Титла: Named Публикувано от: st_dimitrov в Mar 17, 2006, 06:54 Здравейте.. Имам конфигуриран named който използвам от няколко месеца и работеше добре. От 3 деба обаче ораву един проблем. Или не резолв-ва или резолв-ва, но със закъснение 5/6 секунди. Дистрибуцията е Slackware 10.2 със ядро 2.4.31. Конфигурацията му е това:
named.conf: options { version ""; directory "/etc/named"; allow-query { any; }; }; zone "0.0.127.in-addr.arpa" { type master; file "db.localhost"; notify no; }; zone "." { type hint; file "root.hints"; }; root@darkstar:/backup/chroots/mysql# cat /etc/named/root.hints root.hints: ; <<>> DiG 9.3.1 <<>> @e.root-servers.net . ns ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16277 ;; flags: qr aa rd; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13 ;; QUESTION SECTION: ;. IN NS ;; ANSWER SECTION: . 518400 IN NS L.ROOT-SERVERS.NET. . 518400 IN NS M.ROOT-SERVERS.NET. . 518400 IN NS A.ROOT-SERVERS.NET. . 518400 IN NS B.ROOT-SERVERS.NET. . 518400 IN NS C.ROOT-SERVERS.NET. . 518400 IN NS D.ROOT-SERVERS.NET. . 518400 IN NS E.ROOT-SERVERS.NET. . 518400 IN NS F.ROOT-SERVERS.NET. . 518400 IN NS G.ROOT-SERVERS.NET. . 518400 IN NS H.ROOT-SERVERS.NET. . 518400 IN NS I.ROOT-SERVERS.NET. . 518400 IN NS J.ROOT-SERVERS.NET. . 518400 IN NS K.ROOT-SERVERS.NET. ;; ADDITIONAL SECTION: A.ROOT-SERVERS.NET. 3600000 IN A 198.41.0.4 B.ROOT-SERVERS.NET. 3600000 IN A 192.228.79.201 C.ROOT-SERVERS.NET. 3600000 IN A 192.33.4.12 D.ROOT-SERVERS.NET. 3600000 IN A 128.8.10.90 E.ROOT-SERVERS.NET. 3600000 IN A 192.203.230.10 F.ROOT-SERVERS.NET. 3600000 IN A 192.5.5.241 G.ROOT-SERVERS.NET. 3600000 IN A 192.112.36.4 H.ROOT-SERVERS.NET. 3600000 IN A 128.63.2.53 I.ROOT-SERVERS.NET. 3600000 IN A 192.36.148.17 J.ROOT-SERVERS.NET. 3600000 IN A 192.58.128.30 K.ROOT-SERVERS.NET. 3600000 IN A 193.0.14.129 L.ROOT-SERVERS.NET. 3600000 IN A 198.32.64.12 M.ROOT-SERVERS.NET. 3600000 IN A 202.12.27.33 ;; Query time: 367 msec ;; SERVER: 192.203.230.10#53(192.203.230.10) ;; WHEN: Tue Feb 7 12:12:27 2006 ;; MSG SIZE rcvd: 436 Пробвах да го пусна с да forward-ва със днс-ите на доставчика ми - същата работа. Когато обаче за ДНС сървър задам ДНСите на доставчика - всичко е ОК :/ помощ Титла: Named Публикувано от: st_dimitrov в Mar 17, 2006, 07:20 незнайно кога и как без да искам съм затрил правилото в защитната стена в което се указва да се разреши приемането на пакети отиващи към UDP 53 и идващи от интернет... може би не съм съобразил че при UDP няма установяване на връзка и --state ESTABLISHED няма да ми свърши работа Ако искате изтрийте темата или я оставете ако някой друг има подобен проблем ...
Титла: Named Публикувано от: st_dimitrov в Mar 17, 2006, 12:12 $IPTABLES -A INPUT -i eth1 -j MODEM
$IPTABLES -A MODEM -p tcp ! --syn -m state --state NEW -j DROP $IPTABLES -A MODEM -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT $IPTABLES -A MODEM -p tcp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT $IPTABLES -A MODEM -p udp --dport 53 -j ACCEPT $IPTABLES -A MODEM -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT $IPTABLES -A MODEM -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT $IPTABLES -A MODEM -p tcp -m state --state ESTABLISHED -j ACCEPT $IPTABLES -A MODEM -p icmp --icmp-type echo-request -j DROP $IPTABLES -A MODEM -p icmp --icmp-type echo-reply -j ACCEPT Default политиката за INPUT е DROP... При тези правила ми прави проблем резолвването, като изпълня -A INPUT -i eth1 -j ACCEPT и си резолвва нормално... сещате ли се за евентоални проблеми ?! Че не ми е много приятно да приемам всякакви връзки от интернет :/ Титла: Named Публикувано от: в Mar 17, 2006, 16:46
А правило като това имаш ли ? $IPTABLES -A FORWARD -i eth1 -j MODEM Би следвало тогава OUTPUT да ти е на ACCEPT Титла: Named Публикувано от: в Mar 17, 2006, 16:55
и една добавка : $IPTABLES -A MODEM -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT Титла: Named Публикувано от: st_dimitrov в Mar 18, 2006, 16:09 $IPTABLES -A MODEM -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT ?!
