Автор Тема: Named  (Прочетена 2362 пъти)

st_dimitrov

  • Напреднали
  • *****
  • Публикации: 102
    • Профил
    • WWW
Named
« -: Mar 17, 2006, 06:54 »
Здравейте.. Имам конфигуриран named който използвам от няколко месеца и работеше добре. От 3 деба обаче ораву един проблем. Или не резолв-ва или резолв-ва, но със закъснение 5/6 секунди. Дистрибуцията е Slackware 10.2 със ядро 2.4.31. Конфигурацията му е това:

named.conf:
options {
    version "";
    directory "/etc/named";
    allow-query { any; };
};

zone "0.0.127.in-addr.arpa" {
    type master;
    file "db.localhost";
    notify no;
};

zone "." {
    type hint;
    file "root.hints";
};

root@darkstar:/backup/chroots/mysql# cat /etc/named/root.hints

root.hints:
; <<>> DiG 9.3.1 <<>> @e.root-servers.net . ns
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16277
;; flags: qr aa rd; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13

;; QUESTION SECTION:
;.                              IN      NS

;; ANSWER SECTION:
.                       518400  IN      NS      L.ROOT-SERVERS.NET.
.                       518400  IN      NS      M.ROOT-SERVERS.NET.
.                       518400  IN      NS      A.ROOT-SERVERS.NET.
.                       518400  IN      NS      B.ROOT-SERVERS.NET.
.                       518400  IN      NS      C.ROOT-SERVERS.NET.
.                       518400  IN      NS      D.ROOT-SERVERS.NET.
.                       518400  IN      NS      E.ROOT-SERVERS.NET.
.                       518400  IN      NS      F.ROOT-SERVERS.NET.
.                       518400  IN      NS      G.ROOT-SERVERS.NET.
.                       518400  IN      NS      H.ROOT-SERVERS.NET.
.                       518400  IN      NS      I.ROOT-SERVERS.NET.
.                       518400  IN      NS      J.ROOT-SERVERS.NET.
.                       518400  IN      NS      K.ROOT-SERVERS.NET.

;; ADDITIONAL SECTION:
A.ROOT-SERVERS.NET.     3600000 IN      A       198.41.0.4
B.ROOT-SERVERS.NET.     3600000 IN      A       192.228.79.201
C.ROOT-SERVERS.NET.     3600000 IN      A       192.33.4.12
D.ROOT-SERVERS.NET.     3600000 IN      A       128.8.10.90
E.ROOT-SERVERS.NET.     3600000 IN      A       192.203.230.10
F.ROOT-SERVERS.NET.     3600000 IN      A       192.5.5.241
G.ROOT-SERVERS.NET.     3600000 IN      A       192.112.36.4
H.ROOT-SERVERS.NET.     3600000 IN      A       128.63.2.53
I.ROOT-SERVERS.NET.     3600000 IN      A       192.36.148.17
J.ROOT-SERVERS.NET.     3600000 IN      A       192.58.128.30
K.ROOT-SERVERS.NET.     3600000 IN      A       193.0.14.129
L.ROOT-SERVERS.NET.     3600000 IN      A       198.32.64.12
M.ROOT-SERVERS.NET.     3600000 IN      A       202.12.27.33

;; Query time: 367 msec
;; SERVER: 192.203.230.10#53(192.203.230.10)
;; WHEN: Tue Feb  7 12:12:27 2006
;; MSG SIZE  rcvd: 436


Пробвах да го пусна с да forward-ва със днс-ите на доставчика ми - същата работа. Когато обаче за ДНС сървър задам ДНСите на доставчика - всичко е ОК :/ помощ  '<img'>
Активен

st_dimitrov

  • Напреднали
  • *****
  • Публикации: 102
    • Профил
    • WWW
Named
« Отговор #1 -: Mar 17, 2006, 07:20 »
незнайно кога и как без да искам съм затрил правилото в защитната стена в което се указва да се разреши приемането на пакети отиващи към UDP 53 и идващи от интернет... може би не съм съобразил че при UDP няма установяване на връзка и --state ESTABLISHED няма да ми свърши работа  '<img'> Ако искате изтрийте темата или я оставете ако някой друг има подобен проблем ... '<img'>
Активен

st_dimitrov

  • Напреднали
  • *****
  • Публикации: 102
    • Профил
    • WWW
Named
« Отговор #2 -: Mar 17, 2006, 12:12 »
$IPTABLES -A INPUT -i eth1 -j MODEM
$IPTABLES -A MODEM -p tcp ! --syn -m state --state NEW -j DROP
$IPTABLES -A MODEM -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A MODEM -p tcp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A MODEM -p udp --dport 53 -j ACCEPT
$IPTABLES -A MODEM -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A MODEM -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A MODEM -p tcp -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A MODEM -p icmp --icmp-type echo-request -j DROP
$IPTABLES -A MODEM -p icmp --icmp-type echo-reply -j ACCEPT

Default политиката за INPUT е DROP...

