Univention Bugzilla – Bug 17270
Update 2.2-2 → 2.3-0: verhalten von bind hat sich durch update geändert
Last modified: 2015-01-26 10:25:07 CET
vorher hat named anfragen von allen clients beantwortet. nach dem update werden anfragen nach externen addressen nur noch aus dem lokalen subnetz beantwortet. ansonsten: Jan 6 20:54:55 ucs1 named[2562]: client 10.98.20.14#35662: query (cache) 'www.spiegel.de/A/IN' denied Durch anpassen von /etc/univention/templates/files/etc/bind/named.conf.proxy lässt sich dies beheben.
(In reply to comment #0) > Durch anpassen von /etc/univention/templates/files/etc/bind/named.conf.proxy > lässt sich dies beheben. Welche Anpassung ist dafür notwendig? Ich kann das Problem auf unserem UCS Server nicht reproduzieren.
(In reply to comment #1) > (In reply to comment #0) > > Durch anpassen von /etc/univention/templates/files/etc/bind/named.conf.proxy > > lässt sich dies beheben. > > Welche Anpassung ist dafür notwendig? ich habe den Rechner im Moment nicht vor mir, aber ich habe allow-query{ any; }; in der Options Section hinzugefügt. > Ich kann das Problem auf unserem UCS Server nicht reproduzieren. Ich gehe davon aus, dass die neue bind Version nur von localnetwork anfragen akzeptiert. In unserer Umgebung steht der UCS Server in einen 10.20.0.0/16 Netz und beatnwortet dort auch brav DNS Anfragen nach internen und externen Namen. Wenn ein Rechner aus dem 10.99.0.0/24 zugreift (unserem VPN Netz) funktioniert dies für Anfragen nach externen Namen nur nachdem allow-query{ any; }; hinzugefügt wurde. Unter 2.2-2 funktionierte es auch ohne diese Einstellung.
Arvid, bitte kurz prüfen. Flls das ein geändertes Verhalten zu UCS 2.2 ist, dann sollten wir das noch kurzfristig in die 2.3-1 aufnehmen. Am einfachsten als UCR-Variable.
Da hat sich das Verhalten von bind9 geändert, dokumentiert u.a. unter http://support.menandmice.com/jforum/posts/list/25.page Das Template für /etc/bind/named.conf wurde im Paket univention-bind so erweitert, dass die UCR Variablen dns/allow/query und dns/allow/query/cache ausgewertet werden. Neben dem möglichen Wert 'any' kann auch der Bezeichner einer anderen ACL verwendet werden, die z.B. in /etc/bind/local.conf definiert wurde. Durch die UCR Variable dns/allow/query wird in der options-Sektion 'allow-query' gesetzt. Durch die UCR Variable dns/allow/query/cache' werden dort 'allow-query-cache' und 'allow-recursion' auf den gleichen Wert gesetzt. Changelog Eintrag: ----------------- \item Das Paket \ucsCommand{univention-bind} wurde um die neuen \ucsUCRV{dns/allow/query} und \ucsCommand{\ucsBCindex{dns/allow/query/cache}}} erweitert, über die es möglich ist, die Rechte \emph{allow-query} und \emph{allow-query-cache} im Abschnitt \emph{options} der Datei \ucsURL{\etc\bind\named.conf} anzupassen. Zusätzlich zum Wert \emph{any} kann jeweils ein Bezeichner einer z.B. in \ucsURL{\etc\bind\local.conf} definierten ACL angegeben werden. Nach Anpassung der \ucsUCRV{} sollte \ucsCommand{univention-bind} neu gestartet werden. (\ucsBug{17270})
Die Änderungen wurden vom Paket univention-bind in das Paket univention-bind-proxy verschoben, sodass das Template für /etc/bind/named.conf.proxy angepasst worden ist. Das Changelog ist entsprechend angepasst. Bei Updates wird dns/allow/query/cache und dns/allow/query im postinst auf 'any' gesetzt, um das pre-UCS-2.3 Verhalten von univention-bind-proxy herzustellen.
OK vielleicht kann man die Beschreibung der UCR Variablen nochmal anpassen ... lue 'any' the use of defnied ACLs is possible. ... ~~~~~~~ vor dem Update mammut-> dig @10.200.7.111 www.spiegel.de ; <<>> DiG 9.5.1-P1 <<>> @10.200.7.111 www.spiegel.de ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 27235 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;www.spiegel.de. IN A ;; Query time: 0 msec ;; SERVER: 10.200.7.111#53(10.200.7.111) ;; WHEN: Mon Jan 25 09:36:58 2010 ;; MSG SIZE rcvd: 32 (Log File: Jan 25 10:37:06 qamaster named[18192]: client 192.168.0.81#33513: query (cache) 'www.spiegel.de/A/IN' denied) nach dem Update mammut -> dig @10.200.7.111 www.spiegel.de ; <<>> DiG 9.5.1-P1 <<>> @10.200.7.111 www.spiegel.de ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29185 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.spiegel.de. IN A ;; ANSWER SECTION: www.spiegel.de. 80696 IN A 195.71.11.67 ;; AUTHORITY SECTION: spiegel.de. 83617 IN NS c.sec-ns.de. spiegel.de. 83617 IN NS igate.spiegel.de. spiegel.de. 83617 IN NS a.sec-ns.de. ;; Query time: 1 msec ;; SERVER: 10.200.7.111#53(10.200.7.111) ;; WHEN: Mon Jan 25 09:37:44 2010 ;; MSG SIZE rcvd: 107 Durch Setzen der Variablen kann das Verhalten geändert werden.
Beschreibung ist angepasst, Paket baut gerade.
OK Changelog Eintrag vorhanden.
UCS 2.3-1 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte der Bug dupliziert werden: "Clone This Bug".