Jump to content
Froxlor Forum

Shortie

Members
  • Posts

    130
  • Joined

  • Last visited

  • Days Won

    27

Posts posted by Shortie

  1. 23 minutes ago, Afox said:

    Danke für die Erklärungen.

    Abseits davon habe ich noch eine Frage bezüglich des Slave und dessen Nutzungshäufigkeit. Angenommen man hat ns1 als Primary und ns2 als Secondary angegeben. Wird dann immer der Primary zuerst kontaktiert oder ist das abwechselnd? Habe was von Round Robin gelesen. Ich frage auch weil ich überlege einen deutlich schwächeren Secondary anzubieten, aber nur wenn der wirklich nur ein Backup ist für den Fall dass ns1 nicht erreichbar ist.

    Ist RR Prinzip. Was heißt denn deutlich schwächer und wieviele Domains soll der verwalten? DNS ist nicht so resourcenintensiv. Einer meiner DNS läuft seit mehr als 6 Jahren mit derselben Hardware und macht sonst nur Backupserver noch.

  2. 1 hour ago, Afox said:

    Die Config von dem Slave würde ich gerne mal sehen :D

    Da muss doch etwas geskripted sein?! Irgendwie mit rsync und Umschreibungen oder so...

    Die Config ist kein Hexenwerk und rsync usw. brauchst du nicht. Lediglich ein Script auf dem Slave was dir die Domain / Zone (siehe mein Post weiter oben) in die named.conf.slave (oder wie du die immer nennen magst) einträgt und bind neu startet. Dann holt der Slave sich die Zone automatisch über AXFR vom Master.

    Mein DNS läuft unabhängig von Froxlor und sieht grob ausgedrückt so aus:

    Auf dem Master habe ich ein Script was mir die Domain in named.conf.master einträgt und die Zonendatei aus einem Template erstellt (sed für das Datum in der Seriennummer usw.), dann den bind neustartet und über ssh gleich noch das Script auf den Slave mit zwei Parametern (Domainname und IP des Masters) aufruft.

  3. 2 hours ago, d00p said:

    Also wir nutzen 2 externe slaves die wir nicht verwalten und ich wüsste nich das wir da irgendwo irgendwas an domains eingetragen/gemeldet/oder sonstwas haben. Also muss es ja irgendwas geben was eingehende AXFR entsprechend so handlet das der Slave sie kennt - hat halt sogesehen nicht mehr allzuviel mit froxlor ansich zu tun, da kann ich dir nur bedingt helfen

    Dann ist es klar, dass ihr nichts tun müsst. Vermutlich wird beim anmelden oder registrieren der Domain gleich automatisch der Slave bereitgestellt.

  4. 3 hours ago, d00p said:

    Hä? Garnicht, du sagst dem slave natürlich wer sein master ist...sonst nix, du gibst doch da keine domains/zonen speziell an

    ich muß doch dem Slave eine Konfiguration mitgeben, dass dieser weiß dass er für eine Domain zuständig ist:

    # Slave zone statement for forward DNS lookup
    zone "domain.com" IN {
            type slave;
            file "domain.com";
            masters { 192.168.2.5; };
    };

    und diese Konfiguration geht meines Wissens nicht automatisch aus bind, sondern nur über externe Scripte oder dein Registrar wenn dort der Slave läuft (bspw. bei Schlundtech oder InternetX möglich).

  5. On 10/15/2021 at 1:02 PM, d00p said:

    Was glaubst du wozu AXFR da ist?

    Ich mach da auf den Slaves genau nix

    Wie sagst du einem Slave automatisch dass er für eine Domain / Zone zuständig ist?

    AXFR macht doch nur Zonen-Updates oder hab ich was übersehen?

  6. 1 hour ago, Afox said:

    Bezüglich des DNS Server bin ich noch über ein "Problem" gestolpert. Und zwar habe ich bei meinen Domains teilweise auch private IP Adressen hinterlegt und gesehen dass diese ebenfalls in den Records auftauchen. Frage wäre ob es möglich wäre diese privaten Bereiche auszuschließen/zu entfernen?

     

    Wird mit Froxlor generierten Zonen und Configs wahrscheinlich nicht gehen, aber generell geht das.
    BIND 9 kann das in Abhängigkeit des Clients - also woher die Abfrage kommt. Das bedeutet Du musst ACLs und Views einführen. Schau dir Example 2 in folgendem Link an:

    https://kb.isc.org/docs/aa-00851

  7. Kleiner Hinweis: Offene DNS Resolver sind nicht so gerne gesehen und unter Umständen ein Sicherheitsproblem.

    Daher sollten deine Nameserver nur für bestimmte IP-Adressen oder Netze rekursive Resolverdienste anbieten. Schwierig wird's also die ACL entsprechend aktuell zu halten, wenn deine Clients hinter einer dynamischen IP-Adresse sitzen.

