Доброго дня!
Имеется СentOs c bind9 в роли мастера. Недавно заметил, что некоторые имена dig не резолвит - ;; connection timed out; no servers could be reached
==========================================================================================
named.conf:
options
{
query-source address * port 53;
dump-file "data/cache_dump.db";
statistics-file "data/named_stats.txt";
memstatistics-file "data/named_mem_stats.txt";
version "no version info";};
logging
{
channel debug_syslog {
syslog local1;
severity dynamic;
print-category yes;
};
category default { debug_syslog; };
channel lame-server {
file "/var/log/lamers.log" versions 99 size 10M;
severity info;
print-time yes;
};
category lame-servers { lame-server; };
};view "external"
{
match-clients { any; };
match-destinations { any; };recursion yes;
zone "domain.ru" IN {
type master;
file "domain.ru";
allow-transfer { S.L.A.V.E; };
allow-update { localhost; };
};key "rndckey" {
algorithm hmac-md5;
secret "";
};
controls { inet 127.0.0.1 port 953 allow { localhost; } keys {"rndckey"; }; };
=========================================================================================
В resolv.conf соответственно указан 127.0.0.1
=========================================================================================
Вывод netstat -an | grep LISTEN :tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:1012 0.0.0.0:* LISTEN
tcp 0 0 10.136.81.251:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp 0 0 :::80 :::* LISTEN
tcp 0 0 :::22 :::* LISTEN
tcp 0 0 :::443 :::* LISTEN
=========================================================================================
Cервер находится в DMZ, перенаправление портов работает - telnet`ом на 53 порт "белого" адреса пускает. Свою зону тоже нормально передает.
Сейчас времмено поставил forward на гуглоднс, но неправильно как бы это.
Не знаю куда думать.....
мая сильно сомневаться что без hint'а у вас биндец вообще что-то резолвит
какой смысл был кидать сюда этот безсмысленный кусок конфига?
> recursion yes;Безотносительно к существу темы (ибо пока все мутно, ввиду недостатка информации). Разрешать рекурсию всем подряд - довольно рискованный шаг. Создайте acl, в котором пропишите свои сети (которые обслуживаете) и им уже разрейшайте рекурсивные запросы через свой сервер. Ну и вообще-то лично я это в конфиге задавал через allow-recursion, allow-query, allow-update. Разрешаю все на глобальном уровне только своим, а в файлах зон, за которые отвечает сервер уже прописывал allow- в any.
бывают ns-сервера нормально не работающие, не настроенные, часто отваливающиеся...
те нахрена у афтара только один вью никого не смутило? )) а у меня вот вопрос а нахрена вообще тут вью ))
> те нахрена у афтара только один вью никого не смутило? )) а
> у меня вот вопрос а нахрена вообще тут вью ))а не заморачивайся, со временем, надоест, я глянул на полуконфиг и понял что задавать
наводящие вопросы не хочу, заниматься мазо...навеяло:
- ждите ответа... - ждите ответа... ждите ответа...
- ждите вопроса...ну а в данном случае наоборот
:)
> те нахрена у афтара только один вью никого не смутило? )) а
> у меня вот вопрос а нахрена вообще тут вью ))Там много, что смутило. Рекурсия просто на глаза попалась. :)
>> те нахрена у афтара только один вью никого не смутило? )) а
>> у меня вот вопрос а нахрена вообще тут вью ))
> Там много, что смутило. Рекурсия просто на глаза попалась. :)Про root.hints - прошу прощения, случайно стер вместе с остальным закомментированным текстом.
естественно он есть.Про рекурсию спасибо за совет, исправлю.
Про вью - раньше были остальные, потом утратили актуальность - их закомментили, соотвественно он один и остался...
Вы бы еще фразу "некоторые имена dig не резолвит" как-то раскрыли бы. :)
> Вы бы еще фразу "некоторые имена dig не резолвит" как-то раскрыли бы.
> :)Для примера:
==========================================================================================
dig mail.ru; <<>> DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.6 <<>> mail.ru
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7501
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 6, ADDITIONAL: 0;; QUESTION SECTION:
;mail.ru. IN A;; ANSWER SECTION:
mail.ru. 33 IN A 217.69.139.199
mail.ru. 33 IN A 217.69.139.201
mail.ru. 33 IN A 94.100.180.199
mail.ru. 33 IN A 94.100.180.201;; AUTHORITY SECTION:
mail.ru. 572 IN NS ns.mail.ru.
mail.ru. 572 IN NS ns1.mail.ru.
mail.ru. 572 IN NS ns2.mail.ru.
mail.ru. 572 IN NS ns3.mail.ru.
mail.ru. 572 IN NS ns4.mail.ru.
mail.ru. 572 IN NS ns5.mail.ru.;; Query time: 3 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Fri Jun 21 10:22:44 2013
;; MSG SIZE rcvd: 196
=========================================================================================
dig twitter.com; <<>> DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.6 <<>> twitter.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 65359
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0;; QUESTION SECTION:
;twitter.com. IN A;; Query time: 4 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Fri Jun 21 10:22:53 2013
;; MSG SIZE rcvd: 29
=========================================================================================
Ответа не приходит.....
