|
|
|
|
|
Registrierungsdatum: Aug 2003
Ort: Gefängniss
Beiträge: 773
|
DNS-Server SPECIAL
seid gegrüsst
Ich habe wiedereinmal ein echten Spezialwunsch. Ich möchte mir einen Namensserver zulegen. Jedoch möchte ich den so einstellen, dass wenn man zb. www.blabla.sking auf die ip weitergeleitet wird...
Wie bewerkstellige ich das am besten? Ich würde gerne mehrer "tdl's" machen. zb: .sking / .css / .lix ect..
eigentlich etwa das selbe wie: http://www.opennic.unrated.net/
mit bestem dank
cyrtic
|
25. 03. 2005, 13:16
|
#1
|
|
Retreat
Registrierungsdatum: Aug 2000
Beiträge: 11.533
|
Das geht nicht (wirklich).
Du kannst in deiner Zone natürlich Topleveldomains definieren soviel du willst, solange die aber nicht autoritativ, d.h. von den Rootservern abgeleitet werden, funktioniert die Auflösung darauf nicht.
Das funktioniert nur, wenn die Clienten, wie bei OpenNIC z.b., Plugins benutzen, wo deine Rootzonen an deine Nameserver delegiert werden.
|
|
25. 03. 2005, 13:33
|
#2
|
|
(Threadstarter)
Registrierungsdatum: Aug 2003
Ort: Gefängniss
Beiträge: 773
|
also reicht es nicht wenn sie dann einfach meinen namensserver als dns-server eingeben?
cyrtic
|
|
25. 03. 2005, 20:06
|
#3
|
|
Mitglied
Registrierungsdatum: Jul 2003
Beiträge: 5.194
|
Zitat:
Original geschrieben von --cyrtic2000--
also reicht es nicht wenn sie dann einfach meinen namensserver als dns-server eingeben?
|
Doch, aber warum sollte das jemand machen wollen? Außerdem müsstest du dann auch den gesamten restlichen DNS-Traffic mitübernehmen und zu guter Letzt ist Bind nicht gerade unter Sicherheitsaspekten entwickelt, sodass er am sinnvollsten in einem chroot-Käfig laufen sollte, wenn man ihn direkt ans Ntz hängen will (oder die Maschine macht nix anderes und das Netz ist entsprechend abgesichert).
Gruß
|
|
26. 03. 2005, 00:14
|
#4
|
|
(Threadstarter)
Registrierungsdatum: Aug 2003
Ort: Gefängniss
Beiträge: 773
|
ja, soll für ein par kumpels und mich werden... wie viel traffic macht dass dann etwa wenn ich den ganzen anderen traffic auch noch mittragen muss?
cyrtic
|
|
26. 03. 2005, 11:55
|
#5
|
|
Retreat
Registrierungsdatum: Aug 2000
Beiträge: 11.533
|
Soviel es halt macht, wenn sämtliche DNS Anfragen für sämtliche Webseiten die du und deine Freunde aufrufen über deinen NS laufen.
|
|
26. 03. 2005, 12:02
|
#6
|
|
(Threadstarter)
Registrierungsdatum: Aug 2003
Ort: Gefängniss
Beiträge: 773
|
sagen wir mal, bei 100 personen werden dies nicht über 40gb sein??
cyrtic
|
|
26. 03. 2005, 12:08
|
#7
|
|
Mitglied
Registrierungsdatum: Jul 2003
Beiträge: 5.194
|
Zitat:
Original geschrieben von --cyrtic2000--
ja, soll für ein par kumpels und mich werden... wie viel traffic macht dass dann etwa wenn ich den ganzen anderen traffic auch noch mittragen muss?
|
Wenn es bei den paar Kumpels bleibt hält sich das im Rahmen - kommt halt darauf an, wieviele RRs die so abfragen und was die zu Hause alles haben.
Wenn einer davon einen amoklaufenden P2P-Client betreibt, der *jede* Connection rückwärts auflöst schnellt es arg in die Höhe, das können dann einige MB pro Stunde DNS-Traffic für dich werden (der Resolver hat mehr Traffic als der anfragende Client, da dieser sich ersteinmal "durchfragen" muss), außerdem cached Bind nur im RAM, das kann die Performance nach unten treiben (das kann man allerdings gut skalieren).
Ansonsten kannst du es dir selbst einmal hochrechnen - ein A-RR sind zwischen 75 und 250 Byte, inkl. additional section kommst du vielleicht auf 600B, das ist aber schon sehr viel.
