NS сервер не отдает информацию о домене

0

1

Здравствуйте. Проблема такая: при опросе своего NS сервера

; <<>> DiG 9.9.5 <<>> @ns1.example.com example.com ANY
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

Спрашиваю у гугла

; <<>> DiG 9.9.5 <<>> @8.8.8.8 example.com ANY
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50739
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;example.com. IN ANY

;; ANSWER SECTION:
example.com. 3599 IN SOA ns1.example.com. admin.example.com. 2016021301 3600 900 3600000 3600
example.com. 3599 IN NS ns.secondary.net.ua.
example.com. 3599 IN NS ns1.example.com.
example.com. 3599 IN NS ns2.example.com.
example.com. 3599 IN MX 10 mx.example.com.
example.com. 3599 IN A 91.203.26.168

;; Query time: 159 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sun Feb 14 12:59:05 MSK 2016
;; MSG SIZE rcvd: 187

Конфиг named.conf

acl "xfer" { 193.201.116.2; };
acl "trusted" { 127.0.0.0/8; 192.168.0.0/28; };

//------------------------ Раздел опций ---------------------------//
options {
	directory "/var/bind";
	pid-file "/run/named/named.pid";

	//bindkeys-file "/etc/bind/bind.keys";

	listen-on-v6 { none; };
	listen-on { 127.0.0.1; 192.168.0.1; 91.203.26.168; };

	allow-query { trusted; };
	allow-query-cache { trusted; };
	allow-recursion { trusted; };
	allow-transfer { xfer; };
	allow-update { none; };

	forward first;
	forwarders {
        176.120.119.66; // ISP
	//	4.2.2.1;		// Level3 Public DNS
	//	4.2.2.2;		// Level3 Public DNS
		8.8.8.8;		// Google Open DNS
		8.8.4.4;		// Google Open DNS
	};

    //dnssec-enable yes;
	//dnssec-validation yes;
	//dnssec-validation auto;
	query-source address * port 53;
};


//----------------------- Политика логов --------------------------//
logging {
	channel default_log {
		file "/var/log/named/named.log" versions 5 size 50M;
		print-time yes;
		print-severity yes;
		print-category yes;
	};

	category default { default_log; };
	category general { default_log; };
};


include "/etc/bind/rndc.key";
controls {
	inet 127.0.0.1 port 953 allow { 127.0.0.1/32; } keys { "rndc-key"; };
};


//----------------------- Внутренний вид -------------------------//

view "internal" {
        match-clients { 192.168.0.0/28; localhost; };
        recursion yes;

        zone "." in {
                type hint;
                file "/var/bind/named.cache";
        };

        zone "localhost" IN {
                type master;
                file "pri/localhost.zone";
                notify no;

        };

        zone "example.com" {
                type master;
                file "pri/example-com.internal";
                allow-transfer { any; };
        };

};

//----------------------- Внешний вид ----------------------------//

view "external" {
        match-clients { any; };
        recursion yes;

        zone "." in {
                type hint;
                file "/var/bind/named.cache";
        };

        zone "example.com" {
                type master;
                file "pri/example-com.external";
                notify yes;
                allow-query { any; };
                allow-transfer { xfer; };
        };

};

Файл зоны

Зона;время жизни до обновления кеша по умолчанию 1 час.
$TTL    3600

;запись SOA - начальная запись зоны
@               IN      SOA     ns1.example.com. admin.example.com.  (
                                2016021301      ; Серийный номер формат YYYYMMDDNN
                                3600            ; Обновление
                                900             ; Повтор
                                3600000         ; Истечение срока
                                3600 )          ; Минимальное TTL
;серверы DNS
@               IN      NS      ns1.example.com.
@               IN      NS      ns2.example.com.
@               IN      NS      ns.secondary.net.ua.

;записи MX
@               MX      10      mx.example.com.

;сопоставление имя - ip
@               IN      A       91.203.26.168
ns1             IN      A       91.203.26.168
ns2             IN      A       91.203.26.168
test            IN      A       91.203.26.168

Подскажите пожайлуста в чем может быть проблема?

