>[оверквотинг удален]
> allow-recursion { trusted; };
>};
>
>
>Как заставить BIND анонсировать root сервера, вместо "Query refused", для машин, не
>попадающих под acl "trusted".
>
>PS: с учетом того что в кэше нет запрашиваемой записи и ns
>сервер не обслуживает запрашиваемый домен?
>Заранее спасибо.

DNS служба в принципе ничего никому никогда не анонсирует ))) Лишь отвечает ответом на запрос.
И зачем вообще отдавать root сервера тем, кому в принципе запрещена рекурсия?
Чето ты не то братал куришь )))

>DNS служба в принципе ничего никому никогда не анонсирует ))) Лишь отвечает
>ответом на запрос.

1. Я ошибся в формулировке. Возился целый день с BGP, вот и вылезло это слово.

>И зачем вообще отдавать root сервера тем, кому в принципе запрещена рекурсия?

2. Есть NS сервер. При запросе к нему он отвечает следующее, как пример:

>ns.ya.ru
Server:   xx.xxxxxx.xx
Address:  xxx.xxx.xxx.xxx
Name:    ns.ya.ru
Served by:
- ns1.yandex.ru
          ya.ru
- ns5.yandex.ru
          ya.ru

Рекурсия для машины, с которой велся запрос не разрешена. На все запросы отвечает либо обслуживающими NS серверами, либо root'ами.
На другом NS сервере такого нет. Он отвечает коротко - can't find [bla.bla.bla]: Query refused

Хочу разобраться где конфиг.

А зачем отвечать rootами? Как вариант для тех, у кого этот ns указан в "Forwarders".

>[оверквотинг удален]
>
>          ya.ru
>- ns5.yandex.ru
>
>          ya.ru
>
>Рекурсия для машины, с которой велся запрос не разрешена. На все запросы
>отвечает либо обслуживающими NS серверами, либо root'ами.
>На другом NS сервере такого нет. Он отвечает коротко - can't find
>[bla.bla.bla]: Query refused

кури маны на isc.org для своей версии
где по моему раньше я это видел в манах

>Хочу разобраться где конфиг.
>
>А зачем отвечать rootами? Как вариант для тех, у кого этот ns
>указан в "Forwarders".

те у кого приписан тво днс как форвардер -  будут либо рекурсивный запрос слать либо сами резолвить, то что твой сервак им ответит в случае отказа в рекурсии им както пофегу )

А какой смысл отдавать "Served by" тогда? Есть соображения?
Мое мнение такое: те у кого приписан этот ns как форвардер - при получении ns-ов, указанных в served by - пойдет именно к ним и рекурсивом дойдет до целевого домена, а не начнет с корневых.

Неужели никто не встречался с подобной ситуацией? :(

>Неужели никто не встречался с подобной ситуацией? :(

если тебя интересует это - советую покурить маны и гугла

>Как заставить BIND анонсировать root сервера, вместо "Query refused", для машин, не
>попадающих под acl "trusted".
>
>PS: с учетом того что в кэше нет запрашиваемой записи и ns
>сервер не обслуживает запрашиваемый домен?
>Заранее спасибо.

Честно говоря, не совсем дошел смысл вопроса. Ты хочешь запретить запросы от нот trusted хостов?

Вдогонку. А видами не пробовал дело разрулить? Например вид на trusted c allow-recursion и вид на всех остальных, где будет находится зона рутов и ваши домены(если вы их обслуживаете).

>Вдогонку. А видами не пробовал дело разрулить? Например вид на trusted c
>allow-recursion и вид на всех остальных, где будет находится зона рутов
>и ваши домены(если вы их обслуживаете).

ты совершенно не понимаешь для чего нужны виды, делать виды для ограничения рекурсии клинический идиотизм!
если интересно могу обосновать

Ребят,разрешать/запрещать необходимость отпала, просто интерестно для чего это нужно и как это сделать. Гугл перерыл - ничего толкового не нашел. На и запрос непонятно как составлять - незная что это.  

>Ребят,разрешать/запрещать необходимость отпала, просто интерестно для чего это нужно и как это
>сделать. Гугл перерыл - ничего толкового не нашел. На и запрос
>непонятно как составлять - незная что это.

из доки бинда:

recursion If yes, and a DNS query requests recursion, then the server will attempt to do all the work
required to answer the query. If recursion is off and the server does not already know the answer, it
will return a referral response. The default is yes. Note that setting recursion no does not prevent
clients from getting data from the server’s cache; it only prevents new data from being cached as
an effect of client queries. Caching may still occur as an effect the server’s internal operation, such
as NOTIFY address lookups. See also fetch-glue above.

