01. oktober 2004 - 11:46Der er
12 kommentarer og 1 løsning
DNS server inde bag en ISA firewall
Hej alle sammen
jeg har det lille problem, at jeg ikke kan få min dns server inde bag mit isa server til at lave zone-transfer til min anden dns server ude på internettet.
jeg køre windows 2003 server på de 2 dns servere og jeg køre windows 2003 server med isa 2004 på isa serveren.
jeg har haft det hele til at virker hvor begge dns server stod direkte online på to forskellige adresser men nu hvor den ene er blevet sat bag en ISA server har det ikke virker. det skal siges jeg har oprettet en dns-"publishing rule" på isa serveren. den primær dns server er den som er bag ISA serveren og den anden er den sekundær.
er der nogen der har haft samme problem eller har en ide eller en løsning til dette vil jeg blive glad da jeg har rodet med det i meget lang tid.
Point går til den/dem der hjælper mig på vejen til en løsning
det skal nok lige siges man kan godt se/slå dns op på den dns server inde bag isa'en, det er bare zone-transferen der ikke virker.
hvis jeg køre en "nslookup test.testdom.dk ns1.testdom.dk" får jeg godt nok et svar om det er ip 000.000.000.000 men det er zone-transferen til ns2.testdom.dk der ikke går igennem isa'en
Det som umiddelbart dukker opp i hukommelsen det er at vanlig dns oppslag skjer via UDP port 53 mens Zone transfer skjer via TCP port 53. (Derfor så passer man alltid på å åpne port 53 UDP men ikke 53 TCP når man ikke ønsker Zone transfer.) Tror dette er rett.
ja men porte er åbnet rigtigt, kan jeg se d fra jeres beskrivelser.
fordi port TDC Outbound 53 er åbnet som er den som skal være åbnet for at kunne lave zone-transfer til en server udenfor isa'en, den er blevet åbnet af guiden da jeg lavede en "publish dns server rule" men hvorfor virker det så ikke, er der nogen ideer til det?
hovsa jeg er vist kommet til at skrive TDC istedet for TCP, nå men..
ja trafikken er også åbnet i TCP Inbound 53 men det virker stadig ikke. jeg har sådan set åbnet de samme porte som der er beskrevet på MS linket som "plx" skrev, men selvom de er åbne kan der ikke blive lavet zone-transfer.
jeg kan ikke rigtigt forstå det ikke vil virke fordi sådan som jeg ser det hele så skulle det i teorien være rigtigt og virke.
Men det blir vel ikke TCP port 53 outbound og inbound ?!
Men noe av dette er kanskje tatt vare på indirekte ved at det er satt opp statefull inspection dvs dynamisk åpning for returtrafikk ? Kjører det andre serverfunksjoner bak firewall (slik at man ut i fra dette kan slutt et det finnes en statefull inspection "mekanisme" i funksjon) ? (Kjenner egentlig ikke prinsippenen for hvordan ISA server håndrerer dette, men går ut fra at prinsippene uansett må bli like.)
Skal vi se .. tror jeg har den her .. Zwicky, Chapman, Cooper: Building internet firewalls 2'nd edition, side 544:
Query or zone transfer requests from external server to internal server via TCP:
Direction: in, Source addr: Ext, Dest adr: Int, Protocol: TCP, Source port: > 1023, Dest port: 53, ACK Set: b
Direction: Out, Source addr: Int, Dest adr: Ext, Protocol: TCP, Source port: 53, Dest port: >1023, ACK Set: Yes
Dt betyr vel bare at output må stå åpen for alle porter høyere enn 1023 enten satt statisk eller at det skjer dynamisk gjennom et statefull inspection prinsipp.
Hej igen, jeg undskylder jeg ikke har svaret før nu, men jeg har ikke haft tid til at være her inde og så kikke på det.
men jeg har stadig ikke fået det til at virke, jeg kan ikke finde ud af hvad problemet er da det i loggen ser ud som om den åbner og accepter trasfer hver gang min sekundær server forespørger på det, så jeg tror jeg giver op og du får point for at gøre et forsøg... TAKKER for din tid.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.