MS PRESS zu 70-291 / DNS Frage / Beispiel 2

[schusterharry 10]

so, ebenfalls wieder Seite 219 / MS PRESS zu 70-291..................nun aber Beispiel 2 / Abbildung 5.5

 

DNS Clients , ein DNS Server (1) , dann eine Firewall und dann wieder ein DNS Server (2)

 

Nun ist am DNS Server 1 eine Weiterleitung auf DNS Server 2 eingerichtet und auf DNS Server 2 ebenfalls wieder eine Weiterleitung

 

1.) auch hier wieder die Frage: wieso muss auf Server 2 eine Weiterleitung eingerichtet werden? Der Server würde doch automatisch die STammserver fragen wenn er nicht antworten kann...oder ist hier mit Weiterleitung nicht gemeint das ich das extra eintragen muss sondern das das eben eh automatisch passiert...stehts also nur so da weil auch eine Weiterleitung dann eine Weiterleitung ist wenn ich nix extra eintrage *verwirrtbin*

 

 

So nun steht im Buch geschrieben:

 

Ein anderer häufig genutzter Anwendungsbereich für die Weiterleitung besteht darin DNS Servern und Clients innerhalb einer Firewall zu ermöglichen externe Namen auf sichere Weise aufzulösen.

Wenn ein interner DNS Server oder Client mittels iterativer Abfrage (versteh ich nicht-ich dachte CLIENTS fragen andere DNS Server normal immer rekursiv ab-wieso steht hier auf einmal was von iterativ) mit externen Servern kommuniziert müssen die für die Kommunikation mit allen externen Servern verwendeten Ports normalerweise über die Firewall hinweg offen sein.

Wenn sie einen DNS Server innerhalb einer Firewall jedoch für das Weiterleiten der Abfrage an eine einzelne DNS Weiterleitung ausserhalb der Firewall konfigurieren und Ports anschliessend nur für diese Weiterleitung öffnen können sie Namen auflösen ohne Ihr Netzwerk für externe Server zugänglich zu machen

 

So, und da steig ich nun entgültig aus.......verwendet ein DNS Server denn für eine "normale" Abfrage andere Ports als wenn er eine Abfrage an einen anderen DNS Server weiterleitet?

Kann mir das was da oben steht irgendjemand einfach erklären?

 

danke

 

mfg

 

harry

[IThome 10]

Nein, er verwendet TCP/UDP 53, Du kannst aber Deinen Firewall so konfigurieren, dass als Ziel nur die eine IP-Adresse und als Quelle die andere IP-Adresse konfiguriert wird. Lässt Du die Auflösung über die Root zu (auch ein Client kann iterativ auflösen, wenn er vom Server den entsprechenden Verweis bekommt), dann müsstest Du alle externen IP-Adressen (zum Port 53) von allen internen Adressen (mit allen Clientports) zulassen , da Du ja nicht wissen kannst, welche IP-Adressen die Root-Nameserver im Moment haben (die werden zwar selten geändert, kann aber schon sein)

[dark-knight 10]

1.) auch hier wieder die Frage: wieso muss auf Server 2 eine Weiterleitung eingerichtet werden? Der Server würde doch automatisch die STammserver fragen wenn er nicht antworten kann...oder ist hier mit Weiterleitung nicht gemeint das ich das extra eintragen muss sondern das das eben eh automatisch passiert...stehts also nur so da weil auch eine Weiterleitung dann eine Weiterleitung ist wenn ich nix extra eintrage *verwirrtbin*

 

MS scheint m.E. nicht zu meinen das du auf dem 2.Server eine Weiterleitung einrichten sollst, sondern eher dass das der Server ist den die Weiterleitung erreicht.

Dies scheint auch in Beispiel 5.4 gemeint zu sein.

Ich glaube MS hat versucht, das ganze detailreich zu erklären und ist ein wenig über das Ziel hinausgeschossen.

 

mfg Dark-Knight

[IThome 10]

Ich habe das Bild zwar nicht, denke aber auch, dass die Weiterleitung vom ersten zum zweiten durch die Firewall gemeint ist, der dann wie auch immer selbst den Namen auflöst und zurückliefert. So lässt sich die Firewall dichter machen als ohne Weiterleitung (in diesem Fall eine Quelle und ein Ziel mit einem Port)