Здравствуйте все!
Есть два сервера ДНС Dind 9, один мастер другой слэйв, сервера живут в ДМЗ, имеют внутренние адреса, в "свет" выходят за НАТом.
Проблема в том что хочу разместить свою обратную зону у себя на серверах ДНС, в райпе исправляю днc, но резолвинга нет, хотя внутри все резолвится, самое интересное что один сервер из всех нужных в записях PTR резолвится нормально, остальные нет.
Конфиги описание зоны
20 IN PTR ur-hq-dns-01.x.x.x.
19 IN PTR ur-hq-dns-02.x.x.x.
27 IN PTR ur-hq-mr-01.x.x.x.
26 IN PTR ur-hq-mr-02.x.x.x.
15 IN PTR owa.x.x.x.named.comf.local
zone "x.x.195.in-addr.arpa" {
type master;
also-notify { 10.x.x.10; };
file "/etc/bind/db.195";
allow-transfer { 10.x.x.x; };
allow-query { any; };
};Логи запроса:
C:\Users\oem>nslookup 195.x.x.19 195.x.x.20
╤хЁтхЁ: UnKnown
Address: 195.x.x.20╚ь : ur-hq-dns-02.x.x.x
Address: 195.x.x.19
-------------------------------------
C:\Users\oem>nslookup 195.x.x.27 195.x.x.20
╤хЁтхЁ: UnKnown
Address: 195.x.x.20*** UnKnown не удалось найти 195.x.x.27: Query refused
А named.comf.local заместо conf -- это просто опечатка только в вашем сообщении?
> А named.comf.local заместо conf -- это просто опечатка только в вашем сообщении?Да конечно опечатка :)
> Логи запроса:
> C:\Users\oem>nslookup 195.x.x.19 195.x.x.20
> ╤хЁтхЁ: UnKnown
> Address: 195.x.x.20Забавно, что он даже себя по имени не резолвит.
> C:\Users\oem>nslookup 195.x.x.27 195.x.x.20
> ╤хЁтхЁ: UnKnown
> Address: 195.x.x.20
> *** UnKnown не удалось найти 195.x.x.27: Query refusedПроверьте, что Ваши NS сервера стали авторитативные для зоны "x.x.195.in-addr.arpa"
после изменений в RIPE.
> Проверьте, что Ваши NS сервера стали авторитативные для зоны "x.x.195.in-addr.arpa"
> после изменений в RIPE.Райп обычно присылает письмо, что, мол "усё путем, сверка зон на обоих НС прошла". Ну, или не прошла - по такой-то причине. Или в интерфейсе райповом это светится - не помню ужо, давно от них делегирование, как LIR, получали.
Робот RIPE сообщает письмом или в веб-апдейте, что ему не понравилось в делегировании обратной зоны. Делегирование зоны лучше проверять откуда-нибудь снаружи, спрашивая, например SOA зоны. В хендбуке райпа подробно написано как делегировать обратку.
Немного поясню с райпом, домен x.x.195.in-addr.arpa был у нашего провайдера, права на управления этим доменом провайдер передал нам, а вот сервера NS пока провайдерские в домене нарисованы, когда меняю на свои вот и получается трабл. Меняется сразу, через различные сайты типа nslookup проверяю резолвинг, и он проходит только на один сервер, остальные не берет... на долго не получается менять, т.к. при отсутствии PTR записи MX почта почти вся перестает ходить на вне. Вот такая ситуация.
> Немного поясню с райпом, домен x.x.195.in-addr.arpa был у нашего провайдера, права на
> управления этим доменом провайдер передал нам, а вот сервера NS пока
> провайдерские в домене нарисованы, когда меняю на свои вот и получается
> трабл.ЧТО написано в интерфейсе Райпа после изменения NS? Они обычно пишут, прошла проверка или нет. Если через второй сервер не проходит "резолвинг" - райп бы это "увидел" и сообщил причину (например, не отдается SOA-запись, помнится у нас такое было).
> ЧТО написано в интерфейсе Райпа после изменения NS?domain: x.x.195.in-addr.arpa
descr: XXX
admin-c: xxx-RIPE
tech-c: xxx-RIPE
zone-c: xxx-RIPE
nserver: ns.xxx.ru
nserver: ns2.xxx.ru
source: RIPE # Filtered
mnt-by: XXX-YYY-MNT
remarks: Unmaintained reverse domain object.
remarks: Address prefix maintainer(s) added by RIPE NCC.
remarks: For more information see:
remarks: http://www.ripe.net/db/support/security/domain/syntax.htmlТакой вид имеет после передачи зоны мне, я меняю nserver на свои, изменения проходят, райп не на что не ругается. Через какое то время, путь запроса ПТР записи изменяется, он доходит до моего сервера ns и все, а тот не резолвит, вот и ломаю голову где я промахнулся, вроде как все логично и просто.
