Изпечатай

[cilus]

Здравейте на всички,

Опитвам се да направя reverse sub-delegation на цяла /24 мрежа но имам малък проблем. Физическата конфигурация е следната:
DNS1 -> DNS2 -> DNS3 като DNS3 е отговорен за самите PTR записи.
Спрямо доста източници, конфигурацията би трябвало да изглежда по следният начин:
DNS1:
$TTL    604800
@ IN SOA dns2.test. dns.test. (
                     2012092001         ; Serial
                          36000         ; Refresh
                           3600         ; Retry
                        1209600         ; Expire
                          86400 )       ; Negative Cache TTL

@                   IN      NS     dns2.test.

$ORIGIN 0.168.192.in-addr.arpa.
$GENERATE 1-254  $  IN    CNAME    $.0.168.192.dns2.test.

DNS2:
$TTL    604800
@ IN SOA dns3.test. dns.test. (
                     2012092001         ; Serial
                          36000         ; Refresh
                           3600         ; Retry
                        1209600         ; Expire
                          86400 )       ; Negative Cache TTL

@                   IN      NS      dns3.test.

$ORIGIN 0.168.192.in-addr.arpa.
$GENERATE 1-254  $  IN    CNAME    $.0.168.192.dns3.test.

DNS3:
$TTL    604800
0.168.192.in-addr.arpa. IN SOA dns3.test. dns.test. (
                     2012092001         ; Serial
                          36000         ; Refresh
                           3600         ; Retry
                        1209600         ; Expire
                          86400 )       ; Negative Cache TTL

                   IN      NS     dns3.test.

$ORIGIN 0.168.192.in-addr.arpa.
$GENERATE 1-254  $  IN    PTR    $.0.168.192.dns3.test.


Като тествам DNS3, връща правилните PТR записи, но DNS2 и DNS1 явно не пренасочват заявките един към друг. Тъй като това никога не ми се е налагало да го правя, въобще не съм сигурен дали конфигурацията е правилна т.е. очевидно не е и за това моля за малко помощ да открия къде е проблема.
 Всички машини са с centos 6.4 с BIND 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6

Мерси!

[geroy]

Я дай истинските IP адреси да тестваме?

[cilus]

За съжаление трите DNS-а са на виртуални машини зад нат и няма как да направя пренасочването на портовете към DNS-те. Бих могъл да дам output-а на команадите които поискате.

[cilus]

Ето и output-а от dig:
DNS1:
 dig -x 192.168.0.1 @localhost

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> -x 192.168.0.1 @localhost
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 62512
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;1.0.168.192.in-addr.arpa.      IN      PTR

;; ANSWER SECTION:
1.0.168.192.in-addr.arpa. 604800 IN     CNAME   1.0.168.192.dns2.test.

;; AUTHORITY SECTION:
.                       5836    IN      SOA     a.root-servers.net. nstld.verisign-grs.com. 2013092300 1800 900 604800 86400

;; Query time: 5 msec
;; SERVER: ::1#53(::1)
;; WHEN: Mon Sep 23 11:48:50 2013
;; MSG SIZE  rcvd: 154

DNS2:
dig -x 192.168.0.1 @localhost

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> -x 192.168.0.1 @localhost
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 61368
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;1.0.168.192.in-addr.arpa.      IN      PTR

;; ANSWER SECTION:
1.0.168.192.in-addr.arpa. 604800 IN     CNAME   1.0.168.192.dns3.test.

;; AUTHORITY SECTION:
.                       5763    IN      SOA     a.root-servers.net. nstld.verisign-grs.com. 2013092300 1800 900 604800 86400

;; Query time: 5 msec
;; SERVER: ::1#53(::1)
;; WHEN: Mon Sep 23 11:47:22 2013
;; MSG SIZE  rcvd: 154

DNS3:
 dig -x 192.168.0.1 @localhost

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> -x 192.168.0.1 @localhost
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28466
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;1.0.168.192.in-addr.arpa.      IN      PTR

;; ANSWER SECTION:
1.0.168.192.in-addr.arpa. 604800 IN     PTR     1.0.168.192.dns2.test.

;; AUTHORITY SECTION:
0.168.192.in-addr.arpa. 604800  IN      NS      dns3.test.

;; Query time: 4 msec
;; SERVER: ::1#53(::1)
;; WHEN: Mon Sep 23 11:47:28 2013
;; MSG SIZE  rcvd: 100

[geroy]

А следните команди какво извеждат?

dig -x 192.168.0.1 soa @dns1 (тук трябва да ти върне препратка към dns2)
dig -x 192.168.0.1 soa @dns2 (тук трябва да ти върне препратка към dns3)
dig -x 192.168.0.1 soa @dns3 (тук трябва да ти покаже ip-то на dns3)

[cilus]

DNS1:

dig -x 192.168.0.1 soa @dns1

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> -x 192.168.0.1 soa @dns1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 11421
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;1.0.168.192.in-addr.arpa.      IN      SOA

;; ANSWER SECTION:
1.0.168.192.in-addr.arpa. 604800 IN     CNAME   1.0.168.192.dns2.test.

