Приветствую всех, коллеги!
Есть вот такая проблема. Переключились мы на нового провайдера, но у нас пока еще не поднялось BGP, и мой блок адресов по сути пока не является реальным, т.е. - не ходит от него ничего. Имеется у меня только один реальный адрес, выданный провайдером, и находится он на пограничном маршрутизаторе. DNS (сабжевый), mail и прочее находится на других хостах внутри сетки, настроено все на наш пока не ходящий никуда блок адресов. Все, естественно, NAT-ится на выход. Но поскольку я являюсь основным NS-ом для ряда зон, мне нужно было обеспечить прямое соединение к своему NS-у из мира. Я изменил в домене все нужные записи на единственную реальную IP, и на пограничном роутере для DNS сделал следующее правило:
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 53 -s 0/0 -d 193.193.193.5/32 -j DNAT --to 194.69.0.1:53
iptables -t nat -A PREROUTING -i eth2 -p udp --dport 53 -s 0/0 -d 193.193.193.5/32 -j DNAT --to 194.69.0.1:53
Все прекрасно работает, секондари из мира от меня перетягивают зоны, отдается мои зоны по запросам из мира, и т.д.
Но! Некоторые клиенты жалуются, что не могут попасть на тот или иной хост по причине невозможности отрезолвить адрес по имени. Таких хостов немного, можно сказать единицы, например: amway.ua
Сел проверять, и правда, не резолвится.
Команда dig amway.ua выдает connection timed out, no servers could be reached.
Но! dig amway.ua +trace выдает полную трассировку до самого конца, и получает в конце IN A amway.ua (193.222.131.20)
В чем могут быть грабли? Ничего не понимаю, если честно.
Всем заранее большое спасибо!