При тези правила ми прави проблем резолвването, като изпълня -A INPUT -i eth1 -j ACCEPT и си резолвва нормално... сещате ли се за евентоални проблеми ?! Че не ми е много приятно да приемам всякакви връзки от интернет :/
Активен

  • Гост
Named
« Отговор #3 -: Mar 17, 2006, 16:46 »
Цитат (st_dimitrov @ Март 17 2006,13:12)

А правило като това имаш ли ?
$IPTABLES -A FORWARD -i eth1 -j MODEM
Би следвало тогава OUTPUT да ти е на ACCEPT
Активен

  • Гост
Named
« Отговор #4 -: Mar 17, 2006, 16:55 »
Цитат (st_dimitrov @ Март 17 2006,13:12)

и една добавка :

$IPTABLES -A MODEM -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
Активен

st_dimitrov

  • Напреднали
  • *****
  • Публикации: 102
    • Профил
    • WWW
Named
« Отговор #5 -: Mar 18, 2006, 16:09 »
$IPTABLES -A MODEM -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT ?!

-m udp ?! И --state NEW за UDP пакет ?!  '<img'>

$IPTABLES -A FORWARD -i eth1 -j MODEM

Не мога да разбера смисъла на това правило, ако може да ми разясниш. Благодаря.
Активен

st_dimitrov

  • Напреднали
  • *****
  • Публикации: 102
    • Профил
    • WWW
Named
« Отговор #6 -: Mar 18, 2006, 23:07 »
След известни експерименти със защитната стена оправих нещата (за сега поне няма проблеми) със това правило:

$IPTABLES -A MODEM -p udp --dport 1031 -j ACCEPT


Не намерих в Гугъл обаче какво общо има този порт със моя BIND :/ Някой знае ли нещо по въпроса
 ':ok:'

едит: След рестарт на машината се оказа, че вече не се ползва този порт и съм направил всички УДП портове достъпни за да работи БИНД-а... За какво ги ползва ?! Мислех си, че използва само 53-ти порт но явно съм бил с грешка...
Активен

  • Гост
Named
« Отговор #7 -: Mar 19, 2006, 07:31 »
Цитат (st_dimitrov @ Март 19 2006,00:07)

Пич, защо качваш стандартни сервизни портове нависоко в непривилигирован режим за работа ?
Я си огледай стената и правилата ! Не е добра идея да го правиш като в случая на порт 1031. Резолвера трябва да си работи и да отговаря на порт 53, било то по UDP или TCP.
Успех !
Активен

st_dimitrov

  • Напреднали
  • *****
  • Публикации: 102
    • Профил
    • WWW
Named
« Отговор #8 -: Mar 19, 2006, 10:22 »
Той си има отворени TCP+UDP 53, и все пак:

Цитат

root@darkstar:~# iptables -L MODEM -n
Chain MODEM (1 references)
target     prot opt source               destination
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 state NEW
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:53 state NEW,ESTABLISHED
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state ESTABLISHED
DROP       icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 0
root@darkstar:~#

stoyanov@home:~$ dig @192.168.7.2 test.domain.com

; <<>> DiG 9.3.2 <<>> @192.168.7.2 test.domain.com
; (1 server found)
;; global options:  printcmd
;; connection timed out; no servers could be reached
stoyanov@home:~$


Цитат

root@darkstar:~# iptables -A MODEM -p udp -j ACCEPT
root@darkstar:~# iptables -L MODEM
Chain MODEM (1 references)
target     prot opt source               destination
DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh state NEW,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain state NEW,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http state NEW,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https state NEW,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            state ESTABLISHED
DROP       icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply
ACCEPT     udp  --  anywhere             anywhere
root@darkstar:~#
stoyanov@home:~$ dig @192.168.7.2 test.domain.com

; <<>> DiG 9.3.2 <<>> @192.168.7.2 test.domain.com
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 48459
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;test.domain.com.               IN      A

;; AUTHORITY SECTION:
domain.com.             3600    IN      SOA     ns1.dotsterhost.com. sysadmin.domainbank.com. 1142711612 14400 20000 3600000 3600