Solange er "normal" anfragt und der Client auch cahed (was die allermeisten Clients vernünftig können, auch Windows) hält es sich im Rahmen. Schlimm sind, wie gesagt, nur amoklaufende Applikationen (ein kaputter Eseltreiber macht um die 40 Verbindungen/Sekunde, rechne das mal hoch - im schlimmsten Fall 40*500B/sekunde, also 20 KB/Sekunde Traffic für dich von diesem Client, wenn wirklich alles aufgelöst werden müsste plus die Anfragen und die Antwort an bzw. von den Clients - und das bleibt alles im RAM) oder verwurmte Kisten, die alle möglichen MX-RRs abfragen.
Wie gesagt, Bind ist nicht gerade unter Sicherheitsaspekten entworfen worden. Einen authoritativen Bind kann man (relativ) problemlos und sicher betreiben, einen Bind als Resolver sollte man sich überlegen. Man kann über Resolver auch tunneln, um noch einen Aspekt ins Spiel zu werfen, was wirklich eine ganze Menge Traffic verursachen kann.
Warum nehmt ihr nicht einfach einen richtigen[tm] Hostnamen, gibt doch zig Anbieter, die dir kostenlos welche geben (DynDNS zB). Oder Zoneedit.com - dort kannst du sogar relativ umfangreich das Zonefile editieren.
Am DNS rumzuspielen halte ich persönlich eh für eine dumme Idee.
Gruß
|
|
26. 03. 2005, 12:13
|
#8
|
|
(Threadstarter)
Registrierungsdatum: Aug 2003
Ort: Gefängniss
Beiträge: 773
|
|
|
26. 03. 2005, 12:27
|
#9
|
|
Retreat
Registrierungsdatum: Aug 2000
Beiträge: 11.533
|
Zitat:
Original geschrieben von --cyrtic2000--
Wir wollen ein eigenes internet eröffnen So eine art anarchie Wos nur warez gibt
|
Was soll da deine Spielerei bringen? Ein "eigenes" Internet läuft abgekoppelt von diesem Netz, in deinem Fall ist es lediglich (auch) über einen speziellen Hostnamen erreichbar.
|
|
26. 03. 2005, 12:42
|
#10
|
|
Mitglied
Registrierungsdatum: Jul 2003
Beiträge: 5.194
|
Zitat:
Original geschrieben von onkelchen
Was soll da deine Spielerei bringen? Ein "eigenes" Internet läuft abgekoppelt von diesem Netz, in deinem Fall ist es lediglich (auch) über einen speziellen Hostnamen erreichbar.
|
Naja, man könnte den Gedanken nun weiterspinnen:
Auf den Host kommt ein Tunnelbroker, der Adressen verteilt und geeignete Tunnel (vorzugsweise auf Layer2, damit mal IP voll ausspielen kann (Multicast zB) - also OpenVPN) bereithält, die Clients nutzen ihre ISP-Verbindung also quasi als Layer1 (sagte ich schon, dass das OSI-Modell für verschachtelte Protokolle denkbar ungeeignet ist?  ).
Theoretisch möglich und praktisch zu realisieren ist das schon - was da fehlt sind dann die Inhalte (naja, und die Notwendigkeit, sowas überhaupt anzudenken  ).
Aber das fehlt ja alles. Wie onkelchen schon sgate - was bringt es, wenn man lediglich den Hostnamen hat? OK - ein Beispiel wären namebased vHosts, die auf diese FQDNs hören, aber Passwortgeschützte Seiten sind keinesfalls unsicherer, und sicherer sind VPN-Tunnel.
Das läuft wieder so in Richtung "security through obscurity".
BTW:
Hier war gerade noch ein Thread in Netzwelt, der ähnliches zum Inhalt hatte.
Das ist auch nicht der erste Versuch soetwas zu schaffen - in D war es die Bundespost (Telekom?) mit BTX, AT&T, FT, HE, quasi jedes TK-Unternehmen hatte soetwas vor. Ist aber alles gescheitert.
Gruß
|
|
26. 03. 2005, 13:20
|
#11
|
|
(Threadstarter)
Registrierungsdatum: Aug 2003
Ort: Gefängniss
Beiträge: 773
|
man könnte es eben auch auf einerm lan brauchen...
cyrtic
|
|
26. 03. 2005, 14:54
|
#12
|
|
Mitglied
Registrierungsdatum: Jul 2003
Beiträge: 5.194
|
Hi!
Zitat:
Original geschrieben von --cyrtic2000--
man könnte es eben auch auf einerm lan brauchen...
|
Sorry, aber *da* gibt es wirklich bessere Möglichkeiten.
Dein Projekt ist ja nicht dumm, es kann durchaus Sinn machen - aber DNS ist da das kleinste Problem.
