0x1b - ESCAPE
HTML PDF Postscript
 Netzmasken 
IPv6 Geschrieben von Beat Rubischon (Link) am Freitag, 22. Dezember 2006, 14:59
aus dem *ueberdenkopf* dept.

Banküberfall mit einer Strumpfmaske aus einem Netzstrumpf? Nein, ich meine ganz andere Netzmasken, nämlich die, die man in der Bind Konfiguration eingeben muss.

Bind9, zumindest die Version aus Debian Sarge, hat etwas Schwierigkeiten in einem IPv6 fähigen Host. In ACLs muss man teilweise IPv4 Adressen angeben, teilweise deren enkapsulierte IPv6 Variante.

Im Kampf mit einem M$ DNS, welcher Abfragen über den SOA Record einer Stub Zone per TCP macht, habe ich das Problem begriffen. IP Nummern, die den Ausgangspunkt einer UDP Verbindung darstellen, müssen als IPv4 Adresse angegeben werden; IP Nummern, die den Ausgangspunkt einer TCP Verbindung sind, als enkapsulierte IPv6 Adresse eingetippt werden. Ist irgendwodurch logisch, da es nur einen horchenden TCPv6 Socket hat:

max:~# netstat -tulpen | grep named
tcp6  0  0 :::53             :::*       LISTEN  0  376687398  8297/named
udp   0  0 212.25.17.162:53  0.0.0.0:*          0  376687402  8297/named
udp   0  0 127.0.0.1:53      0.0.0.0:*          0  376687400  8297/named
udp6  0  0 :::53             :::*               0  376687397  8297/named

Damit Ihr nicht rechnen müsst, hier gleich die RFC1597 Adressblöcke in beiden Notationen:

192.168.0.0/16 ::ffff:192.168.0.0/112
172.16.0.0/12  ::ffff:172.16.0.0/108
10.0.0.0/8     ::ffff:10.0.0.0/104

Entsprechend ugly sieht nun meine Bindkonfiguration aus:

acl intranet {
  212.25.17.160/28; ::ffff:212.25.17.160/124;
  2001:8e0:1006::/48;
  192.168.0.0/16; ::ffff:192.168.0.0/112;
  172.16.0.0/12; ::ffff:172.16.0.0/108;
  10.0.0.0/8; ::ffff:10.0.0.0/104;
  127.0.0.0/8; ::1; };


*schauder* ;-)

[Alles über IPv6]

Permalink