ключевая фраза:
If recursion is off and the server does not already know the answer, it
will return a referral response

>>Вдогонку. А видами не пробовал дело разрулить? Например вид на trusted c
>>allow-recursion и вид на всех остальных, где будет находится зона рутов
>>и ваши домены(если вы их обслуживаете).
>
>ты совершенно не понимаешь для чего нужны виды, делать виды для ограничения
>рекурсии клинический идиотизм!
>если интересно могу обосновать

Мистер возможно ты и не понимаешь для чего нужны виды). В некоторых случаях неприменение их - твой клинический идиотизм. Могу обосновать

>>>Вдогонку. А видами не пробовал дело разрулить? Например вид на trusted c
>>>allow-recursion и вид на всех остальных, где будет находится зона рутов
>>>и ваши домены(если вы их обслуживаете).
>>
>>ты совершенно не понимаешь для чего нужны виды, делать виды для ограничения
>>рекурсии клинический идиотизм!
>>если интересно могу обосновать
>
>Мистер возможно ты и не понимаешь для чего нужны виды). В некоторых
>случаях неприменение их - твой клинический идиотизм. Могу обосновать

обоснуй применение технологии видов вместо использования allow-recursion

>
>обоснуй применение технологии видов вместо использования allow-recursion

Например: я являюсь ISP. Кроме того, я являюсь админом Х-тучи зон первого и второго уровня. Так вот неохото разрешать рекурсивные запросы для всех. Логично? Логично. Закрыть все запросы извне я тоже не могу. Логично? Логично. Именно тогда и вступают в действие виды, для того,чтобы я мог отдавать извне инфу о своих зонах.

PS: Читай - в моем посте было сказано использование view не вместо рекурсии а вместе с ней.

>>
>>обоснуй применение технологии видов вместо использования allow-recursion
>

мдааа ....
>Например: я являюсь ISP. Кроме того, я являюсь админом Х-тучи зон первого
>и второго уровня.

Так вот неохото разрешать рекурсивные запросы для всех.
ну это естественно, рекурсивные запросы как правило разрешаются только своим клиентам
>Логично? Логично.

угу - тока логичность на этом кончилась )))
>Закрыть все запросы извне я тоже не могу. Логично?
>Логично.

вот и нелогичности пошли - ты путаешь два понятия - "запрос" и "рекурсивный запрос"
второе частный случай первого
зоны, для которых сервер является авторитативным - резолвятся всегда, даже если рекурсия закрыта, и не резолвятся лишь тем, кому вообще запрещены запросы.
>Именно тогда и вступают в действие виды, для того,чтобы я
>мог отдавать извне инфу о своих зонах.

виды - механизм совершенно для другово, фактически можно сказать что это межанизм виртуализации днс сервера с разбивкой по src_ip клиента - те разные группы клиентов по разномы видят сервер - В ТОМ ЧИСЛЕ ВНУТРИ ВИДА КАК ЧАСТНЫЙ СЛУЧАЙ можно управлять рекурсие подобно глобальным настройкам описанным выше
виды применяют как правило для хитро выепнутых случаев, допустим резолвить свои сервера
внутри приватной сети по реальным именам, но чтобы отдавался приватный айпи в случаях когда у серваком несколько интерфейсов и часть смотрит в локалку и тд
для случаи ISP любово масштаба использование видов противопоказано
например ты знаешь что у каждого созданного вида собственный независимый кеш? и это может тупо приводить к увеличению трафика при большом потоке запросов на оба вина?
>PS: Читай - в моем посте было сказано использование view не вместо
>рекурсии а вместе с ней.

P.S. виды виды - выучил слово и давай на право налево постить даже не понимая что это такое

овершенно для другово, фактически можно сказать что это межанизм
>[оверквотинг удален]
>и тд
>для случаи ISP любово масштаба использование видов противопоказано
>например ты знаешь что у каждого созданного вида собственный независимый кеш? и
>это может тупо приводить к увеличению трафика при большом потоке запросов
>на оба вина?
>>PS: Читай - в моем посте было сказано использование view не вместо
>>рекурсии а вместе с ней.
>
>P.S. виды виды - выучил слово и давай на право налево постить
>даже не понимая что это такое

Разговор ни о чем. Что хотел ты доказать - неясно. Про все что тобой было сказано - знаю... как это сказать ... без Вас). Ты спросил когда их можно использовать - я тебе сказал. Все остальное - воду в решете носишь. А вопрос о их использовании - это дело каждого. И не рассказывай теории, а то запостю теории - будешь читать до нового года. Ты дохрена OpenDNS-ов встречал?

