DNS Umgebung testen

[Ente19]

Guten Tag,

ich habe hier schon diverse Threads wegen der Installation von SELinux und Gentoo sowie auch DNS Server geschrieben, noch läuft es nicht, aber ich habe zu "100pro" tests noch eine Frage.

100pro kann man den kram doch nur testen wenn man ein abgeschlossenes netz hat. Da ein DNS aber auch die ROOT Server fragen wird, muss man für einen richtigen Test doch diese nachbilden und auf den "eigenen" diese "falsch" angeben, oder? Ich möchte zwei DNS Server aben Master Slave, und zwei bzw. einen resolver aufsetzen. In zukunft wird dann dort in der Testumgebung noch ein Mailserver laufen. Ich habe ein Netz von 20 PC´s zur verfügung, das sollte reichen.

Wäre sehr erfreut wenn ich hier gedanken, Tipps und Diskussionen von euch bekommen könnnte. Klar kann man jeden DNS Dienst einzeln testen. Aber ich möchte diese dann live im Internet betreiben, und möchte den Verantwortlichen auch einen Umfangreichen Test zeigen.

Danke für eure Hilfe....
_________________
--
Gruß
Sascha

[toskala]

ich habe absolut keine idee was du eigentlich willst. vielleicht drückst du dich mal genauer aus, damit man auch versteht was du willst.
_________________
adopt an unanswered post
erst denken, dann posten

[Ente19]

Ich will DNS Server installieren, diese in einem Abgeschlossen Netz (Intranet) Testen. Für die Server soll das aber aussehen wie das internet... Und genau die selben wege sollen bei Abfragen gemacht werdne.

Soweit sollte das doch verständlich sein.

Da man im Internet zwei DNS Server mindestens braucht, will ich einen Master und einen Slave aufbauen. Und da keiner dieser Server "direkt" gefragt werden sollte von Clients, benötige ich mindestens einen resolver. Damit habe ich schon 3 Server stehen.

So wenn man mit einem Client nun in der /etc/resolv.conf den resolver einträgt und dann einen eintrag abfragen will Beispielsweise so

"dig @RESOLVER_IP a www.example.com"

dann wird der resolver versuchen an hand der ROOT Server den zuständigen DNS zu finden. Da ich aber ein abgeschlossenes Netz habe, gibt es diese rootserver nicht. Und da ich auch komplett funktionsfähige Domainen aus dem Internet selber auf meiner Umgebung abbilden möchte, nutzt es mir nichts wenn ich dazu einen Verbindung ins Netz aufbauen kann.

Ich muss nun also wissen wie ich dem Resolver erklären kann wo der rootserver steht (den werde ich dann auch noch aufbauen müssen) und zu guter letzt muss ich dazu wissen wie ein rootserver konfi´guriert ist. Aslo wie dort die Zonen aussehen. Ich weiß das ein rootserver keine rekursiven Anfragen macht... etc.

Wenn dies alles erledigt ist, dann kann man doch erst von einer "abbildung" des Internet reden, bzw. von einer "testumgebung". Denke cih mir zumindst so.

Und zusätlich, wenn ich einmal einen Mailserver testen will, dann kann ich diesen ja auch ganz einfach in diese Umgebugn einbauen. Denn ich habe dann ja mein eigenes Internet. Nun vielleicht vestanden, wenn nicht dann sag mir bitte wo genau was unklar ist und was du verstanen hsat. danke
_________________
--
Gruß
Sascha

[toskala]

jetzt ist es wesentlich klarer was du willst.
naja, ich empfehle dir dich mit bind auseinanderzusetzen. kauf dir am besten ein gutes buch und lies es durch. was du hier basteln willst ist etwas komplexer als nur mal eben so, wenn du das alles so durchziehen willst wie du das beschreibst, dann musst du zuerst mal fit mit bind werden.

zu empfehlen ist das bind9 buch von o'reilly.

viel erfolg
_________________
adopt an unanswered post
erst denken, dann posten

[Haldir]

Wenn ich das jetzt richtig kapiere, du willst ein geschlossenes Internet simulieren, aber zum testen von was?
Ich glaub dein Testcase ist schwer Overkill.

Ums kurz zu machen, schlag inner Bind doku unter root.hint nach, die darfst dann verändern damit dein resolver immer denkt es gäbe nur einen Root(deinen) der für alles zuständig ist. Dann kannst da ein paar Testdomains eintragen die auf verschiedene Ips zeigen.