> remarks: Unmaintained reverse domain
> object.Cудя по вот этой строке - ни хрена там не проходит.
>самое интересное что один сервер из всех нужных в
> записях PTR резолвится нормально, остальные нет.Ну значит проблема в настройках вашего (ваших) DNS-серверов, что собственно логично )
>[оверквотинг удален]
> 20 IN
> PTR ur-hq-dns-01.x.x.x.
> 19 IN
> PTR ur-hq-dns-02.x.x.x.
> 27 IN
> PTR ur-hq-mr-01.x.x.x.
> 26 IN
> PTR ur-hq-mr-02.x.x.x.
> 15 IN
> PTR owa.x.x.x.Это что, полный файл зоны ???? >:-[ ]
Кстати, отсортировать - не судьба?
> Логи запроса:А в логи сервера смотрели? Или отключили за непосещаемостью?
> Это что, полный файл зоны ???? >:-[ ]нет, вот полный
$TTL 7200
@ IN SOA ur-hq-dns-01.x.x.x. dnsmaster.x.x.x. (
2014020702 ; Serial
7200 ; Refresh
1800 ; Retry
2419200 ; Expire
7200 ) ; Negative Cache TTL
;
@ IN NS ur-hq-dns-01.x.x.x.
@ IN NS ur-hq-dns-02.x.x.x.
;
20 IN PTR ur-hq-dns-01.x.x.x.
19 IN PTR ur-hq-dns-02.x.x.x.
27 IN PTR ur-hq-mr-01.x.x.x.
26 IN PTR ur-hq-mr-02.x.x.x.
15 IN PTR owa.x.x.x.
> А в логи сервера смотрели? Или отключили за непосещаемостью?Логи конечно есть, начал разбор именно с них.
самое интересное:
security: client 217.118.91.97#40211: query (cache) '11.x.x.10.in-addr.arpa/PTR/IN' denied
security: client 217.118.91.97#40215: query (cache) '7.x.x.10.in-addr.arpa/PTR/IN' denied
> Логи конечно есть, начал разбор именно с них.
> самое интересное:
> security: client 217.118.91.97#40211: query (cache) '11.x.x.10.in-addr.arpa/PTR/IN'
> denied
> security: client 217.118.91.97#40215: query (cache) '7.x.x.10.in-addr.arpa/PTR/IN'
> deniedЕсли Вы делает запрос извне и получаете в логах запрос '7.x.x.10.in-addr.arpa/PTR/IN'
вместо запроса '7.x.x.195.in-addr.arpa/PTR/IN' , то смотрите настройки NAT .
NAT меняет содержимое DNS запроса.
> NAT меняет содержимое DNS запроса.ой, как интересно. Расскажите пожалуйста, на каком оборудовании происходит такая магия?
>> NAT меняет содержимое DNS запроса.
> ой, как интересно. Расскажите пожалуйста, на каком оборудовании происходит такая магия?На Cisco есть такие опции.
Например: http://www.cisco.com/c/en/us/support/docs/security/asa-5500-...
>> Логи конечно есть, начал разбор именно с них.
>> самое интересное:
>> security: client 217.118.91.97#40211: query (cache) '11.x.x.10.in-addr.arpa/PTR/IN'
>> denied
>> security: client 217.118.91.97#40215: query (cache) '7.x.x.10.in-addr.arpa/PTR/IN'
>> denied
> Если Вы делает запрос извне и получаете в логах запрос '7.x.x.10.in-addr.arpa/PTR/IN'
> вместо запроса '7.x.x.195.in-addr.arpa/PTR/IN' , то смотрите настройки NAT .
> NAT меняет содержимое DNS запроса.Само смешное что думал так же, но не нашел информации по этому, нат организован не на PIX\ASA а на рутере, правда тоже cisco. Поэтому непонятно как происходит подмена ip в запросе ДНС.
Видимо все таки дело в NAT, только не понимаю почему он лезет в запросы ДНС?
> Само смешное что думал так же, но не нашел информации по этому,
> нат организован не на PIX\ASA а на рутере, правда тоже cisco.
