopper al trafik fra PC til
> Server. Ingen retur af pakker fra serveren.

now thats wierd !


>
> Tænk dette scenario:
>
> Jeg pinger på serveren's interne IP fra min PC, og når jeg taster Alias
> kommandoen ind i Pix'en og tømmer PC'ens ARP, stopper ping med at virke.
>
> >Du bruger PIx som gateway... .)
>
> Ja? Hvad burde det have af indvirkning? Både PC og Server er på samme
> net, ergo spørger mit ping ikke default gateway om vej!
>
> >Hvad skulle du opnå ved at tømme arpcache'en ? Det er jeg heller ikke
helt
> >med.
> >Din Alias er opsat til DNS doctoring, som ikke har noget med din arp at
> >gøre....blot ændre i DNS svar (PTR osv)
>
> Jeg tømmer ARP for at sikre at der ikke er lavet et navneopslag og
> derved pinger den forkerte IP.

hmm - såvidt jeg ved, har ARP ikke noget med DNS at gøre, prøv hellere
ipconfig /flushdns
eller det kendte Reg-hack så w2k ikke cacher DNS.

Hvordan tester du ?
Har du en cmd-box kørende med ping -t og cleare arp ?
Prøv evt at starte en nyt cmd-box, efter du har clear'et og prøv det igen.

>
> Hvis jeg har pinget www.mitdomain.dk og får en IP adresse på
> 192.168.235.20, og ikke tømmer ARP cache efter alias kommandoen, vil jeg
> igen pinge samme ip adresse. Kun en sikring for at dette ikke forvirre
> mig.

Nu ved jeg ikke om den IP du giver som eks, er på samme LAN segment som din
PC, men ARP bliver kun husket på eget segment.
Desuden, hvis din alias virker, vil du jo ikke ping samme IP.

>
> >> Og har man kun mulighed for at benytte Alias, når DNS serveren står på
> >> ydersiden af firewallen - og ikke som jeg har det, nemlig på
indersiden?
> >>
> >se doc's
>
> Det skriver de rigtigt nok, men det burde da virke alligevel.
>
> >Og nu her hvor du sikkert allerede har spildt en masse tid, så prøv
engang
> >at nærlæse cmd-ref på Static commandoen...
> >Specielt det der står med småt omkring tillæg commandoen "dns"
> >dns: Rewrites the local address in DNS replies to the global address.
>
> Keyword er Global Address. Min Global Address er ikke den samme som mit
> Public IP til serveren. Ergo virker dns i min static ikke!

er dette noget du har prøvet, eller gætter du bare ? 8)
Global er da din public i dette senarie.

>
> >Ellers prøv i usenet gruppen: news://comp.dcom.sys.cisco
> >Der er mange der har haft lige netop dit problem, og som er klar til at
> >svare.
>
> Hvad har de gjort ved det?
Kan jeg da ikke huske.... google is your friend.
http://groups.google.com/groups?hl=en&lr=&ie=UTF-8&oe=UTF-8&q=dns+doctoring


>
> Dog skrev Peter Larsen om Split-Horizon DNS, som jeg er ved at kigge på.
> Det var faktisk den funktion, jeg ledte efter, men mente at min Elskede
> Pix kunne klare ærterne for mig, især da jeg mente at vide at SH-DNS
> involerede to DNS-Servere, men åbenbart ikke!
>
> Jeg ved intet om SH-DNS på MS....?!?
Heller ikke her...


>
>
> --
> Med venlig hilsen
> Kristian Krautwald



Martin Bilgrav (29-01-2004)
Kommentar
Fra : Martin Bilgrav


Dato : 29-01-04 00:39

AHH - Ser det først nu ...

Er din DNS server ikke opstillet på dmz, eller på anden måde således at dine
DNS queries flows gennem PIX ?
I så fald kommer det ikke til at virker - pakkerne skal gennem PIX'en
interfaces på een eller anden måde.

Så enten skal du opsætte local DNS, altså en DNS som set fra PC clients side
benyttes først, og derfor skal holde en zone fil, med private IP, mens din
anden DNS holder den rigtige zonefil med public DNS. Eller hosts filer på
POC clients.

Det med splitDNS ved jeg virker på unix, men har kun læst at det skulle
virke på win2k servers.
Views i BIND 9 hedder det vist.


Faldt over dette:

If you do not have a DMZ, then you have three choices:

A) Put your DNS server outside your network entirely, and
configure an 'alias' command on your PIX; or

B) Use a different DNS server for internal clients than for
external clients; or

C) Use 'split DNS' -- that is, configure your [BIND 9] DNS server
so that it gives back different answers to local people than
to remote people.



Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408946
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste