staging.inyokaproject.org

Hi zusammen,

ich betreiben einen lokalen Contentfilter und möchte die Suchergebnisse von Google wie bisher gewohnt filtern. Das ist seit der SSL Umstellung von Google nicht mehr möglich. Google empfiehlt deshalb im DNS Server einen CNAME record für www.google.com auf nosslsearch.google.com zu erstellen.

Also habe ich mir Bind9 installiert und in /etc/bind/named.conf.default-zones folgendes am Ende eingetragen:

1
2
3
4

zone "mydomain.de" {
    type master;
    file "/etc/bind/db.mydomain.de";
};

Danach habe ich die Datei /etc/bind/db.mydomain.de mit folgendem Inhalt erstellt:

1
2
3

# Block Google SSL search
www.google.com  IN      CNAME   nosslsearch.google.com
www.google.de   IN      CNAME   nosslsearch.google.com

Bind neu gestartet und: es passiert nichts. SSL Suche ist weiterhin zugänglich. Deshalb meine 2 Fragen:

1. Wie zwinge ich meinen Computer einen bestimmten DNS Server zu verwenden? Der einzelne Benutzer darf den DNS Server aber nicht ändern können.

2. Was ist an meiner Bind Konfiguration falsch?

Hat mir jemand einen Tipp?

Liebe Grüße,

Tobias

Hallo,

Deinen Client zwingst Du, indem Du ihm Deinen DNS-Server in den Netzwerkeinstellungen einträgst.

Andere Clients z.B. Windows bekommen den DNS-Server (normalerweise) über Gruppenrichtlinien. Ein DHCP-Server kann auch den DNS-Server übergeben. Wenn die Leute keine Admins sind, sollten die auch die Einstellungen nicht ändern können.

falsch?! Du solltest wohl noch einen Forwarder-DNS hinzukonfigurieren, der Internetadressen auflösen kann. Meine Zonen sind in named.conf.local. Wenn Du Probleme hast, solltest Du hier ins Wiki bei Bind9 nachschaun.

Was sagt die Ausgabe von

sudo tail -f /var/log/syslog

nachdem der DNS-Server neu gestartet wurde?

Viele Grüße

Hi Isegrim,

das war ein nützlicher Tipp mit der syslog. Eigentlich eine Grundregel. Hätt ich selber drauf kommen müssen. Hier ein Auszug aus der syslog:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

Apr 11 06:19:15 tobias-xps named[1098]: starting BIND 9.8.1-P1 -u bind
Apr 11 06:19:15 tobias-xps named[1098]: built with '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-geoip=/usr' '--enable-ipv6' 'CFLAGS=-fno-strict-aliasing -DDIG_SIGCHASE -O2' 'LDFLAGS=-Wl,-Bsymbolic-functions -Wl,-z,relro' 'CPPFLAGS=-D_FORTIFY_SOURCE=2'
Apr 11 06:19:15 tobias-xps named[1098]: loading configuration from '/etc/bind/named.conf'
Apr 11 06:19:15 tobias-xps named[1098]: reading built-in trusted keys from file '/etc/bind/bind.keys'
Apr 11 06:19:15 tobias-xps named[1098]: set up managed keys zone for view _default, file 'managed-keys.bind'
Apr 11 06:19:15 tobias-xps named[1098]: /etc/bind/db.www.google.com:1: unknown RR type 'Block'
Apr 11 06:19:15 tobias-xps named[1098]: zone www.google.com/IN: loading from master file /etc/bind/db.www.google.com failed: unknown class/type
Apr 11 06:19:24 tobias-xps named[1098]: loading configuration from '/etc/bind/named.conf'
Apr 11 06:19:24 tobias-xps named[1098]: reading built-in trusted keys from file '/etc/bind/bind.keys'
Apr 11 06:19:24 tobias-xps named[1098]: /etc/bind/db.www.google.com:1: unknown RR type 'Block'
Apr 11 06:19:24 tobias-xps named[1098]: zone www.google.com/IN: loading from master file /etc/bind/db.www.google.com failed: unknown class/type

Ich habe bei mir einen transparenten Proxy (Dansguardian / Squid) am Start. Nach deinem Tipp habe ich herausgefunden, dass Squid ja den Nameserver abfrägt und das per Einstellung der Nameserver auf localhost ist. Wie du dem syslog entnehmen kannst ist mein Problem jetzt eine falsche bind9 Einstellung.

Hast du da noch einen Tipp?