Ansonsten empfehl ich dir nochmal die Bind doku zu lesen. Ob du jetzt deinen Resolver für alle TestDomains konfigurierst, oder ob du noch einige extra Server aufstellst, ist vollkommen egal. Dein Master/Slave ist nur ein Redundanzfeature und ist ansonsten vollkomen egal (auch in Bezug auf "Da man im Internet zwei DNS Server mindestens braucht"), genauso wird es dem Testen deines Mailservers nicht hilfreicher sein wenn du 3 DNS Server hast anstatt nur Einen
Du kannst genauso deinem Resolver so konfigurieren dass er für deine TestDomains Antworten direkt liefert, aber sicherlich auch so übertreiben, dass man zwei DNS Server Master/Slave hinstellt die dann über einen Resolver angesprochen werden. Wird nur komplizierter und bringen tut es imho rein gar nichts.

Daher solltest du vielleicht mal deine Gründe für dieses leicht aufgemotzte Testszenario darlegen, damit dir professionelle Hilfe zuteil wird

[Ente19]

Verstanden hast du das, und das es im Prinzip "overkill" ist weiß ich auch. Aber ich will/muss entscheidern sowas erstellen.

Die Testumgebung soll später auch genauso laufen. Und im INternet ist es Beispielsweise vom Denic eine Regel das es pro Domain zwei Server geben muss. Da ich auch hier dann das verhalten von Master/Slave testen muss brauche ich diesen aufbau. Das all dies ein DNS Sever unter bind kann, das weiß ich. Aber ich will das so machen wie es im Internet ist machen.

Ich möchte dann auch jedem Server nur das erlauben was er unbedingt muss, das dann natürlich auch testen. Wenn ich also alles auf einem Server mache, dann muss ich die Firewall später im Livebetribe im realten Internet wieder neu testen und bearbeiten. Es soll wie gesagt ein voller und 100%iger Test sein. So das prinzipjell nur die Zonen gelöscht werdne müssen und die Server ins Rechenzentrum gesetllt werden müßten.

Bitte keine Kommentarte mehr, das sei alles Überdemensioniert, die Diskussion habe ich intern schon geführt, und glaubt mir, da bin ich eurer Meinung. Aber es ist nunmal als "gesetzt" zu betrachten.

Also die bind Bücher habe cih hier, und die root.hints werde ich entsprechend bearbeiten. Weiß denn jemadn wie ein "root" server sich verhält... oder antwortet der nur nicht rekursiv und delegiert so alles zu den entsprechenden Servern? Ist das wirklich alles?
_________________
--
Gruß
Sascha

[Haldir]

Du kannst dir http://european.orsn.net/tech.php
anschauen, da ists zumindest teilweise beschrieben wie die Open Root Server funktionieren, ansonsten gibts dazu noch mind. ein RFC dokument zu

[Ente19]

Danke, das hilft mir sicher weiter, aber vom gedanken her ist doch so wie ich mir das gedacht habe alles korrekt, oder?

Also so läßt sich doch ein "internet" komplett nachbilden, oder? Abgesehen davon das einige Router noch dazwischen ärger machen können, wovon nicht auszugehen sein sollte wenn man ordentliche Provider hat ;)
_________________
--
Gruß
Sascha

[Haldir]

[Ente19]

Das ich nicht alle Domains aus dem INternet abbilden kann weiß ich auch. Sorry, aber das ist doch wohl klar, ich muss die ja auch auf meinen Servern dann erst anlegen.

Ich sage es nochmal, ich will eine Umgebung haben die genau so im Internet, bzw. bei uns im Rechenzentrum laufen kann. Und da router auch Fehlerquellen in Netzen sind, habe ich das aufgeschrieben.

Ich möchte in einer realen Umgebung die Konfiguration testen...
_________________
--
Gruß
Sascha

[Haldir]

Ich glaub du mischt hier zuviele Themen

Aber egal, mach ruhig, grundsätzlich spricht nichts dagegen wie dus Testen willst

[Ente19]

Ich will ja nicht alles auf einmal testen, aber wäre doch gut wenn man sich jetzt schon gedanken macht, dann braucht man die Umgebung und die Tests nicht immer neu erstellen.

Und wie schon geschrieben... von mir aus ist ein DNS auch nicht ganz so schwirig. Aber diverse Leute wollen es immer erste "sehen"
_________________
--
Gruß
Sascha