Frage zum DNS NS Record

[cosphi]

Hallo Community,
ich habe eine Frage zum DNS NS-RR.

Habe ich folgendes richtig verstanden?

Ich habe eine Domain bei einen X-beliebigen Hoster. (z.B. test.de)
Bei diesem lege ich eine Subdomain an. (zb. arbeitsplatzrechner) welche einen Eintrag NS auf einen anderen Nameserver hat.

Ist es so möglich, mit diesem zweiten Nameserver der z.b. im Firmennetz steht, dann die IPs der einzelnen Arbeitsplatzrechner aufzulösen.
Dass es dann in etwa so aussieht:
rechner_01.arbeitsplatzrechner.test.de
rechner_02.arbeitsplatzrechner.test.de
...
rechner_nn.arbeitsplatzrechner.test.de

Setzt natürlich voraus, dass alle Arbeitsplatzrechner eine öffentliche IP haben...
Dies ist einfach nur ein fiktives Beispiel für mein Verständnis des NS-RR - ob sowas Sinn macht ist sicherlich eine andere Sache...

Vielen Dank

[syssi]

Ich glaube dein Gedankengang ist korrekt. Es ist einfacher beschrieben, wenn man von Zonen spricht und sich den Weg eines DNS-Requests ueberlegt. Beispiel: rechner_01.arbeitsplatzrechner.test.de.

de. <- root dns werden kontaktiert, liefert NS-RR der DENIC zurueck
test.de. <- DENIC wird nach test.de. gefragt. Liefert NS-RR deines Providers
arbeitsplatzrechner.test.de. <- dein Provider wird nach arbeitsplatzrechner.test.de. gefragt: Liefert deinen definierten NS-RR fuer die Zone arbeitsplatzrechner.test.de.
rechner_01.arbeitsplatzrechner.test.de. <- dein DNS zustaendig fuer die Zone arbeitsplatzrechner.test.de. wird nach rechner_01 gefragt.

Viel Erfolg!

Gruss syssi

[cosphi]

[...]
de. <- root dns werden kontaktiert, liefert NS-RR der DENIC zurueck
test.de. <- DENIC wird nach test.de. gefragt. Liefert NS-RR deines Providers
arbeitsplatzrechner.test.de. <- dein Provider wird nach arbeitsplatzrechner.test.de. gefragt: Liefert deinen definierten NS-RR fuer die Zone arbeitsplatzrechner.test.de.
rechner_01.arbeitsplatzrechner.test.de. <- dein DNS zustaendig fuer die Zone arbeitsplatzrechner.test.de. wird nach rechner_01 gefragt.
[...]

Vielen Dank. Jetzt ist es halbwegs klar...
Gedanklich habe ich jetzt dennoch Probleme.
Ich weiß wie so ein Eintrag angelegt wird - aber was läuft ab wenn wenn jemand z.B. ein nslookup xxx.xxx.xxx.xxx eingibt.

Wenn ich das richtig verstanden habe, dass muss der Nameserver der die Vorwärtsauflösung macht nicht der gleiche sein wie der für die Rückwärtsauflösung.

Ich habe bei Registrar die Domain sld.tld. Bei dem Nameserver des Registrars habe ich einen Eintrag
www.sld.tld 172800 IN A xxx.xxx.xxx.xxx

Wo muss jetzt der Eintrag für die Rückwärtsauflösung hin? Macht das der Nameserver vom Registrar oder der vom Rechenzentrum in dem der Server steht?

Wenn ich nun einmal nslookup www.sld.tld oder nslookup xxx.xxx.xxx.xxx eingebe. Wie läuft dann die Kette ab?
mein Rechner wird den NS des ISP fragen. Und dann...?

Ist das ganze nicht irgendwie gefährlich? Wenn ich in jedem x-beliebigen Nameserver einen Reverseintrag machen kann kann ich ja alle möglichen IPs auf irgendeinen Mist verbiegen und mich über das angerichtete Chaos freuen. (Das das nicht geht ist mir klar - aber wo steckt mein Denkfehler?)

Vielen Dank

[syssi]

Wenn du auf deinem Rechner eine Domain aufloest, dann ist vorher folgendes passiert:

• Rechner einschalten, der Rechner bezieht per DHCP ein Default-Gateway und einen DNS-Server (z.B. in beiden Faellen 192.168.1.1)
• Router einschalten, der Router bezieht per PPP-Einwaehl (oder aenders) ein Default-Gateway vom Internet-Provider und einen/zwei DNS-Server (nennen wir ihn mal 8.8.8.