Ссылка

←	Баг htop или проблема на VPS?

Исчезают контейнеры docker после перезагрузки сервера

→

лог загрузки bind покажи, может файл зоны с ошибкой

Pinkbyte ★★★★★
(14.02.16 13:57:25 MSK)

если NS на 91.203.26.168 , то с какого адреса ты к нему обращаешься ? что говорит «ip ro get 91.203.26.168» ?

в какой view попадает этот запрос ?

Если включить протоколирование запросов, то ответ будет проще найти.

vel ★★★★★
(14.02.16 13:58:50 MSK)

Ответ на: комментарий от Pinkbyte 14.02.16 13:57:25 MSK

14-Feb-2016 13:05:18.089 general: info: managed-keys-zone/internal: loaded serial                                                                     
14-Feb-2016 13:05:18.091 general: info: managed-keys-zone/external: loaded serial 0
14-Feb-2016 13:05:18.123 general: info: zone ex-ua.top/IN/internal: loaded serial 2016021201
14-Feb-2016 13:05:18.131 general: info: zone localhost/IN/internal: loaded serial 2008122601
14-Feb-2016 13:05:18.141 general: warning: zone example.com/IN/external: example.com/MX 'mx.example.com' has no address records (A or AAAA)
14-Feb-2016 13:05:18.142 general: info: zone example.com/IN/external: loaded serial 2016021301
14-Feb-2016 13:05:18.148 general: notice: all zones loaded
14-Feb-2016 13:05:18.152 general: notice: running
14-Feb-2016 13:05:18.153 notify: info: zone ex-ua.top/IN/internal: sending notifies (serial 2016021201)
14-Feb-2016 13:05:18.157 notify: info: zone example.com/IN/external: sending notifies (serial 2016021301)
14-Feb-2016 13:05:18.164 notify: notice: client 91.203.26.168#54124: view internal: received notify for zone 'example.com': not authoritative

xaTa ★★★★
(14.02.16 14:08:31 MSK) автор топика

Ответ на: комментарий от xaTa 14.02.16 14:08:31 MSK

окей, тут только warning на MX

Врубай tcpdump и смотри шлет ли сервер ответы. Если не шлет, а порт при этом в файрволе открыт - врубай querylog и смотри почему.

Pinkbyte ★★★★★
(14.02.16 14:11:15 MSK)

Ответ на: комментарий от vel 14.02.16 13:58:50 MSK

ip другой. Запрос во внешний view тоесть external. Включил протоколирование запросов, сделал опрос, вот что упало в лог:

14-Feb-2016 13:21:44.398 client 192.168.0.5#60566 (xseo.in): view internal: query: xseo.in IN A + (192.168.0.1)                                        
   2 14-Feb-2016 13:21:49.972 client 74.125.72.12#60357 (ns1.example.com): view external: query: ns1.example.com IN A -ED (91.203.26.168)

xaTa ★★★★
(14.02.16 14:24:53 MSK) автор топика

Ссылка

Ответ на: комментарий от Pinkbyte 14.02.16 14:11:15 MSK

srv0 main # tcpdump -i eth0 -n -nn -ttt 'host 91.203.26.168 and port 53'
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decodesrv0 main # tcpdump -i eth0 -n -nn -ttt 'host 91.203.26.168 and port 53'
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
00:00:00.000000 IP 74.125.183.77.62478 > 91.203.26.168.53: 37652 [1au] A? ns1.example.com. (58)
00:00:00.000676 IP 91.203.26.168 > 74.125.183.77.62478: 37652*- 1/3/2 A 91.203.26.168 (142)
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
00:00:00.000000 IP 74.125.183.77.62478 > 91.203.26.168: 37652 [1au] A? ns1.example.com. (58)
00:00:00.000676 IP 91.203.26.168 > 74.125.183.77.62478: 37652*- 1/3/2 A 91.203.26.168 (142)

в query.log

14-Feb-2016 13:37:55.558 client 74.125.183.77#62478 (ns1.example.com): view external: query: ns1.example.com IN A -ED (91.203.26.168)

xaTa ★★★★
(14.02.16 14:47:22 MSK) автор топика

// Тред не читай@сразу отвечай

2016021301 ; Серийный номер формат YYYYMMDDNN

Ты же понимаешь, что если ты несколько раз за день обновишь файл, то номер останется тем же и, соответственно, твои изменения будут проигнорированы?