У меня приблизительно такая же проблема. Днс, несколько зон, на самом сервере nslookup проходит куда угодно, с локальной сети только на мои зоны, на всё остальное отвечает query refused

хотя строка allow-query { any ;}; присуствует в named.conf

И вторая проблема в rc.conf строка enable_named="YES" присутствует, но при загрузке пишет что файл named.root отсутствует. Хотя если запустить неймд вручную, всё ок, и файл находит.
Всё запускается от рута.
Помогите пожалуйста..гугл перерыл, форум тоже...нашел лишь вот эту похожую тему

>У меня приблизительно такая же проблема. Днс, несколько зон, на самом сервере
>nslookup проходит куда угодно, с локальной сети только на мои зоны,
>на всё остальное отвечает query refused
>
>хотя строка allow-query { any ;}; присуствует в named.conf
>
>И вторая проблема в rc.conf строка enable_named="YES" присутствует, но при загрузке пишет
>что файл named.root отсутствует. Хотя если запустить неймд вручную, всё ок,
>и файл находит.

скорей всего на автомате у тебя пытается запустится предустановленный в систему бинд,
когда пускаешь ручками - видимо запускается другой
>Всё запускается от рута.
>Помогите пожалуйста..гугл перерыл, форум тоже...нашел лишь вот эту похожую тему

смотри пути

>Разговор ни о чем. Что хотел ты доказать - неясно. Про все
>что тобой было сказано - знаю... как это сказать ... без
>Вас). Ты спросил когда их можно использовать - я тебе сказал.
>Все остальное - воду в решете носишь. А вопрос о их
>использовании - это дело каждого. И не рассказывай теории, а то
>запостю теории - будешь читать до нового года. Ты дохрена OpenDNS-ов
>встречал?

разговор о том что ты ляпнул хуйню - почему, читай выше

>>Разговор ни о чем. Что хотел ты доказать - неясно. Про все
>>что тобой было сказано - знаю... как это сказать ... без
>>Вас). Ты спросил когда их можно использовать - я тебе сказал.
>>Все остальное - воду в решете носишь. А вопрос о их
>>использовании - это дело каждого. И не рассказывай теории, а то
>>запостю теории - будешь читать до нового года. Ты дохрена OpenDNS-ов
>>встречал?
>
>разговор о том что ты ляпнул хуйню - почему, читай выше

Разговор о том что ты ляпнул херню - читай пост сначала

>>разговор о том что ты ляпнул хуйню - почему, читай выше
>
>Разговор о том что ты ляпнул херню - читай пост сначала

те не надоел твой тупой флейм???
ты про виды ляпнул - тебя никто за язык не тянул - ляпнуд не в теме и не к месту

Лучше помогите с моим вопросом вместо того что бы выяснять кто прав а кто нет...
query refused получаю и с локалной сети и с инета...лиш мои зоны вижу, пингую и т.д.

>Лучше помогите с моим вопросом вместо того что бы выяснять кто прав
>а кто нет...
>query refused получаю и с локалной сети и с инета...лиш мои зоны
>вижу, пингую и т.д.

может ты покажешь для начала полный конфиг и скажешь версию? ТЕЛЕПАТОВ ТУТ НЕТ!

Всем спасибо, уже решил сам...
как пришел так и ушел ;)

>Всем спасибо, уже решил сам...
>как пришел так и ушел ;)

ну дак изложи чтобы тебеподобные мозг не сношали )

>Лучше помогите с моим вопросом вместо того что бы выяснять кто прав
>а кто нет...
>query refused получаю и с локалной сети и с инета...лиш мои зоны
>вижу, пингую и т.д.

Присоединяюсь к товарищу Pahanivo. Покажи список процессов, которые у тебя забурублированы в системе. Покажи конфигу ДНС - файлик options и named-а.

>>>разговор о том что ты ляпнул хуйню - почему, читай выше
>>
>>Разговор о том что ты ляпнул херню - читай пост сначала
>
>те не надоел твой тупой флейм???
>ты про виды ляпнул - тебя никто за язык не тянул -
>ляпнуд не в теме и не к месту

ППц. Лол. ))