Nun moechte dein Rechner eine Domains aufloesen:

• "nslookup" schaut in der /etc/resolv.conf nach und findet "nameserver 192.168.1.1". DNS-Request ("Wie ist die IP von http://www.example.com?) wird an 192.168.1.1 geschickt.
• Dein Router besitzt in der Regel nur einen DNS-Forwarder. Er schickt den Request als weiter an 8.8.8.8.
• Der DNS-Server (8.8.8. im Netz ist vielmehr ein grosser Cache. Er denkt einmal kurz nach, ob er http://www.example.com in letzter Zeit mal augefloest hat, wenn nicht, dann wird einer der Root-Server gefragt, wer fuer das Aufloesung von .com Domain zustaendig ist. Dann waeren wir wieder beim Szenario von deiner initialen Frage.
• .com wird gefragt.
• der DNS deines Registrars wird gefragt und antwortet: 192.0.43.10

Fuer IPs muss man wissen, dass die Zonen-Darstellung so aussieht: 192.0.43.10 entspricht 10.43.0.192.in-addr.arpa. Diese Adresse wird auch wieder rueckwarts abgelaufen. RIPE ist die zentrale Vergabestelle fuer IP-Adressen, deshalb ist die erste Abfrage, die durchgefuehrt wird "192.in-addr.arpa". Danach klettert man von Subnet zu Subnet.Irgendwo auf dem Weg wird man die Loesung (also den Reverse-DNS-Eintrag) finden, jenachdem wie gross das Subnetz ist.

Und ja, dein Rechenzentrum beantwortet die Reverse-DNS-Anfrage. Dein Domain-Registrar hat damit nichts am Hut. Ihm gehoert der IP-Bereich naemlich nicht.

Gruss syssi

[cosphi]

Vielen Dank - Ich denke jetzt ist es klar
Ich werde mir einfach mal mit Virtuellen Maschinen ein Testnetz aufbauen und ein bisschen damit rumspielen.

Das heißt, in dem Nameserver bei RIPE ist eigetragen:

Code: Alles auswählen

10.43.0.192.in-addr.arpa   IN   ns ns-a.meinrechenzentrum.de
10.43.0.192.in-addr.arpa   IN   NS ns-b.meinrechenzentrum.de

in der Zone bei meinem Rechenzentrum steht dann:

Code: Alles auswählen

10.43.0.192.in-addr.arpa   IN   PTR  www.sld.tld

Ich dachte nur, dass der letzte Block weggelassen wird.

Fuer IPs muss man wissen, dass die Zonen-Darstellung so aussieht: 192.0.43.10 entspricht 10.43.0.192.in-addr.arpa.

also: 43.0.192.in-addr.arpa.


Edit:
Ich merke gerade dass ich es wohl doch noch nicht verstehe
http://wiki.hetzner.de/index.php/DNS_Re ... rver.de.22

Demnach ist ns2.your-server.de für 106.133.213.in-addr.arpa zuständig.
Die abfrage mit dig ergibt:

;; QUESTION SECTION:
;33.106.133.213.in-addr.arpa. IN PTR

;; ANSWER SECTION:
33.106.133.213.in-addr.arpa. 86400 IN PTR dedi33.your-server.de.
[...]

Was ist wenn jetzt an dieser Stelle in böser Mensch

34.106.133.213.in-addr.arpa. 86400 IN PTR rotes.pferd.de.

eintragen würde obwohl ihm diese IP nicht zugeteilt wurde?
Das wird doch Chaos stiften.

Oder teilt RIPE minimal 256 Adressen zu - dann wäre es wieder logisch...
Das kann ich mir aber in Zeiten von IP-Knappheit nicht ganz vorstellen.

[syssi]

Deinem Rechenzentrum gehoert vermutlich das geamte 192.0.43.0/24 Netz. Deshalb sieht der NS-Rekord eher so aus:

Code: Alles auswählen

43.0.192.in-addr.arpa   IN   ns ns-a.meinrechenzentrum.de

So, dass alle Anfragen fuer das 192.0.43.0/24 Netz bei ns-a.meinrechenzentrum.de landen.

Gruss syssi

[cosphi]

Das heißt es kann durchaus sein, dass da auch die ganze IP benannt ist?

[syssi]

Na klar. Ein/dein Netzwerk koennte auch aus einer einzelnen IP bestehen, welche von einem eigenen DNS aufgeloest wird.

[cosphi]

Dann sag ich mal - vielen Dank.
Ich glaube ich muss jetzt einfach mal ein bisschen mit einem DNS rumspielen...