<div>Thanks Marc, this worked. </div>
<div>&nbsp;</div>
<div>Now I need to setup acl sets for the internal and external network.</div>
<div>&nbsp;</div>
<div>&nbsp;</div>
<div class="gmail_quote">On Thu, Jul 3, 2008 at 10:46 AM, Marc Skinner &lt;<a href="mailto:marc@e-skinner.net">marc@e-skinner.net</a>&gt; wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">Might want to try this:<br><br>acl bogusnets { &nbsp; <a href="http://0.0.0.0/8" target="_blank">0.0.0.0/8</a>;<br>
&nbsp; <a href="http://169.254.0.0/16" target="_blank">169.254.0.0/16</a>;<br>&nbsp; <a href="http://224.0.0.0/3" target="_blank">224.0.0.0/3</a>;<br>};<br><br>acl internalnet {<br>&nbsp; &nbsp; &nbsp; <a href="http://127.0.0.1/" target="_blank">127.0.0.1</a>;<br>
&nbsp; &nbsp; &nbsp; <a href="http://192.168.1.0/24" target="_blank">192.168.1.0/24</a>;<br>&nbsp; &nbsp; &nbsp; };<br><br>acl mynet {<br>&nbsp; &nbsp; &nbsp; <a href="http://127.0.0.1/" target="_blank">127.0.0.1</a>;<br>&nbsp; &nbsp; &nbsp; <a href="http://192.168.1.0/24" target="_blank">192.168.1.0/24</a>;<br>
&nbsp; &nbsp; &nbsp; };<br><br>acl thisdns {<br>&nbsp; &nbsp; &nbsp; &nbsp;<a href="http://127.0.0.1/" target="_blank">127.0.0.1</a>;<br>&nbsp; &nbsp; &nbsp; &nbsp;192.168.1.whaever your DNS server is;<br>&nbsp; &nbsp; &nbsp; };<br><br><br><br>in options section:<br><br><br>&nbsp; &nbsp; &nbsp; allow-notify {<br>
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; mynet;<br>&nbsp; &nbsp; &nbsp; };<br>&nbsp; &nbsp; &nbsp; allow-query {<br>&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; mynet;<br>&nbsp; &nbsp; &nbsp; };<br>&nbsp; &nbsp; &nbsp; allow-recursion {<br>&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; mynet;<br>&nbsp; &nbsp; &nbsp; };<br>&nbsp; &nbsp; &nbsp; blackhole {<br>&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; bogusnets;<br>&nbsp; &nbsp; &nbsp; };<br>&nbsp; &nbsp; &nbsp; listen-on {<br>
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; thisdns;<br>&nbsp; &nbsp; &nbsp; };<br>&nbsp; &nbsp; &nbsp; listen-on-v6 {<br>&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; none;<br>&nbsp; &nbsp; &nbsp; };<br>&nbsp; &nbsp; &nbsp; query-source address * port 53;<br>&nbsp; &nbsp; &nbsp; version &quot;!BIND!&quot;;<br><br><br><br><br><br><br><br><br><br><br>James wrote:<br>

<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div class="Ih2E3d">Howdy,<br>&nbsp;I have Fedora 9 installed and would like to use it as the DNS system in the house.<br>&nbsp;The setup is as follows<br>&nbsp;options {<br></div>&nbsp; &nbsp; &nbsp; &nbsp;listen-on port 53 { <a href="http://127.0.0.1/" target="_blank">127.0.0.1</a> &lt;<a href="http://127.0.0.1/" target="_blank">http://127.0.0.1</a>&gt;; }; 
<div class="Ih2E3d"><br>&nbsp; &nbsp; &nbsp; &nbsp;listen-on-v6 port 53 { ::1; };<br>&nbsp; &nbsp; &nbsp; &nbsp;directory &nbsp; &nbsp; &nbsp; &quot;/var/named&quot;;<br>&nbsp; &nbsp; &nbsp; &nbsp;dump-file &nbsp; &nbsp; &nbsp; &quot;/var/named/data/cache_dump.db&quot;;<br>&nbsp; &nbsp; &nbsp; &nbsp;statistics-file &quot;/var/named/data/named_stats.txt&quot;;<br>
&nbsp; &nbsp; &nbsp; &nbsp;memstatistics-file &quot;/var/named/data/named_mem_stats.txt&quot;;<br>&nbsp; &nbsp; &nbsp; &nbsp;allow-query &nbsp; &nbsp; { localhost; };<br>&nbsp; &nbsp; &nbsp; &nbsp;recursion yes;<br>&nbsp; &nbsp; &nbsp; &nbsp;forwarders {<br></div>&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;<a href="http://68.87.77.130/" target="_blank">68.87.77.130</a> &lt;<a href="http://68.87.77.130/" target="_blank">http://68.87.77.130</a>&gt;;<br>