XMs ★★★★★
(14.02.16 14:56:51 MSK)

Ответ на: комментарий от XMs 14.02.16 14:56:51 MSK

Обновил. Все попрежнему.

xaTa ★★★★
(14.02.16 15:06:30 MSK) автор топика

Ссылка

Ответ на: комментарий от xaTa 14.02.16 14:47:22 MSK

74.125.183.77 в internal/example.com никто! Ему allow-query* запрещен в основных опциях.

vel ★★★★★
(14.02.16 15:36:02 MSK)

Ответ на: комментарий от vel 14.02.16 15:36:02 MSK

Поставил allow-query { any; }; ничего не изменилось

xaTa ★★★★
(14.02.16 16:11:56 MSK) автор топика

Ответ на: комментарий от xaTa 14.02.16 16:11:56 MSK

Убери вообще секции allow-query. Убери view, может ты его неверно настраиваешь - объясни что именно ты хочешь им добиться

Pinkbyte ★★★★★
(14.02.16 16:14:31 MSK)

Ответ на: комментарий от Pinkbyte 14.02.16 16:14:31 MSK

Разделяю поддемены на те которые видит общественность и те которые вижу только я. щас попробую дефотный конфиг.

xaTa ★★★★
(14.02.16 16:19:42 MSK) автор топика

Ссылка

Ответ на: комментарий от Pinkbyte 14.02.16 16:14:31 MSK

Хотя да. Вы правы. Идея глупая. пропишу локальные ip лучше в зонах

xaTa ★★★★
(14.02.16 16:26:48 MSK) автор топика

Ссылка

Ответ на: комментарий от Pinkbyte 14.02.16 16:14:31 MSK

Теперь он выглядит вот так и ничего не изменилось.

acl "xfer" { 193.201.116.2; };
acl "trusted" { 127.0.0.0/8; 192.168.0.0/28; };

//------------------------ Раздел опций ---------------------------//
options {
	directory "/var/bind";
	pid-file "/run/named/named.pid";

	//bindkeys-file "/etc/bind/bind.keys";

	listen-on-v6 { none; };
	listen-on { 127.0.0.1; 192.168.0.1; 91.203.26.168; };

	//allow-query { any; };
	//allow-query-cache { trusted; };
	//allow-recursion { trusted; };
	//allow-transfer { xfer; };
	//allow-update { none; };

	forward first;
	forwarders {
        176.120.119.66; // ISP
	//	4.2.2.1;		// Level3 Public DNS
	//	4.2.2.2;		// Level3 Public DNS
		8.8.8.8;		// Google Open DNS
		8.8.4.4;		// Google Open DNS
	};

    //dnssec-enable yes;
	//dnssec-validation yes;
	//dnssec-validation auto;
	query-source address * port 53;
};


//----------------------- Политика логов --------------------------//
// настройки логирования
logging {
          channel "misc" {
                    file "/var/log/named/misc.log" versions 4 size 4m;
                    print-time yes;
                    print-severity yes;
                    print-category yes;
          };

          channel "query" {
                    file "/var/log/named/query.log" versions 4 size 4m;
                    print-time yes;
                    print-severity no;
                    print-category no;
          };

          category default {
                    "misc";
          };

          category queries {
                    "query";
          };
};


include "/etc/bind/rndc.key";
controls {
	inet 127.0.0.1 port 953 allow { 127.0.0.1/32; } keys { "rndc-key"; };
};

//-------------------------- Zones ----------------------------//

zone "." in {
        type hint;
        file "/var/bind/named.cache";
};

zone "localhost" IN {
        type master;
        file "pri/localhost.zone";
        notify no;
};

zone "example.com" {
        type master;
        file "pri/example-com.zone";
        notify yes;
        allow-transfer { xfer; };
};

xaTa ★★★★
(14.02.16 17:09:26 MSK) автор топика

Ссылка

Ответ на: комментарий от Pinkbyte 14.02.16 16:14:31 MSK

На тостере подсказали что проблема может еще быть в IPTABLES Если не трудно, будь добр посмотри мои правила пожайлуста.