Liebe Grüße,

Tobias

Hallo,

hab bei meinem Intranet auch mit CNAME hantiert. Der Beitrag im WIKI war mir dabei sehr hilfreich: http://de.wikipedia.org/wiki/CNAME_Resource_Record

Wegen der Konfiguration solltest Du Dich an das Wiki hier halten: http://wiki.ubuntuusers.de/DNS-Server_Bind?highlight=bind9 Dort ist auch ein Beispiel für einen CNAME-Eintrag.

Viele Grüße

Hi,

vielen Dank für die Links. Das hat mich zumindest im Verständnis weiter gebracht. Mein bind Eintrag sieht jetzt wie folgt aus:

1
2
3
4

google.com.             IN      NS      8.8.8.8
nosslsearch.google.com. IN      A       8.8.8.8
www.google.com.         IN      CNAME   nosslsearch.google.com.
www.google.de.          IN      CNAME   nosslsearch.google.com.

Wenn ich dann versuche den Namen aufzulösen habe ich folgendes Resultat:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13

root@tobias-xps:/home/tobias# nslookup nosslsearch.google.com
Server:		127.0.0.1
Address:	127.0.0.1#53

Non-authoritative answer:
Name:	nosslsearch.google.com
Address: 216.239.32.20

root@tobias-xps:/home/tobias# nslookup www.google.com
Server:		127.0.0.1
Address:	127.0.0.1#53

** server can't find www.google.com: NXDOMAIN

Irgendwas ist da falsch!? Kann mir jemand helfen?

Liebe Grüße,

Tobias

Hallo,

versuche mal:

google.com.       IN   A   8.8.8.8
www               IN   CNAME   google.com.
nosslsearch       IN   CNAME   google.com.

Hi Isegrim,

leider nicht erfolgreich. Beim nslookup kommt nach wie vor genau die gleiche Antwort raus.

Außerdem weiß ich nicht, ob die Konfiguration überhaupt das erreicht, was ich will: ich will, dass jeder www.google.com aufruf auf den DNS Eintrag von nosslsearch.google.com geleitet wird. Hätte dein Vorschlag das erreicht?

Liebe Grüße,

Tobi

Hallo Tobi,

auf den DNS Eintrag von nosslsearch.google.com geleitet wird

ok, habe eine neue Zone: db.google.com angelegt.

;; db.google.com 
;; Forwardlookupzone für domainname
;;
$TTL 2D
@       IN      SOA     example.com. postmaster.example.com. (
                        2012041201      ; Serial
                                8H      ; Refresh
                                2H      ; Retry
                                4W      ; Expire
                                2D )    ; TTL Negativ Cache

@                                       IN      NS      example.com.
                                        IN      MX      10 example.com.
nosslsearch.google.com.                 IN      A       192.168.178.221
www.google.com.                         IN      CNAME   nosslsearch.google.com.

Diese wird in named.conf.local eingetragen:

zone "google.com" {
type master;
file "/etc/bind/db.google.com";
};

Als Ergebnis erhalte ich:

nslookup www.google.com
Server:		192.168.178.221
Address:	192.168.178.221#53

www.google.com	canonical name = nosslsearch.google.com.
Name:	nosslsearch.google.com
Address: 192.168.178.221

Hi Isegrim,

danke für deine Antwort. Sorry, dass ich so lange gebraucht habe. Ich habe noch eine Menge ausprobiert. Jetzt bekomme ich zwar das selbe nslookup Ergebnis wie du. Aber: beim Aufruf von www.google.com bekomme ich einen timeout ☹

Und eine Frage: was sucht example.com in der Konfiguration? Müsste das nicht noch ersetzt werden?

Liebe Grüße und nochmals Danke,

Tobi

Hallo Tobi,

jetzt musst Du natürlich noch die richtige IP eintragen, wo google.com zu finden ist bzw. wohin die Anfragen geleitet werden sollen.

Viele Grüße

Hi Isegrim,

irgendwie habe ich das nicht hin bekommen. Für jeden Google Service den ich brauche eine IP. Die kann auch mal wechseln,...

Deshalb habe ich mich an die bind-users gewandt: https://lists.isc.org/pipermail/bind-users/2012-April/087382.html

Der Tenor: Bind kann das nicht. Ich soll es mal mit Unbound versuchen und mich an Google um Rat wenden.

Das werde ich tun.

Vielen Dank auf jeden Fall für deine Hilfe. Falls du noch weitere Tipps hast bin ich jederzeit offen dafür.

Liebe Grüße,

Tobias