Приветствую всех, коллеги! Есть вот такая проблема. Переключились мы на нового провайдера, но у нас пока еще не поднялось BGP, и мой блок адресов по сути пока не является реальным, т.е. - не ходит от него ничего. Имеется у меня только один реальный адрес, выданный провайдером, и находится он на пограничном маршрутизаторе. DNS (сабжевый), mail и прочее находится на других хостах внутри сетки, настроено все на наш пока не ходящий никуда блок адресов. Все, естественно, NAT-ится на выход. Но поскольку я являюсь основным NS-ом для ряда зон, мне нужно было обеспечить прямое соединение к своему NS-у из мира. Я изменил в домене все нужные записи на единственную реальную IP, и на пограничном роутере для DNS сделал следующее правило: iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 53 -s 0/0 -d 193.193.193.5/32 -j DNAT --to 194.69.0.1:53 iptables -t nat -A PREROUTING -i eth2 -p udp --dport 53 -s 0/0 -d 193.193.193.5/32 -j DNAT --to 194.69.0.1:53 Все прекрасно работает, секондари из мира от меня перетягивают зоны, отдается мои зоны по запросам из мира, и т.д. Но! Некоторые клиенты жалуются, что не могут попасть на тот или иной хост по причине невозможности отрезолвить адрес по имени. Таких хостов немного, можно сказать единицы, например: amway.ua Сел проверять, и правда, не резолвится. Команда dig amway.ua выдает connection timed out, no servers could be reached. Но! dig amway.ua +trace выдает полную трассировку до самого конца, и получает в конце IN A amway.ua (193.222.131.20) В чем могут быть грабли? Ничего не понимаю, если честно. Всем заранее большое спасибо!
|