http://pastebin.com/GUcpmhiL http://pastebin.com/cMpnNEvP

xaTa ★★★★
(14.02.16 19:36:31 MSK) автор топика

Ответ на: комментарий от xaTa 14.02.16 19:36:31 MSK

вряд ли, так как судя по tcpdump трафик к серверу ходит в обе стороны, если было бы порезано файрволом - запросы бы были, а ответов - не было

Но если хочешь, сделаю тебе небольшую критику(не относящуюся увы к твоей проблеме, но если ты против - можешь дальше не читать) :-)

$IPT -P OUTPUT DROP
$IPT -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Соединения бывают NEW,ESTABLISHED,RELATED и INVALID. Собственно не проще ли задропать все INVALID(и то не обязательно, последний раз я на своих роутерах видел INVALID соединение максимум в цепочке FORWARD, в INPUT и OUTPUT - ни разу) и политику на OUTPUT оставить ACCEPT?

$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Так делать не стоит. В смысле это правило не стоит помещать в цепочку filter(если ты погрепаешь у себя логи, ты наверняка найдешь соответствующий warning). Решение - добавить -t mangle перед -I FORWARD

А по делу - на LAN-интерфейсе у тебя разрешено всё, на WAN порт 53 тоже разрешен(как tcp, так и udp - и это тоже правильно). Всё верно у тебя с файрволом в данном ключе, как я и предполагал сначала.

Pinkbyte ★★★★★
(14.02.16 19:48:00 MSK)

Ответ на: комментарий от Pinkbyte 14.02.16 19:48:00 MSK

Спасибо за советы.Обязательно учту и переделаю. Но все же! Куда еще копнуть? Я уже с этим днс 3 день голову еб*, Грешу на провайдера, мож у них там где какой затык?

xaTa ★★★★
(14.02.16 20:16:41 MSK) автор топика

Ответ на: комментарий от xaTa 14.02.16 20:16:41 MSK

Честно говоря даже не представляю. Если трафик в обе стороны ходит, то проблема скорее всего где-то на прикладном уровне.

Покажи ip addr show и ip route что-ли

Pinkbyte ★★★★★
(14.02.16 20:22:13 MSK)

Ответ на: комментарий от Pinkbyte 14.02.16 20:22:13 MSK

srv0 local.d # ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 brd 127.255.255.255 scope host lo
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:26:18:bc:ec:23 brd ff:ff:ff:ff:ff:ff
    inet 91.203.26.168/22 brd 91.203.27.255 scope global eth0
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:19:5b:38:ce:66 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.1/28 brd 192.168.0.15 scope global eth1
       valid_lft forever preferred_lft forever

srv0 local.d # ip route
default via 91.203.27.254 dev eth0  metric 2 
91.203.24.0/22 dev eth0  proto kernel  scope link  src 91.203.25.245 
127.0.0.0/8 dev lo  scope host 
192.168.0.0/28 dev eth1  proto kernel  scope link  src 192.168.0.1

xaTa ★★★★
(14.02.16 20:29:44 MSK) автор топика

Ссылка

Ответ на: комментарий от Pinkbyte 14.02.16 20:22:13 MSK

Еще вопрос: Почему некоторые страны знают о моем NS и без проблем его опрашивают, в росии несколько регионов о нем знают, и в украине один. Канада допустим знает его и опрашивает без проблем, с Англией тоже самое...

xaTa ★★★★
(15.02.16 13:51:50 MSK) автор топика

Ответ на: комментарий от xaTa 15.02.16 13:51:50 MSK

Почему некоторые страны знают о моем NS и без проблем его опрашивают

Сканят порты вестимо

Pinkbyte ★★★★★
(15.02.16 14:32:41 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Баг htop или проблема на VPS?

Admin

Исчезают контейнеры docker после перезагрузки сервера

→

Похожие темы