;; AUTHORITY SECTION:
.                       4774    IN      SOA     a.root-servers.net. nstld.verisign-grs.com. 2013092300 1800 900 604800 86400

;; Query time: 4 msec
;; SERVER: 192.168.223.114#53(192.168.223.114)
;; WHEN: Mon Sep 23 12:06:32 2013
;; MSG SIZE  rcvd: 154

DNS2:
dig -x 192.168.0.1 soa @dns2

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> -x 192.168.0.1 soa @dns2
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 57376
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;1.0.168.192.in-addr.arpa.      IN      SOA

;; ANSWER SECTION:
1.0.168.192.in-addr.arpa. 604800 IN     CNAME   1.0.168.192.dns3.test.

;; AUTHORITY SECTION:
.                       4583    IN      SOA     a.root-servers.net. nstld.verisign-grs.com. 2013092300 1800 900 604800 86400

;; Query time: 4 msec
;; SERVER: 192.168.223.153#53(192.168.223.153)
;; WHEN: Mon Sep 23 12:07:02 2013
;; MSG SIZE  rcvd: 154

DNS3:
 dig -x 192.168.0.1 soa @dns3

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> -x 192.168.0.1 soa @dns3
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30108
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;1.0.168.192.in-addr.arpa.      IN      SOA

;; AUTHORITY SECTION:
0.168.192.in-addr.arpa. 86400   IN      SOA     dns3.test. dns.test. 2012092001 36000 3600 1209600 86400

;; Query time: 3 msec
;; SERVER: 192.168.223.154#53(192.168.223.154)
;; WHEN: Mon Sep 23 12:07:20 2013
;; MSG SIZE  rcvd: 95

[geroy]

В случая, само 3-тия сървър връща правилен отговор. Аз не че отбирам много от BIND, но не трябва ли и на другите два (1 и 2) да имаш:

0.168.192.in-addr.arpa. IN SOA dns2.test. dns.test. (
и
0.168.192.in-addr.arpa. IN SOA dns3.test. dns.test. (
?

[cilus]

Според мен е нормално да няма тези SOA записи за които говориш, но за съжаление и аз не съм сигурен.

[geroy]

Тъй като нямаш никакви записи за in-addr.arpa зоните в 1ви и 2ри днс, даденият днс кеш сървър (при BIND и authoritative и cache са едно цяло) пита *.root-servers.net кой е authoritative за in-addr.arpa и от там по веригата и сте стига, че за частните ip мрежи от типа на 192.168.0.х няма ptr записи.

Ето днс1:

1.0.168.192.in-addr.arpa. 604800 IN     CNAME   1.0.168.192.dns2.test.

;; AUTHORITY SECTION:
.                       4774    IN      SOA     a.root-servers.net. nstld.verisign-grs.com. 2013092300 1800 900 604800 86400

Ето днс2:

;; AUTHORITY SECTION:
.                       4583    IN      SOA     a.root-servers.net. nstld.verisign-grs.com. 2013092300 1800 900 604800 86400

и ето за днс3 (тук е ок):

;; AUTHORITY SECTION:
0.168.192.in-addr.arpa. 86400   IN      SOA     dns3.test. dns.test. 2012092001 36000 3600 1209600 86400

Прави разликата, че това е частен случай. При реалния първо ще се пита *.root-servers.net, там ще има делегация за in-addr.arpa, от там към друг днс и така по веригата докато стигне до soa записа за дадената mreja.napisana.naobratno.in-addr.arpa

[cilus]

Надявах се да не трябва но май ще трябва на production dns-ите да пробвам това. Ще пиша като видя какво ще стане. Мерси за съдействието

[geroy]

Може да си направиш fake root zona на днс1 и да си делегираш от там 0.168.193.in-addr.arpa към днс2 и тествай. Ей това го намерих в гугъл ли от него може да ти стане ясно как да си направиш една fake root . зона - http://www.process.com/techsupport/multinet/787/4.html

[cilus]

Днес разглеждах отново из нета и след петото прочитане за последните три дни открих къде е проблема - в задклавиатурното ...

Sub-delegate full class C (256 IP addresses) from less than a class B (< 65536 IP addresses)

If you have multiple class Cs (multiple sets of 256 IP addresses) but not a full class B, then the best way to sub-delegate reverse DNS for one of those class Cs is to ask your IP address provider to create/change this delegation on their DNS servers.
Technically you could use "classless IN-ADDR.ARPA delegation" (see below) but this is not recommend for a full class C because the customer will (rightly) expect a standard reverse delegation (as above).

Темата може и за кошчето да отиде