Автор Тема: bind named forward zone  (Прочетена 418 пъти)

laskov

  • Напреднали
  • *****
  • Публикации: 2899
    • Профил
bind named forward zone
« -: Apr 14, 2020, 13:11 »
В мрежата 192.168.15.0/24 има домейн сървър, който знае имената на хостовете и IP адресите им. Домейнът е example.local
В мрежата имам пощенски сървър, на който работи bind. Имам конфигурирана зона
Цитат
zone "15.168.192.in-addr.arpa" IN {
        type forward;
        forward only;
        forwarders {192.168.15.3; };
        };
и запитванията
Цитат
dig -x 192.168.15.5

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> -x 192.168.15.5
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37336
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; ANSWER SECTION:
5.15.168.192.in-addr.arpa. 1073 IN   PTR   sales.example.local.

;; AUTHORITY SECTION:
15.168.192.IN-ADDR.ARPA. 86400   IN   NS   .

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: вт апр 14 12:56:27 EEST 2020
;; MSG SIZE  rcvd: 126
получават отговора, който очаквам. Имам и зона
Цитат
zone "example.local" IN {
        type forward;
        forwarders {192.168.15.3; };
        };
но отговорът не ми харесва:
Цитат
dig sales.example.local

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> sales.example.local
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 43131
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; AUTHORITY SECTION:
.         6339   IN   SOA   a.root-servers.net. nstld.verisign-grs.com. 2020041400 1800 900 604800 86400

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: вт апр 14 13:03:18 EEST 2020
;; MSG SIZE  rcvd: 124
Едно, че не получавам отговор, и второ, AUTHORITY секцията също не ми харесва.
Как да го оправя това нещо? :)

PS: Ако питам директно 15.3, получавам отговор.
« Последна редакция: Apr 14, 2020, 13:40 от laskov »
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

Naka

  • Напреднали
  • *****
  • Публикации: 2765
    • Профил
Re: bind named forward zone
« Отговор #1 -: Apr 14, 2020, 14:39 »
Бaйн-да отдавна съм го забравил и винаги си е бил криптография за мен. Тъй че стрелям напосоки и е възможно да напиша големи глупости..но все пак да напиша на какво ми мирише......тъй че моля не ме бийте. 8)

Ами в единят случай куерва локалният сървер...т.е. Authoritative сървера и всичко е ок. Ама когато се напише

dig sales.example.local

sales.example.local го третира като външен адрес...т.е. сървера ти работи като  Recursive като такъв който трябва да рови през мержата и затова почва да рови по стандартният ред от root сърверите наобратно докато стигне до домейна ти. затова първо ти връща 
6339   IN   SOA   a.root-servers.net. nstld.verisign-grs.com.


На кой точно локален адрес слуша твоят?
Накъде много отдавна тук имаше тема, че ако си си настроил за днс сървер (recursive)да ползваш твоят. например /etc/resolv.conf -> 192.168.15.3

и куернеш накъкъв адрес например sales.example.local. то той няма да почне да куерва И-т през роот серверите ами първо ще провери дали случайно той самият не е Authoritative за този адрес и ще върне първо него.
 

Ако сървера ти е 192.168.15.3 ???

dig @192.168.15.3 sales.example.local

какво ще върне?

дай съдържанието на  /etc/resolv.conf

https://kb.isc.org/docs/aa-00817
« Последна редакция: Apr 14, 2020, 14:56 от Naka »
Активен

Perl - the only language that looks the same before and after encryption.

Acho

  • Напреднали
  • *****
  • Публикации: 3454
  • Distribution: Slackware, MikroTik - сървърно
  • Window Manager: console only
    • Профил
    • WWW
Re: bind named forward zone
« Отговор #2 -: Apr 14, 2020, 14:53 »
Да, както Накта каза - да се укаже твърдо кой аджеба нейм-сървър да запитва командата dig. И понеже не разбрах на кое IP е запуснат байнд-а, примерно нещо такова :

dig @IP_na_tvoya_bind името_което_искаш
« Последна редакция: Apr 14, 2020, 14:54 от Acho »
Активен

CPU - Intel Quad-Core Q8400, 2.66 GHz; Fan - Intel Box; MB - Intel G41M-T2; RAM - DDR2-800, Kingston HyperX, 2X2048 MB; VC - onboard, Intel G41 Express Chipset; HDD - SeaGate, 160 GB, SATAII; SB - Realtek HD Audio; DVD-RW - TSSTcorp DVD-RW; LAN - Realtek PCI-E GBE Controller; PSU - Fortron 350 Watt.

laskov

  • Напреднали
  • *****
  • Публикации: 2899
    • Профил
Re: bind named forward zone
« Отговор #3 -: Apr 14, 2020, 15:00 »
1.

dig @192.168.15.3 sales.example.local

какво ще върне?