;; Query time: 2568 msec
;; SERVER: 192.168.7.2#53(192.168.7.2)
;; WHEN: Sun Mar 19 10:18:16 2006
;; MSG SIZE  rcvd: 105

stoyanov@home:~$  


Ето как стоят нещата '<img'> BIND-a e 9.2.6 компилиран от source със стандартните параметри... Ако някой с повече опит с BIND чете това - моля помагайте отчаял съм се  ':huh:'
Активен

Addicted

  • Напреднали
  • *****
  • Публикации: 57
  • Distribution: Windows 7 x64, Intel Q6600, GTS450, 2 TB HDD
  • Window Manager: Windows Aero
    • Профил
    • WWW
Named
« Отговор #9 -: Mar 20, 2006, 03:23 »
А до колкото знам самият конфиг не трябва ли да почва така.
Примерен код

options {
        directory "/etc/named/";
           forward first;
           forwarders {
                PROVIDER_DNS_IP1;
                PROVIDER_DNS_IP2;
        };
           query-source address * port 53;
};


Нали по този начин като кажеш на Намед.конф-а от каде да гледа за прав и обратен ресолв на ип-тата.
Демек мисля че проблема ти е във Forwarders.
Това е мое мнение пробвай и кажи какво ще стане :П

Чиърз!
Активен

st_dimitrov

  • Напреднали
  • *****
  • Публикации: 102
    • Профил
    • WWW
Named
« Отговор #10 -: Mar 20, 2006, 06:52 »
'<img'> Това  бе едно от първите неща, които пробвах... Инъче named си гледа за resolve/reverse от главните сървъри:

A.ROOT-SERVERS.NET.     3600000 IN      A       198.41.0.4
B.ROOT-SERVERS.NET.     3600000 IN      A       192.228.79.201
C.ROOT-SERVERS.NET.     3600000 IN      A       192.33.4.12
D.ROOT-SERVERS.NET.     3600000 IN      A       128.8.10.90
E.ROOT-SERVERS.NET.     3600000 IN      A       192.203.230.10
F.ROOT-SERVERS.NET.     3600000 IN      A       192.5.5.241
G.ROOT-SERVERS.NET.     3600000 IN      A       192.112.36.4
H.ROOT-SERVERS.NET.     3600000 IN      A       128.63.2.53
I.ROOT-SERVERS.NET.     3600000 IN      A       192.36.148.17
J.ROOT-SERVERS.NET.     3600000 IN      A       192.58.128.30
K.ROOT-SERVERS.NET.     3600000 IN      A       193.0.14.129
L.ROOT-SERVERS.NET.     3600000 IN      A       198.32.64.12
M.ROOT-SERVERS.NET.     3600000 IN      A       202.12.27.33
Активен

  • Гост
Named
« Отговор #11 -: Mar 20, 2006, 09:07 »
Цитат (Guest @ Март 19 2006,08:31)
Цитат на: st_dimitrov,Март 19 2006,00:07
Пич, защо качваш стандартни сервизни портове нависоко в непривилигирован режим за работа ?
Я си огледай стената и правилата ! Не е добра идея да го правиш като в случая на порт 1031. Резолвера трябва да си работи и да отговаря на порт 53, било то по UDP или TCP.
Успех !

Пич, като не си наясно с работата на named, защо се обаждаш?
При пускането му той си bind-ва UDP port над 1024 за outgoing queries, праща заявките от там и получава отговорите на порт 53 ...
А сега към проблема, виж си firewall-а в частта му outgoing, разрешил ли си изход от високите udp портове навън.
Активен

st_dimitrov

  • Напреднали
  • *****
  • Публикации: 102
    • Профил
    • WWW
Named
« Отговор #12 -: Mar 20, 2006, 19:48 »
Целия OUTGOING е разрешен... за сега проблема се оправя единствено като разреша всички UDP портове за входящи връзки... единствения UDP порт който е отворил NAMED различен от 53 e 1033...
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
named
Хардуерни и софтуерни проблеми
Dan 0 3453 Последна публикация Mar 29, 2002, 13:30
от Dan
named
Хардуерни и софтуерни проблеми
Marto 2 1484 Последна публикация May 22, 2003, 15:21
от n_antonov
named проблем
Настройка на програми
ico_tr 8 2099 Последна публикация Mar 08, 2005, 00:55
от VladSun
Проблем с named
Настройка на програми
mony 7 1522 Последна публикация Apr 16, 2005, 20:49
от mony
Named server
Настройка на програми
ToxicTrash 7 1560 Последна публикация Nov 08, 2010, 10:03
от ToxicTrash