> Поэтому непонятно как происходит подмена ip в запросе ДНС.
> Видимо все таки дело в NAT, только не понимаю почему он лезет
> в запросы ДНС?
> Интернет -- Пограничный рутер (NAT) -- PIX (DMZ) //тут и
> живет DNS -- Ядро ЛВС -- пользователиКакая интересная схема. Ну, видимо что-то в ней не так с пробросами-файрволлами,
если непосредственно на самом сервере всё отвечает.В #16 много интересного.
>> А в логи сервера смотрели? Или отключили за непосещаемостью?
> Логи конечно есть, начал разбор именно с них.
> самое интересное:
> security: client 217.118.91.97#40211: query (cache) '11.x.x.10.in-addr.arpa/PTR/IN'
> denied
> security: client 217.118.91.97#40215: query (cache) '7.x.x.10.in-addr.arpa/PTR/IN'
> deniedэто вы просто так в файлик посмотрели, в самый конец?
Может какие-нибудь действия сделаете, типа rndc reload или полный рестарт, а потом уже будете смотреть в логи...Во-вторых - рисуйте схему вашей сети. Где провайдер, где маршрутизатор, где ДМЗ, где ваш компьютер, с которого вы пытаетесь тестировать.
В третьих: попробуйте протестировать работу ДНС-сервера и корректность ответов непосредственно на самих DNS-серверах, а не из виндовс (вы ей пользоваться не умеете).
> это вы просто так в файлик посмотрели, в самый конец?
> Может какие-нибудь действия сделаете, типа rndc reload или полный рестарт, а потом
> уже будете смотреть в логи...Отличный юмор, оценил. Логи соответствуют запросам, отслеживал по ip. Рестарт и релоад соответственно делался и не раз...
> Во-вторых - рисуйте схему вашей сети. Где провайдер, где маршрутизатор, где ДМЗ,
> где ваш компьютер, с которого вы пытаетесь тестировать.Про схему согласен, про то что сервер внутри работает и отвечает корректно вроде уже писал.
Схема:Интернет -- Пограничный рутер (NAT) -- PIX (DMZ) //тут и живет DNS -- Ядро ЛВС -- пользователи
> В третьих: попробуйте протестировать работу ДНС-сервера и корректность ответов непосредственно
> на самих DNS-серверах, а не из виндовс (вы ей пользоваться не
> умеете).ок, вот с самого сервера:
dig -x 195.x.x.26; <<>> DiG 9.8.1-P1 <<>> -x 195.x.x.26
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32871
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2;; QUESTION SECTION:
;26.x.x.195.in-addr.arpa. IN PTR;; ANSWER SECTION:
26.x.x.195.in-addr.arpa. 7200 IN PTR ur-hq-mr-02.x.x.x.;; AUTHORITY SECTION:
x.x.195.in-addr.arpa. 7200 IN NS ur-hq-dns-01.x.x.x.
x.x.195.in-addr.arpa. 7200 IN NS ur-hq-dns-02.x.x.x.;; ADDITIONAL SECTION:
ur-hq-dns-01.x.x.x. 7200 IN A 195.x.x.20
ur-hq-dns-02.x.x.x. 7200 IN A 195.x.x.19;; Query time: 0 msec
;; SERVER: 10.x.x.11#53(10.x.x.11)
;; WHEN: Thu Feb 20 08:49:28 2014
;; MSG SIZE rcvd: 170
>[оверквотинг удален]
> ; <<>> DiG 9.8.1-P1 <<>> -x 195.x.x.26
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32871
> ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2,
> ADDITIONAL: 2
> ;; QUESTION SECTION:
> ;26.x.x.195.in-addr.arpa. IN PTR
> ;; ANSWER SECTION:
> 26.x.x.195.in-addr.arpa. 7200 IN PTR ur-hq-mr-02.x.x.x.Пограничный роутер на cisco тоже может менять содержимое пакета с запросом DNS.
https://supportforums.cisco.com/docs/DOC-5229
http://www.cisco.com/c/en/us/support/docs/security/asa-5500-...Смотрите конфигурации роутера и PIX .
> Пограничный роутер на cisco тоже может менять содержимое пакета с запросом
> DNS.
> https://supportforums.cisco.com/docs/DOC-5229
> http://www.cisco.com/c/en/us/support/docs/security/asa-5500-...
> Смотрите конфигурации роутера и PIX .Спасибо, вы были правы, все заработало.
Всем спасибо за помощь! Тема закрыта.