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;<a href="http://68.87.72.130/" target="_blank">68.87.72.130</a> &lt;<a href="http://68.87.72.130/" target="_blank">http://68.87.72.130</a>&gt;; 
<div class="Ih2E3d"><br>&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;};<br>};<br>logging {<br>&nbsp; &nbsp; &nbsp; &nbsp;channel default_debug {<br>&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;file &quot;data/named.run&quot;;<br>&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;severity dynamic;<br>&nbsp; &nbsp; &nbsp; &nbsp;};<br>};<br>zone &quot;.&quot; IN {<br>
&nbsp; &nbsp; &nbsp; &nbsp;type hint;<br></div>&nbsp; &nbsp; &nbsp; &nbsp;file &quot;<a href="http://named.ca/" target="_blank">named.ca</a> &lt;<a href="http://named.ca/" target="_blank">http://named.ca</a>&gt;&quot;; 
<div class="Ih2E3d"><br>};<br><br>include &quot;/etc/named.rfc1912.zones&quot;;<br>&nbsp;zone &quot;home.local&quot; {<br>&nbsp; &nbsp; &nbsp; &nbsp;type master;<br>&nbsp; &nbsp; &nbsp; &nbsp;file &quot;/var/named/home.local.hosts&quot;;<br>&nbsp; &nbsp; &nbsp; &nbsp;};<br><br>zone &quot;1.168.192.in-addr.arpa&quot; {<br>
&nbsp; &nbsp; &nbsp; &nbsp;type master;<br>&nbsp; &nbsp; &nbsp; &nbsp;file &quot;1.168.192.in-addr.arpa.zone&quot;;<br>&nbsp; &nbsp; &nbsp; &nbsp;allow-update { key &quot;rndckey&quot;; };<br>&nbsp; &nbsp; &nbsp; &nbsp;notify yes;<br>&nbsp;I have the files in /var/named setup and configured. From the DNS system I can type<br>
nslookup 43p and get the following<br>[root@fc9 named]# vi /etc/named.conf<br>[root@fc9 named]# nslookup 43p<br></div>Server: &nbsp; &nbsp; &nbsp; &nbsp; <a href="http://127.0.0.1/" target="_blank">127.0.0.1</a> &lt;<a href="http://127.0.0.1/" target="_blank">http://127.0.0.1</a>&gt;<br>
Address: &nbsp; &nbsp; &nbsp; &nbsp;<a href="http://127.0.0.1/#53" target="_blank">127.0.0.1#53</a> &lt;<a href="http://127.0.0.1/#53" target="_blank">http://127.0.0.1#53</a>&gt;<br>Name: &nbsp; 43p.home.local<br>Address: <a href="http://192.168.1.52/" target="_blank">192.168.1.52</a> &lt;<a href="http://192.168.1.52/" target="_blank">http://192.168.1.52</a>&gt; 
<div class="Ih2E3d"><br>&nbsp;From a windows system I get the following<br>C:\Users\dalan&gt;nslookup 43p<br>Server: &nbsp;UnKnown<br></div>Address: &nbsp;<a href="http://192.168.1.50:53/" target="_blank">192.168.1.50:53</a> &lt;<a href="http://192.168.1.50:53/" target="_blank">http://192.168.1.50:53</a>&gt; 
<div class="Ih2E3d"><br>*** UnKnown can&#39;t find 43p: Query refused<br>&nbsp;From the AIX system I get<br>(43p-aix) [dalan] nslookup 43p<br>*** Can&#39;t find server name for address 192.168.1.50:Query refused<br>*** Default servers are not available<br>
(43p-aix) [dalan]<br>I have shut off the firewall and SE-Linux on the Fedora system. I&#39;m not sure why the fedora system is blocking/refusing the request coming from another system.<br>I even put the following entries in iptables.<br>
</div>SERVER_IP=&quot;<a href="http://192.168.1.50/" target="_blank">192.168.1.50</a> &lt;<a href="http://192.168.1.50/" target="_blank">http://192.168.1.50</a>&gt;&quot; 
<div class="Ih2E3d"><br>iptables -A INPUT -p udp -s 0/0 --sport 1024:65535 -d $SERVER_IP --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT<br>iptables -A OUTPUT -p udp -s $SERVER_IP --sport 53 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT<br>