  8. Vielleicht wäre schon mal ein Ansatz, dass es im auf der linken Seite ein automatisches Untermenü gibt um eigene Seiten aus einem vorgegebenen Verzeichnis (html oder auch php) einzubinden. Fände ich persönlich gut um eine Hilfe, bspw. ein Formular um eine Domain zu bestellen oder kündigen oder einfach eine Liste von PDFs einzubinden.

  9. Wenn es nur um spezifische Dateien geht, geht auch das Apache Modul mod_maxminddb und die GeoLite2 Datenbank um die Zugriffe nur von Deutschland (oder beliebig anderen Ländern) aus zuzulassen. Das reduziert die Versuche ebenfalls innerhalb kurzer Zeit erheblich. Allerdings sollte man natürlich wissen von wo aus die eigenen Kunden zugreifen.

    .htaccess Beispiel für Wordpress:

    <IfModule mod_maxminddb.c>
    MaxMindDBEnable On
    MaxMindDBFile DB /usr/share/GeoIP/GeoLite2-Country.mmdb
    MaxMindDBEnv MM_COUNTRY_CODE DB/country/iso_code
    SetEnvIf MM_COUNTRY_CODE ^(AT|CH|DE) AllowCountry
    </IfModule>
    
    <IfModule mod_authz_core.c>
    <Files wp-login.php>
    Require env AllowCountry
    </Files>
    <Files xmlrpc.php>
    Require all denied
    </Files>
    </IfModule>
    
    # BEGIN WordPress
    # Die Anweisungen ...

    Zugriffe auf wp-login.php aus deutschsprachigen Länder (DE, AT, CH) werden zugelassen.

    Zugriffe auf xmlrpc.php komplett abgelehnt.

  10. Dovecot can automatically create folders and automatically subscribe users to this folder. Therefore you need to adjust /etc/dovecot/conf.d/15-mailboxes.conf.

    After that, you have to deliver the mails through sieve filters as d00p mentioned.

  11. Die Hauptdomain normal anlegen und bei ServerAlias-Angabe für Domain: nur www oder kein Alias auswählen.
    Die gewünschte Subdomain dann als normale Domain anlegen. Dort ebenfalls nur www oder kein Alias auswählen. Dann gehen die IP Einschränkungen und es ist sogar kundenübergreifend.

    Funktioniert bei mir so seit Jahren wenn ich Kundenwebseiten während der Erstellen anlegen muss ohne bereits die Domain zu haben (weil noch bei anderem Provider). Möglicherweise gehts auch mit Wildcard, was ich aber nie getestet habe.

  12. 1 hour ago, CHF said:

    In /var/TEST/tmp legt es froxlor.panel mit recht restriktiven Rechten an und darin darf es dann auch schreiben:

    Das leuchtet mir nicht ein und daher möchte ich das unbedingt verstehen. „Laß die Defaults, dann geht es“ reicht mir da nicht.

    Danke übrigens schon mal für die ganzen Hinweise.

    Viele Grüße, Christoph

    was leuchtet da nicht ein? Unter /var/TEST/tmp oder den Defaults entsprechend /var/customers/tmp werden für jeden Kunden Unterverzeichnisse angelegt in die nur dieser Kunde schreiben darf. Das ist sicherheitsrelevant weil somit da auch Dinge temporär abgelegt werden können ohne dass andere Kunden darauf zugreifen können.

  13. 11 hours ago, iam said:

    Damit hast du dir die Frage fast schon selber beantwortet.
    Wenn der Kunde dann doch wieder bestellt, legst du direkt alles doppelt und dreifach an?

    Wir haben Vertragsfreiheit in Deutschland. Sprich wenn ein Kunde trotz mehrmaliger Aufforderung nicht zahlt oder dauerhaft ein schlechtes Zahlungsverhalten an den Tag legt, wird eine ordentliche Kündigung ausgesprochen. Meist haben solche Kunden zwar 1-3 Domains aber da bin ich mittlerweile so schmerzfrei, dass ich die Domainkosten trage bis Laufzeitende weil diese i.d.R geringer sind als der ganze Aufwand den Kunden weiter über einen weiteren Zeitraum mit Rechnungen (meist auch noch nur im unteren 2-stelligen Bereich pro Quartal) und Mahnungen zu versorgen. Solche Kunden werden dann auch normalerweise nicht wiederkommen oder eben nicht mehr angenommen.

  14. 31 minutes ago, iam said:

    - Wenn der Kunde deaktiviert wurde und dessen Domain(s) LE nutzt, dann führe ACME remove aus.
    - Wenn der Kunde reaktiviert wurde und dessen Domain(s) LE nutzt, dann führe ACME add aus.

    Warum sollte ich überhaupt einen Kunden deaktivieren und reaktivieren?

    Ein Kunde wird ja im Normalfall deaktiviert weil er gekündigt hat / wurde. Ein Sperrung bzw. Deaktivierung des Webpakets bei Zahlungsverzug ist nicht zulässig.

×
×
  • Create New...