-m udp ?! И --state NEW за UDP пакет ?! $IPTABLES -A FORWARD -i eth1 -j MODEM Не мога да разбера смисъла на това правило, ако може да ми разясниш. Благодаря. Титла: Named Публикувано от: st_dimitrov в Mar 18, 2006, 23:07 След известни експерименти със защитната стена оправих нещата (за сега поне няма проблеми) със това правило:
$IPTABLES -A MODEM -p udp --dport 1031 -j ACCEPT Не намерих в Гугъл обаче какво общо има този порт със моя BIND :/ Някой знае ли нещо по въпроса едит: След рестарт на машината се оказа, че вече не се ползва този порт и съм направил всички УДП портове достъпни за да работи БИНД-а... За какво ги ползва ?! Мислех си, че използва само 53-ти порт но явно съм бил с грешка... Титла: Named Публикувано от: в Mar 19, 2006, 07:31
Пич, защо качваш стандартни сервизни портове нависоко в непривилигирован режим за работа ? Я си огледай стената и правилата ! Не е добра идея да го правиш като в случая на порт 1031. Резолвера трябва да си работи и да отговаря на порт 53, било то по UDP или TCP. Успех ! Титла: Named Публикувано от: st_dimitrov в Mar 19, 2006, 10:22 Той си има отворени TCP+UDP 53, и все пак:
Ето как стоят нещата BIND-a e 9.2.6 компилиран от source със стандартните параметри... Ако някой с повече опит с BIND чете това - моля помагайте отчаял съм се Титла: Named Публикувано от: Addicted в Mar 20, 2006, 03:23 А до колкото знам самият конфиг не трябва ли да почва така.
Нали по този начин като кажеш на Намед.конф-а от каде да гледа за прав и обратен ресолв на ип-тата. Демек мисля че проблема ти е във Forwarders. Това е мое мнение пробвай и кажи какво ще стане :П Чиърз! Титла: Named Публикувано от: st_dimitrov в Mar 20, 2006, 06:52 Това бе едно от първите неща, които пробвах... Инъче named си гледа за resolve/reverse от главните сървъри:
A.ROOT-SERVERS.NET. 3600000 IN A 198.41.0.4 B.ROOT-SERVERS.NET. 3600000 IN A 192.228.79.201 C.ROOT-SERVERS.NET. 3600000 IN A 192.33.4.12 D.ROOT-SERVERS.NET. 3600000 IN A 128.8.10.90 E.ROOT-SERVERS.NET. 3600000 IN A 192.203.230.10 F.ROOT-SERVERS.NET. 3600000 IN A 192.5.5.241 G.ROOT-SERVERS.NET. 3600000 IN A 192.112.36.4 H.ROOT-SERVERS.NET. 3600000 IN A 128.63.2.53 I.ROOT-SERVERS.NET. 3600000 IN A 192.36.148.17 J.ROOT-SERVERS.NET. 3600000 IN A 192.58.128.30 K.ROOT-SERVERS.NET. 3600000 IN A 193.0.14.129 L.ROOT-SERVERS.NET. 3600000 IN A 198.32.64.12 M.ROOT-SERVERS.NET. 3600000 IN A 202.12.27.33 Титла: Named Публикувано от: в Mar 20, 2006, 09:07
Пич, като не си наясно с работата на named, защо се обаждаш? При пускането му той си bind-ва UDP port над 1024 за outgoing queries, праща заявките от там и получава отговорите на порт 53 ... А сега към проблема, виж си firewall-а в частта му outgoing, разрешил ли си изход от високите udp портове навън. Титла: Named Публикувано от: st_dimitrov в Mar 20, 2006, 19:48 Целия OUTGOING е разрешен... за сега проблема се оправя единствено като разреша всички UDP портове за входящи връзки... единствения UDP порт който е отворил NAMED различен от 53 e 1033...
|