iptables -A INPUT -p udp -s 0/0 --sport 53 -d $SERVER_IP --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT<br>iptables -A OUTPUT -p udp -s $SERVER_IP --sport 53 -d 0/0 --dport 53 -m state --state ESTABLISHED -j ACCEPT<br>
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d $SERVER_IP --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT<br>iptables -A OUTPUT -p tcp -s $SERVER_IP --sport 53 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT<br>
iptables -A INPUT -p tcp -s 0/0 --sport 53 -d $SERVER_IP --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT<br>iptables -A OUTPUT -p tcp -s $SERVER_IP --sport 53 -d 0/0 --dport 53 -m state --state ESTABLISHED -j ACCEPT<br>
&nbsp;I still have the same effect.<br>&nbsp;Running the following shows that the system is refusing the connection.<br>/usr/sbin/tcpdump -X port 53<br><br>[root@fc9 named]# /usr/sbin/tcpdump -X port 53<br>tcpdump: verbose output suppressed, use -v or -vv for full protocol decode<br>
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes<br>21:39:38.512926 IP aix.sparish.local.52686 &gt; fc9.sparish.local.domain: 46304+ PTR? 50.1.168.192.in-addr.arpa. (43)<br>&nbsp; &nbsp; &nbsp; &nbsp;0x0000: &nbsp;4500 0047 ac22 0000 1e11 6ccd c0a8 0134 &nbsp;E..G.&quot;....l....4<br>
&nbsp; &nbsp; &nbsp; &nbsp;0x0010: &nbsp;c0a8 0132 cdce 0035 0033 7c2c b4e0 0100 &nbsp;...2...5.3|,....<br>&nbsp; &nbsp; &nbsp; &nbsp;0x0020: &nbsp;0001 0000 0000 0000 0235 3001 3103 3136 &nbsp;.........50.1.16<br></div>&nbsp; &nbsp; &nbsp; &nbsp;0x0030: &nbsp;3803 3139 3207 696e 2d61 6464 7204 6172 &nbsp;<a href="http://8.192.in-addr.ar/" target="_blank">8.192.in-addr.ar</a> &lt;<a href="http://8.192.in-addr.ar/" target="_blank">http://8.192.in-addr.ar</a>&gt; 
<div class="Ih2E3d"><br>&nbsp; &nbsp; &nbsp; &nbsp;0x0040: &nbsp;7061 0000 0c00 01 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;pa.....<br>21:39:38.519048 IP fc9.sparish.local.domain &gt; aix.sparish.local.52686: 46304 Refused- 0/0/0 (43)<br></div>&nbsp; &nbsp; &nbsp; &nbsp;0x0000: &nbsp;4500 0047 0000 4000 4011 b6ef c0a8 0132 &nbsp;E..G..@.@......2 &lt;mailto:<a href="mailto:E..G..@" target="_blank">E..G..@</a>.@......2&gt; 
<div class="Ih2E3d"><br>&nbsp; &nbsp; &nbsp; &nbsp;0x0010: &nbsp;c0a8 0134 0035 cdce 0033 fc26 b4e0 8105 &nbsp;...4.5...3.&amp;....<br>&nbsp; &nbsp; &nbsp; &nbsp;0x0020: &nbsp;0001 0000 0000 0000 0235 3001 3103 3136 &nbsp;.........50.1.16<br></div>&nbsp; &nbsp; &nbsp; &nbsp;0x0030: &nbsp;3803 3139 3207 696e 2d61 6464 7204 6172 &nbsp;<a href="http://8.192.in-addr.ar/" target="_blank">8.192.in-addr.ar</a> &lt;<a href="http://8.192.in-addr.ar/" target="_blank">http://8.192.in-addr.ar</a>&gt; 
<div class="Ih2E3d"><br>&nbsp; &nbsp; &nbsp; &nbsp;0x0040: &nbsp;7061 0000 0c00 01 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;pa.....<br>&nbsp;Any help would be welcome<br>&nbsp;Thanks<br></div>------------------------------------------------------------------------ 
<div class="Ih2E3d"><br><br>_______________________________________________<br>TCLUG Mailing List - Minneapolis/St. Paul, Minnesota<br><a href="mailto:tclug-list@mn-linux.org" target="_blank">tclug-list@mn-linux.org</a><br>
<a href="http://mailman.mn-linux.org/mailman/listinfo/tclug-list" target="_blank">http://mailman.mn-linux.org/mailman/listinfo/tclug-list</a><br>&nbsp;<br></div></blockquote><br></blockquote></div><br>