или вот:
dig nnpcto.ru; <<>> DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.6 <<>> nnpcto.ru
;; global options: printcmd
;; connection timed out; no servers could be reachedПричем думает он в любом случае секунды 3-4.
Чисто навскидку. Алгоритм, который пришел в голову. Даем с сервера dig @8.8.8.8 NS twitter.com (гугловский ДНС, ага). Смотрим NS-серверы, отвечающие за зону Твиттера. Даем на каждый из них dig @NS_name twiiter.com. Смотрим - отвечает ли (могу предположить, что не ответит). Пингуем кажный из них по очереди - смотрим, доступен ли он по сети. Ну вот где-то так, пожалуй. Если пинга нет - пытаемся понять причину (трасернуть, например).
> Чисто навскидку. Алгоритм, который пришел в голову. Даем с сервера dig @8.8.8.8
> NS twitter.com (гугловский ДНС, ага). Смотрим NS-серверы, отвечающие за зону Твиттера.
> Даем на каждый из них dig @NS_name twiiter.com. Смотрим - отвечает
> ли (могу предположить, что не ответит). Пингуем кажный из них по
> очереди - смотрим, доступен ли он по сети. Ну вот где-то
> так, пожалуй. Если пинга нет - пытаемся понять причину (трасернуть, например).Спасибо за совет! NS-cервер twitter.com - ns2.p34.dynect.net (204.13.25.34)
=======================================================================================
dig @204.13.25.34 twitter.com
; <<>> DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.6 <<>> @204.13.25.34 twitter.com
; (1 server found)
;; global options: printcmd
;; connection timed out; no servers could be reached
=======================================================================================
Однако пинг на них идет....и на 53 порт телнетом тоже пускает...А не может быть проблема в отбрасыванию по таймауту - мне задумчивость сервера не нравиться, в случае с форвардом на гуглоднс пуляет мгновенно.
> Однако пинг на них идет....и на 53 порт телнетом тоже пускает...а с каких это пор днс стал использовать tcp протокол?
>> Однако пинг на них идет....и на 53 порт телнетом тоже пускает...
> а с каких это пор днс стал использовать tcp протокол?да лет 10 уже как
с внедрением подписи зон.
Собственно вот из-за таких как ты все нормальные люди маются с отравлениями кешей и подделкой днс
>>> Однако пинг на них идет....и на 53 порт телнетом тоже пускает...
>> а с каких это пор днс стал использовать tcp протокол?
> да лет 10 уже как
> с внедрением подписи зон.
> Собственно вот из-за таких как ты все нормальные люди маются с отравлениями
> кешей и подделкой днса при чем тут подпись зон к разрешению имен? Ты б еще за трансфер зон вспомнил, клоун :D
>> Однако пинг на них идет....и на 53 порт телнетом тоже пускает...
> а с каких это пор днс стал использовать tcp протокол?Чёж ты так палишься то?! :-)
> Чёж ты так палишься то?! :-)Мужики, не ругайтесь. Давайте по существу :)
>> Чёж ты так палишься то?! :-)
> Мужики, не ругайтесь. Давайте по существу :)а если по существу, то для начала определись, что ты проверяешь через telnet и что у тебя не работает ;)
Файрволл на ДНС-сервере погасите, если он запущен. И попробуйте без него проверить. tcpdump-ом послушайте интерефейс ДНС-сервера в тот момент, когда резолвинг не идет. Ну а проверять UDP телнетом как-то не очень разумно. ;) Вот, что Вам пытался донести товарисч.
> Файрволл на ДНС-сервере погасите, если он запущен. И попробуйте без него проверить.
> tcpdump-ом послушайте интерефейс ДНС-сервера в тот момент, когда резолвинг не идет.
> Ну а проверять UDP телнетом как-то не очень разумно. ;) Вот,
> что Вам пытался донести товарисч.+ разобрать настройки named.conf и наличие форварда, попробовать с ним и без
+ разобрать resolv и nsswitch.conf
+ разобрать firewall и nat если есть и если named внутри DMZ с технологическим адресом
+ разобрать лог от debug'а, как отрабатывают запросы и куда идут
+ увеличить timeout от резолверавобщем +++ разобрать и все.
Ребята, привет. Need help. Установил bind9 на виртуалку ubuntu. Не резолвятся имена. C ip адресами проблем нет. Конфига bind не сложная, могу отписаться.mtr <ip> выглядит так:
1. gw.charka.com
2. 10.10.10.9
3. 10.10.10.5
4. 217.150.111.2
5. win.charka.comА mtr hostname так:
root@DARWIN:/etc/bind# mtr win.charka.com
Failed to resolve host: Name or service not knownСпасибо за помощь заранее!