First Last Prev Next    This bug is not in your last search results.
Bug 17270 - Update 2.2-2 → 2.3-0: verhalten von bind hat sich durch update geändert
Update 2.2-2 → 2.3-0: verhalten von bind hat sich durch update geändert
Status: CLOSED FIXED
Product: UCS
Classification: Unclassified
Component: DNS
UCS 2.3
Other Linux
: P5 normal (vote)
: UCS 2.3-1
Assigned To: Arvid Requate
Felix Botner
:
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2010-01-06 21:58 CET by Joerg Steffens
Modified: 2015-01-26 10:25 CET (History)
1 user (show)

See Also:
What kind of report is it?: ---
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Joerg Steffens 2010-01-06 21:58:49 CET 
vorher hat named anfragen von allen clients beantwortet.
nach dem update werden anfragen nach externen addressen nur noch aus dem lokalen subnetz beantwortet.
ansonsten: 
Jan  6 20:54:55 ucs1 named[2562]: client 10.98.20.14#35662: query (cache) 'www.spiegel.de/A/IN' denied

Durch anpassen von /etc/univention/templates/files/etc/bind/named.conf.proxy lässt sich dies beheben.
Comment 1 Stefan Gohmann univentionstaff 2010-01-07 07:01:24 CET 
(In reply to comment #0)
> Durch anpassen von /etc/univention/templates/files/etc/bind/named.conf.proxy
> lässt sich dies beheben.

Welche Anpassung ist dafür notwendig?

Ich kann das Problem auf unserem UCS Server nicht reproduzieren.
Comment 2 Joerg Steffens 2010-01-07 10:19:17 CET 
(In reply to comment #1)
> (In reply to comment #0)
> > Durch anpassen von /etc/univention/templates/files/etc/bind/named.conf.proxy
> > lässt sich dies beheben.
> 
> Welche Anpassung ist dafür notwendig?

ich habe den Rechner im Moment nicht vor mir,
aber ich habe
allow-query{ any; };
in der Options Section hinzugefügt.


> Ich kann das Problem auf unserem UCS Server nicht reproduzieren.

Ich gehe davon aus, dass die neue bind Version nur von localnetwork anfragen akzeptiert.

In unserer Umgebung steht der UCS Server in einen 10.20.0.0/16 Netz und beatnwortet dort auch brav DNS Anfragen nach internen und externen Namen.

Wenn ein Rechner aus dem 10.99.0.0/24 zugreift (unserem VPN Netz) funktioniert dies für Anfragen nach externen Namen nur nachdem allow-query{ any; }; hinzugefügt wurde.

Unter 2.2-2 funktionierte es auch ohne diese Einstellung.
Comment 3 Stefan Gohmann univentionstaff 2010-01-19 07:35:56 CET 
Arvid, bitte kurz prüfen. Flls das ein geändertes Verhalten zu UCS 2.2 ist, dann sollten wir das noch kurzfristig in die 2.3-1 aufnehmen. Am einfachsten als UCR-Variable.
Comment 4 Arvid Requate univentionstaff 2010-01-19 12:16:09 CET 
Da hat sich das Verhalten von bind9 geändert, dokumentiert u.a. unter
http://support.menandmice.com/jforum/posts/list/25.page

Das Template für /etc/bind/named.conf wurde im Paket univention-bind so erweitert, dass die UCR Variablen dns/allow/query und dns/allow/query/cache
ausgewertet werden. Neben dem möglichen Wert 'any' kann auch der Bezeichner einer anderen ACL verwendet werden, die z.B. in /etc/bind/local.conf definiert wurde.
Durch die UCR Variable dns/allow/query wird in der options-Sektion 'allow-query' gesetzt.
Durch die UCR Variable dns/allow/query/cache' werden dort 'allow-query-cache' und 'allow-recursion' auf den gleichen Wert gesetzt.

Changelog Eintrag:
-----------------
\item Das Paket \ucsCommand{univention-bind} wurde um die neuen \ucsUCRV{dns/allow/query} und \ucsCommand{\ucsBCindex{dns/allow/query/cache}}} erweitert, über die es möglich ist, die Rechte \emph{allow-query} und \emph{allow-query-cache} im Abschnitt \emph{options} der Datei \ucsURL{\etc\bind\named.conf} anzupassen. Zusätzlich zum Wert \emph{any} kann jeweils ein Bezeichner einer z.B. in \ucsURL{\etc\bind\local.conf} definierten ACL angegeben werden. Nach Anpassung der \ucsUCRV{} sollte \ucsCommand{univention-bind} neu gestartet werden. (\ucsBug{17270})
Comment 5 Arvid Requate univentionstaff 2010-01-19 21:07:11 CET 
Die Änderungen wurden vom Paket univention-bind in das Paket
univention-bind-proxy verschoben, sodass das Template für
/etc/bind/named.conf.proxy angepasst worden ist. Das Changelog ist entsprechend
angepasst.

Bei Updates wird dns/allow/query/cache und dns/allow/query im postinst auf
'any' gesetzt, um das pre-UCS-2.3 Verhalten von univention-bind-proxy
herzustellen.
Comment 6 Felix Botner univentionstaff 2010-01-25 09:47:57 CET 
OK

vielleicht kann man die Beschreibung der UCR Variablen nochmal anpassen

... lue 'any' the use of defnied ACLs is possible. ...
                         ~~~~~~~

vor dem Update

mammut->  dig @10.200.7.111 www.spiegel.de

; <<>> DiG 9.5.1-P1 <<>> @10.200.7.111 www.spiegel.de
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 27235
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;www.spiegel.de.                        IN      A

;; Query time: 0 msec
;; SERVER: 10.200.7.111#53(10.200.7.111)
;; WHEN: Mon Jan 25 09:36:58 2010
;; MSG SIZE  rcvd: 32

(Log File: Jan 25 10:37:06 qamaster named[18192]: client 192.168.0.81#33513: query (cache) 'www.spiegel.de/A/IN' denied)


nach dem Update

mammut -> dig @10.200.7.111 www.spiegel.de

; <<>> DiG 9.5.1-P1 <<>> @10.200.7.111 www.spiegel.de
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29185
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 0

;; QUESTION SECTION:
;www.spiegel.de.                        IN      A

;; ANSWER SECTION:
www.spiegel.de.         80696   IN      A       195.71.11.67

;; AUTHORITY SECTION:
spiegel.de.             83617   IN      NS      c.sec-ns.de.
spiegel.de.             83617   IN      NS      igate.spiegel.de.
spiegel.de.             83617   IN      NS      a.sec-ns.de.

;; Query time: 1 msec
;; SERVER: 10.200.7.111#53(10.200.7.111)
;; WHEN: Mon Jan 25 09:37:44 2010
;; MSG SIZE  rcvd: 107

Durch Setzen der Variablen kann das Verhalten geändert werden.
Comment 7 Arvid Requate univentionstaff 2010-01-25 11:36:36 CET 
Beschreibung ist angepasst, Paket baut gerade.
Comment 8 Felix Botner univentionstaff 2010-01-25 12:14:06 CET 
OK

Changelog Eintrag vorhanden.
Comment 9 Arvid Requate univentionstaff 2010-02-18 14:32:55 CET 
UCS 2.3-1 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer
neueren Version von UCS erneut auftreten, so sollte der Bug dupliziert werden:
"Clone This Bug".
First Last Prev Next    This bug is not in your last search results.