Du willst doch im Grunde ein Netzwerk aufbauen - dieses lediglich über irreguläre Hostnamen auf IP im Internet abzubilden ist allerdings zu kurz gedacht.
Wenn ich dich richtig verstanden habe willst du doch ein Internet aufbauen, aber gleichzeitig noch Zugriff auf das "normale" Internet für alle Clients bereitstellen. In dieser Größenordnung gibt es das bereits - das nennt sich VPN. Damit fasst man viele Client(-Netze) zu einem (virtuellen) Netz zusammen (deshalb auch virtuell private network, da die Pakete über ein weiteres Netz (dem Internet der ICANN) transportiert werden).
Da du IP verwenden willst und gleichzeitig auf das "reguläre" Internet zugreifen willst und du keine Kontrolle über die Netze der Clients hast empfiehlt es sich hier, ein /8er aus dem normalen IP-Space zu nutzen, das in nächster Zeit nicht vergeben wird (zB 2/8 oder 1/8 oder 250/8 - also alle Clients bekommen eine IP aus dem Raum 2.0.0.1 bis 2.252.255.254; das sollte für erste ja reichen ). Dann stellst du einen Resolver zur Verfügung der nur für diese Range Adressen auflöst. Weiterhin muss auf irgendeinem Host ein RADIUS (oder zumindest DHCPd) laufen, der den authorisierten Leuts eine IP zuweist und diese in einem Zonefile abbildet und auflöst. Und weiterhin muss es eine Authorotät geben, die die benötigten Zertifikate ausstellt und der alle Clients vertrauen. Dann wären alle authorisierten Clients in einem Netz (in dem Beispiel 2.0.0.0/8) zusammengefasst, man könnte weiter auch stinknormale dedizierte Hosts in einem RZ mit in diesen Verbund nehmen (wenn man denn zusätzlichen Space braucht, der auch schnell ist) und niemand von außen käme in dieses Netz.
Ich denke, etwas in der Art hast du dir auch vorgestellt. Aber nur und ausschließlich über DNS geht das nicht, ist auch viel zu unsicher.
Bedenke aber auch die dabei auftretenden Nebeneffekte (zB sind ausnahmslos alle Teilnehmer bekannt - zum einen über die Zertifikate, deren Gültigkeit überprüft werden muss (oder man verteilt dieses, führt aber hier zu weit das nun zu erklären), zum anderen kennt jeder Client alle anderen (bzw. kann sie finden - wie im Internet auch - im Internet selbst hat man allerdings den Vorteil, dass es sehr, sehr viele Clients gibt - in deinem System gibt es nur sehr wenige, alleine das macht die Sache wieder unsicher).
Also, ganz so einfach, wie du dir das vorstellst ist es nicht. Theoretisch ist das ne einfache und sichere Sache.
Der Hauptunterschied zwischen Theorie und Praxis ist, dass es in der Theorie kaum Unterschiede zwischen Theorie und Praxis gibt, in der Praxis aber schon
Gutes Gelingen 
Gruß
|
|
26. 03. 2005, 15:48
|
#13
|
|
(Threadstarter)
Registrierungsdatum: Aug 2003
Ort: Gefängniss
Beiträge: 773
|
ich hab jetzt eher auf einen physikalisch begrenzten raum eines grösseren wlan-netzes da.
die Netzinternen seiten würden dann unter .neme-des-projektes laufen... den rest geht weiter ins net...
cyrtic
|
|
26. 03. 2005, 16:09
|
#14
|
|
Mitglied
Registrierungsdatum: Jul 2003
Beiträge: 5.194
|
Zitat:
Original geschrieben von --cyrtic2000--
ich hab jetzt eher auf einen physikalisch begrenzten raum eines grösseren wlan-netzes da.
die Netzinternen seiten würden dann unter .neme-des-projektes laufen... den rest geht weiter ins net...
|
Öhm - warum nimmst du dann nicht die dafür vorgesehenen Namensräume '.local', '.localnet' usw.? Die sind dafür geschaffen worden, damit es keine Kollisionen gibt (ebenso wie zB 192.168.0.0/16 für den privaten Adressraum vorgesehen ist, oder AS1000, oder, oder).
Gruß
|
|
26. 03. 2005, 16:22
|
#15
|
|
(Threadstarter)
Registrierungsdatum: Aug 2003
Ort: Gefängniss
Beiträge: 773
|
|
|
26. 03. 2005, 16:33
|
#16
|
|
|
Alle Zeitangaben in UTC +1. Es ist jetzt 12:52 Uhr.
|
|
