LINUX.ORG.RU
ФорумAdmin

Unbound не резолвит внутренние PTR записи

 , ,


0

2

Добрый день.

Имеется шлюз на Debian 8.3 c тремя сетевыми интерфейсами. Один из них смотрит в локалку, два других - во внешку. На нём помимо всего остального имеется DNS сервер Unbound. Работает в целом хорошо, но не резолвит внутренние PTR записи, которые должен брать с внутренних виндовых DNS серверов, выдаёт SERVFAIL. При этом обычные внутренние запросы типа А обслуживает без проблем. Пробовал резолвить на виртуалке с такой же конфигурацией - всё работает, в том числе и PTR. Подскажите пожалуйста, что можно сделать ?

Конфигурационный файл:

server:
    # The following line will configure unbound to perform cryptographic
    # DNSSEC validation using the root trust anchor.
    auto-trust-anchor-file: "/var/lib/unbound/root.key"

    interface: 127.0.0.1
    interface: 192.168.0.254
    access-control: 0.0.0.0/0 deny
    access-control: 192.168.0.0/24 allow
    access-control: 127.0.0.0/8 allow
    outgoing-port-avoid: 0-1024
    do-ip6: no
    hide-identity: yes
    hide-version: yes
    local-zone: "0.168.192.in-addr.arpa." transparent
    verbosity: 3

remote-control:
   control-enable: no

forward-zone:
   name: "."
   forward-first: yes
   forward-addr: 8.8.8.8

forward-zone:
   name: "....." # Имя зоны убрал отсюда на всякий случай
   forward-addr: 192.168.0.232
   forward-addr: 192.168.0.2

forward-zone:
   name: "0.168.192.in-addr.arpa."
   forward-addr: 192.168.0.232
   forward-addr: 192.168.0.2

На запрос nslookup 192.168.0.232 выдаёт

Server:		127.0.0.1
Address:	127.0.0.1#53
** server can't find 232.0.168.192.in-addr.arpa: SERVFAIL

и оставляет примерно такой лог:

Apr 25 16:33:19 gate unbound: [26001:0] info: validator operate: query 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] debug: iterator[module 1] operate: extstate:module_state_initial event:module_event_pass
Apr 25 16:33:19 gate unbound: [26001:0] info: resolving 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] info: processQueryTargets: 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] info: sending query: 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] debug: sending to target: <0.168.192.in-addr.arpa.> 192.168.0.232#53
Apr 25 16:33:19 gate unbound: [26001:0] debug: cache memory msg=569357 rrset=653929 infra=6310 val=150399
Apr 25 16:33:19 gate unbound: [26001:0] debug: iterator[module 1] operate: extstate:module_wait_reply event:module_event_reply
Apr 25 16:33:19 gate unbound: [26001:0] info: iterator operate: query 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] info: response for 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] info: reply from <0.168.192.in-addr.arpa.> 192.168.0.232#53
Apr 25 16:33:19 gate unbound: [26001:0] info: query response was ANSWER
Apr 25 16:33:19 gate unbound: [26001:0] info: finishing processing for 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] debug: validator[module 0] operate: extstate:module_wait_module event:module_event_moddone
Apr 25 16:33:19 gate unbound: [26001:0] info: validator operate: query 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] debug: cache memory msg=569357 rrset=653929 infra=6310 val=150399
Apr 25 16:33:19 gate unbound: [26001:0] debug: validator[module 0] operate: extstate:module_state_initial event:module_event_new

Тебе днссек нужен? Наверное нет. Отключи валидатор (modules iterator)

Ну и local zone... лишний, насколько я помню.

blind_oracle ★★★★★
()
Последнее исправление: blind_oracle (всего исправлений: 1)
Ответ на: комментарий от blind_oracle

Днссек действительно не нужен, спасибо, сейчас отключу. А без local-zone не работает даже на виртуалке, говорит не могу найти такой домен

eol3000
() автор топика
Ответ на: комментарий от blind_oracle

Ха!.. Только что закомментил DNSSEC, и всё вылечилось! Непонятно только, почему он здесь мешал, а на виртуалке нет ?

Спасибо большое всем за помощь!

eol3000
() автор топика
Ответ на: комментарий от eol3000

Зависит от конфигурации других резолверов - может мешать, может нет. Лушче его, если не нужен, сразу вырубать:

server:
 module-config: iterator
и усё.

И для ссылок на другие домены лучше использовать stub-zone. Он безо всяких local-data точно работает.

blind_oracle ★★★★★
()
Последнее исправление: blind_oracle (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.