Титла: bind named forward zone Публикувано от: laskov в Apr 14, 2020, 13:11 В мрежата 192.168.15.0/24 има домейн сървър, който знае имената на хостовете и IP адресите им. Домейнът е example.local
В мрежата имам пощенски сървър, на който работи bind. Имам конфигурирана зона Цитат zone "15.168.192.in-addr.arpa" IN {и запитванията Цитат dig -x 192.168.15.5получават отговора, който очаквам. Имам и зона Цитат zone "example.local" IN {но отговорът не ми харесва: Цитат dig sales.example.localЕдно, че не получавам отговор, и второ, AUTHORITY секцията също не ми харесва. Как да го оправя това нещо? :) PS: Ако питам директно 15.3, получавам отговор. Титла: Re: bind named forward zone Публикувано от: Naka в Apr 14, 2020, 14:39 Бaйн-да отдавна съм го забравил и винаги си е бил криптография за мен. Тъй че стрелям напосоки и е възможно да напиша големи глупости..но все пак да напиша на какво ми мирише......тъй че моля не ме бийте. 8)
Ами в единят случай куерва локалният сървер...т.е. Authoritative сървера и всичко е ок. Ама когато се напише dig sales.example.local sales.example.local го третира като външен адрес...т.е. сървера ти работи като Recursive като такъв който трябва да рови през мержата и затова почва да рови по стандартният ред от root сърверите наобратно докато стигне до домейна ти. затова първо ти връща 6339 IN SOA a.root-servers.net. nstld.verisign-grs.com. На кой точно локален адрес слуша твоят? Накъде много отдавна тук имаше тема, че ако си си настроил за днс сървер (recursive)да ползваш твоят. например /etc/resolv.conf -> 192.168.15.3 и куернеш накъкъв адрес например sales.example.local. то той няма да почне да куерва И-т през роот серверите ами първо ще провери дали случайно той самият не е Authoritative за този адрес и ще върне първо него. Ако сървера ти е 192.168.15.3 ??? dig @192.168.15.3 sales.example.local какво ще върне? дай съдържанието на /etc/resolv.conf https://kb.isc.org/docs/aa-00817 Титла: Re: bind named forward zone Публикувано от: Acho в Apr 14, 2020, 14:53 Да, както Накта каза - да се укаже твърдо кой аджеба нейм-сървър да запитва командата dig. И понеже не разбрах на кое IP е запуснат байнд-а, примерно нещо такова :
dig @IP_na_tvoya_bind името_което_искаш Титла: Re: bind named forward zone Публикувано от: laskov в Apr 14, 2020, 15:00 1.
Връща правилен отговор. 2. Цитат cat /etc/resolv.conf В примерите ми по-горе се вижда, че отговарящият сървър е 127.0.0.1 PS1: Между другото, същата конфигурация, но на Slackware работи, а това е Centos 7 PS2: Обаче Centosът ми казва ей тези неща: Цитат Apr 14 13:36:31 mailserver named[1818]: validating example.local/SOA: got insecure response; parent indicates it should be secure PS3: Коментирането на // dnssec-enable yes; // dnssec-validation yes; като че ли премахна съобщенията, но не решава проблема с липсата на отговор Титла: Re: bind named forward zone Публикувано от: remotexx в Apr 14, 2020, 22:37 Пробва ли да им свериш часовниците
https://bugzilla.redhat.com/show_bug.cgi?id=1424719 Слак правят нещата както си е указано от разработчиците на съответното нещо (или поне възможно най-близко), а червникаквите ги правят както си знаят и затова често се получава омазване. Пробва ли вместо да ги коментираш да ги сложиш на 'NO' (и двете опции) https://bugzilla.redhat.com/show_bug.cgi?id=682482 явно им е стар проблем - и навремето (като се оакали подобно) решението им било Ok, I was finally able to reproduce your issue. I sent a report to upstream if they consider this behavior as a bug or a feature. Workaround is to disable DNSSEC validation in named.conf (dnssec-validation off;). Титла: Re: bind named forward zone Публикувано от: laskov в Apr 15, 2020, 11:01 Това оправя нещата. Благодаря! [_]3 Титла: Re: bind named forward zone Публикувано от: Naka в Apr 15, 2020, 12:34 Нещо да добавя. [_]3 Надявам се знаеш, (или си чувал) че има едно число serial и всеки път когато правиш промени по някоя зона, него също трябва да го променяш всеки път. Иначе може да не се усети, че има промени по зоната. Няма значение какво е числото. Просто го увеличавш с 1 всеки път при промяна. Сега дали това е особеност на байнд-а или е изискване на ДНС стандарта не съм много наясно.....
cat /var/named/chroot/var/named/localdomain.zone $TTL 86400 @ IN SOA localhost root ( 42 ; serial (d. adams) 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum IN NS localhost localhost IN A 127.0.0.1 https://www.networkworld.com/article/2767441/serial-numbers-in-zone-files--yours-and-named-s.html |