Unbound не резолвит внутренние PTR записи

0

2

Добрый день.

Имеется шлюз на Debian 8.3 c тремя сетевыми интерфейсами. Один из них смотрит в локалку, два других - во внешку. На нём помимо всего остального имеется DNS сервер Unbound. Работает в целом хорошо, но не резолвит внутренние PTR записи, которые должен брать с внутренних виндовых DNS серверов, выдаёт SERVFAIL. При этом обычные внутренние запросы типа А обслуживает без проблем. Пробовал резолвить на виртуалке с такой же конфигурацией - всё работает, в том числе и PTR. Подскажите пожалуйста, что можно сделать ?

Конфигурационный файл:

server:
    # The following line will configure unbound to perform cryptographic
    # DNSSEC validation using the root trust anchor.
    auto-trust-anchor-file: "/var/lib/unbound/root.key"

    interface: 127.0.0.1
    interface: 192.168.0.254
    access-control: 0.0.0.0/0 deny
    access-control: 192.168.0.0/24 allow
    access-control: 127.0.0.0/8 allow
    outgoing-port-avoid: 0-1024
    do-ip6: no
    hide-identity: yes
    hide-version: yes
    local-zone: "0.168.192.in-addr.arpa." transparent
    verbosity: 3

remote-control:
   control-enable: no

forward-zone:
   name: "."
   forward-first: yes
   forward-addr: 8.8.8.8

forward-zone:
   name: "....." # Имя зоны убрал отсюда на всякий случай
   forward-addr: 192.168.0.232
   forward-addr: 192.168.0.2

forward-zone:
   name: "0.168.192.in-addr.arpa."
   forward-addr: 192.168.0.232
   forward-addr: 192.168.0.2

На запрос nslookup 192.168.0.232 выдаёт

Server:		127.0.0.1
Address:	127.0.0.1#53
** server can't find 232.0.168.192.in-addr.arpa: SERVFAIL

и оставляет примерно такой лог:

Apr 25 16:33:19 gate unbound: [26001:0] info: validator operate: query 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] debug: iterator[module 1] operate: extstate:module_state_initial event:module_event_pass
Apr 25 16:33:19 gate unbound: [26001:0] info: resolving 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] info: processQueryTargets: 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] info: sending query: 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] debug: sending to target: <0.168.192.in-addr.arpa.> 192.168.0.232#53
Apr 25 16:33:19 gate unbound: [26001:0] debug: cache memory msg=569357 rrset=653929 infra=6310 val=150399
Apr 25 16:33:19 gate unbound: [26001:0] debug: iterator[module 1] operate: extstate:module_wait_reply event:module_event_reply
Apr 25 16:33:19 gate unbound: [26001:0] info: iterator operate: query 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] info: response for 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] info: reply from <0.168.192.in-addr.arpa.> 192.168.0.232#53
Apr 25 16:33:19 gate unbound: [26001:0] info: query response was ANSWER
Apr 25 16:33:19 gate unbound: [26001:0] info: finishing processing for 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] debug: validator[module 0] operate: extstate:module_wait_module event:module_event_moddone
Apr 25 16:33:19 gate unbound: [26001:0] info: validator operate: query 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] debug: cache memory msg=569357 rrset=653929 infra=6310 val=150399
Apr 25 16:33:19 gate unbound: [26001:0] debug: validator[module 0] operate: extstate:module_state_initial event:module_event_new

Ссылка

←	Изменить адрес Redmine на сервере

Скрипт автоматизации git pull origin не работает

→

1. А не винда ли виновата, емнип там надо прописывать с каких адресов разрешены запросы. Причем если не изменяет склероз чуть ли не для каждой зоны это надо настраивать отдельно.
2. Как обычно iptables вдруг какое правило запрещает. Посмотрите tcpdump пакетики летают в обе стороны при запросе и что внутри пакетиков.

anc ★★★★★
(25.04.16 18:20:33 MSK)

Тебе днссек нужен? Наверное нет. Отключи валидатор (modules iterator)

Ну и local zone... лишний, насколько я помню.

blind_oracle ★★★★★
(26.04.16 09:13:06 MSK)
Последнее исправление: blind_oracle 26.04.16 09:16:12 MSK (всего исправлений: 1)

Ответ на: комментарий от anc 25.04.16 18:20:33 MSK

У меня тоже была такая мысль, что это винда, или iptables, но ведь в логах видно, что ему вроде как отвечают, вот эти строчки:

Apr 25 16:33:19 gate unbound: [26001:0] info: response for 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] info: reply from <0.168.192.in-addr.arpa.> 192.168.0.232#53
Apr 25 16:33:19 gate unbound: [26001:0] info: query response was ANSWER

192.168.0.232 - это один из внутренних DNS, этот же адрес я и попросил отрезолвить.

eol3000
(26.04.16 10:18:07 MSK) автор топика

Ссылка

Ответ на: комментарий от blind_oracle 26.04.16 09:13:06 MSK

Днссек действительно не нужен, спасибо, сейчас отключу. А без local-zone не работает даже на виртуалке, говорит не могу найти такой домен

eol3000
(26.04.16 10:21:36 MSK) автор топика

Ссылка

Ответ на: комментарий от blind_oracle 26.04.16 09:13:06 MSK

Ха!.. Только что закомментил DNSSEC, и всё вылечилось! Непонятно только, почему он здесь мешал, а на виртуалке нет ?

Спасибо большое всем за помощь!

eol3000
(26.04.16 10:31:00 MSK) автор топика

Ответ на: комментарий от eol3000 26.04.16 10:31:00 MSK

Зависит от конфигурации других резолверов - может мешать, может нет. Лушче его, если не нужен, сразу вырубать:

server:
 module-config: iterator

и усё.

И для ссылок на другие домены лучше использовать stub-zone. Он безо всяких local-data точно работает.

blind_oracle ★★★★★
(26.04.16 11:56:05 MSK)
Последнее исправление: blind_oracle 26.04.16 11:56:51 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Изменить адрес Redmine на сервере

Admin

Скрипт автоматизации git pull origin не работает

→

Похожие темы