home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #20 / NN_1992_20.iso / spool / comp / sys / sun / admin / 6286 < prev    next >
Encoding:
Internet Message Format  |  1992-09-11  |  4.6 KB
  1. Path: sparky!uunet!mcsun!uknet!reading!shrchin
  2. From: shrchin@csug.cs.reading.ac.uk (Jonathan H. N. Chin)
  3. Newsgroups: comp.sys.sun.admin
  4. Subject: slave forwarding DNS
  5. Message-ID: <shrchin.716272610@reading>
  6. Date: 12 Sep 92 04:36:50 GMT
  7. Sender: news@csug.cs.reading.ac.uk
  8. Organization: University of Reading
  9. Lines: 95
  10. Nntp-Posting-Host: rosemary
  11.  
  12. I am new to admin'ing, and am looking for some advice with an annoyance
  13. I have run into. The last problem I posted about (restoring backups from
  14. a tape that wouldn't read) resolved itself when the other set of backups
  15. suddenly became readable after a weekend of attempting to read them.
  16. Thanks to all the people who mailed me suggestions then.
  17.  
  18. We have a small network of 16 suns and numerous PCs and Archimedes.
  19.  
  20. One IPC (morpock) exports the important filesystems (like /home,
  21. /var/spool/mail and various /usr directories) and is also the NIS server.
  22. Nobody except root is allowed to log onto this machine and the machine
  23. is prom-protected.
  24.  
  25. Another IPC (skund) has two ethernet cards and is the interface to the
  26. outside world. ip_forwarding is switched off in the kernel, and users must
  27. log onto this machine to connect to/from the outside world from/to
  28. our system. This machine is the mail server. It is also prom-protected.
  29.  
  30. I have been attempting to find away to allow telnet, ftp, etc on skund
  31. to use the DNS service provided by the computer services department of the
  32. Uni. Creating an /etc/resolv.conf file with the appropriate address works
  33. for nslookup, but fails for telnet, ftp, etc.
  34.  
  35. I have changed the Makefile in /var/yp on morpock to #define B=-b as it
  36. says to do to no avail. Putting an /etc/resolv.conf on morpock to point to
  37. the outside world would not work, and I assume that pointing to skund would
  38. require skund to be running in.named.
  39.  
  40. The ideas I came up with either do not appear to work, or would be troublesome
  41. to maintain, or would weaken the already fragile security that exists:
  42.  
  43. 1) make skund into a slave forwarding DNS resolver.
  44.    After creating an /etc/resolv.conf file on morpock pointing to skund,
  45.    I created the config file on skund that the admin/networking manual said to:
  46.  
  47. /etc/named.boot:
  48. forwarding 134.225.2.4 134.225.2.1 ; machines to get names from
  49. slave ; tell named not to bother looking up anything locally
  50.  
  51.    and ran in.named but I still get "unknown host" when attempting telnet, ftp.
  52.  
  53. 2) make skund a slave NIS server.
  54.    Would solve the name lookup problem (I think) but would create other problems.
  55.    We have lots of CS students next door, and every year a couple of them attempt
  56.    to wreak havoc there. Their sysadmin tells me that the extent of their security
  57.    (just about) is to protect their NIS server.
  58.    ergo: this solution doesn't seem too sensible.
  59.  
  60. 3) make skund into a DNS name-server. 
  61.    Boy, that is hard work. Also seems like overkill since I dont need any
  62.    of our machines to be visible to the outside world (except skund which 
  63.    already is).
  64.  
  65. 4) "switch off" NIS on skund.
  66.    Difficult to maintain extra sets of passwords, hosts tables, etc and
  67.    would conceivably be as vulnerable as running a NIS server on the machine
  68.    in the first place. Also might not work since NIS is the bit that looks
  69.    to DNS, and if NIS isn't running the libraries won't. (I think)
  70.  
  71. 5) create a front end to all the system commands that take numbers or names.
  72.    Would involve creating a front end to each command that replaces the name
  73.    with the number. Something like:
  74.  
  75.      skund% FTP susssys1.rdg.ac.uk
  76.  
  77.    which would take the address, do the lookup and return the number, then call
  78.    the real routine. Might even be better to write a script like:
  79.  
  80.      skund% TO susssys1.rdg.ac.uk ftp WHERE
  81.  
  82.    or:
  83.  
  84.      skund% TO susssys1.rdg.ac.uk telnet WHERE 6969
  85.  
  86.    that performs the nslookup, extracts the relevant information and calls
  87.    the command with "WHERE" replaced by the number.
  88.    This would be easy to do, but would require the user to master additional
  89.    information. Also it is ugly.
  90.  
  91. I would prefer to get (1) to work as it would seem to be the nicest solution.
  92. If anyone can explain to me how to get it working I would be eternally grateful
  93. for five minutes. It would be nice to understand where I went wrong.
  94.  
  95. Otherwise, I will probably write the shell script for (5) and leave it at that.
  96.  
  97. PS. don't blame me for the machine names. I inherited them from the previous admin.
  98.  
  99. thanks in advance,
  100. Jonathan
  101. aka root@cyber.rdg.ac.uk
  102. -- 
  103. Jonathan H N Chin (9 kyu) \ Dept. of Cybernetics, \ "Respondeo, etsi mutabor"
  104. shrchin@uk.ac.rdg.susssys1 \ University of Reading \
  105. bq305@cleveland.freenet.edu \ Box 225, Whiteknights \ < Rosenstock-Huessy >
  106. jockstrap,mandy@CyberSpaceII \ Reading, RG6 2AY, U K \
  107.