Връща правилен отговор.
2.
Цитат
cat /etc/resolv.conf
search example.com
nameserver 127.0.0.1
nameserver 212.39.90.43

В примерите ми по-горе се вижда, че отговарящият сървър е 127.0.0.1

PS1: Между другото, същата конфигурация, но на Slackware работи, а това е Centos 7

PS2: Обаче Centosът ми казва ей тези неща:
Цитат
Apr 14 13:36:31 mailserver named[1818]:  validating example.local/SOA: got insecure response; parent indicates it should be secure
Apr 14 13:36:31 mailserver named[1818]: no valid RRSIG resolving 'sales.example.local/DS/IN': 192.168.15.3#53
Apr 14 13:36:31 mailserver named[1818]: insecurity proof failed resolving 'sales.example.local/A/IN': 192.168.15.3#53

PS3: Коментирането на
//      dnssec-enable yes;
//      dnssec-validation yes;
като че ли премахна съобщенията, но не решава проблема с липсата на отговор
« Последна редакция: Apr 14, 2020, 16:08 от laskov »
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

remotexx

  • Напреднали
  • *****
  • Публикации: 912
    • Профил
Re: bind named forward zone
« Отговор #4 -: Apr 14, 2020, 22:37 »
Пробва ли да им свериш часовниците
https://bugzilla.redhat.com/show_bug.cgi?id=1424719

Слак правят нещата както си е указано от разработчиците на съответното нещо (или поне възможно най-близко), а червникаквите ги правят както си знаят и затова често се получава омазване.

Пробва ли вместо да ги коментираш да ги сложиш на 'NO' (и двете опции)

https://bugzilla.redhat.com/show_bug.cgi?id=682482
явно им е стар проблем - и навремето (като се оакали подобно) решението им било

Ok, I was finally able to reproduce your issue. I sent a report to upstream if they consider this behavior as a bug or a feature.

Workaround is to disable DNSSEC validation in named.conf (dnssec-validation off;).
« Последна редакция: Apr 14, 2020, 22:38 от remotexx »
Активен

laskov

  • Напреднали
  • *****
  • Публикации: 2899
    • Профил
Re: bind named forward zone
« Отговор #5 -: Apr 15, 2020, 11:01 »

Пробва ли вместо да ги коментираш да ги сложиш на 'NO' (и двете опции)

Това оправя нещата.
Благодаря! [_]3
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

Naka

  • Напреднали
  • *****
  • Публикации: 2765
    • Профил
Re: bind named forward zone
« Отговор #6 -: Apr 15, 2020, 12:34 »
Нещо да добавя. [_]3 Надявам се знаеш, (или си чувал) че има едно число serial  и всеки път когато правиш промени по някоя зона, него също трябва да го променяш всеки път. Иначе може да не се усети, че има промени по зоната. Няма значение какво е числото. Просто го увеличавш с 1 всеки път при промяна. Сега дали това е особеност на байнд-а или е изискване на ДНС стандарта не съм много наясно.....

cat /var/named/chroot/var/named/localdomain.zone
$TTL    86400
@               IN SOA  localhost root (
                                        42              ; serial (d. adams)
                                        3H              ; refresh
                                        15M             ; retry
                                        1W              ; expiry
                                        1D )            ; minimum
                IN NS           localhost
localhost       IN A            127.0.0.1


https://www.networkworld.com/article/2767441/serial-numbers-in-zone-files--yours-and-named-s.html
Активен

Perl - the only language that looks the same before and after encryption.

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
DNS zone
Настройка на програми
nakov 1 987 Последна публикация Oct 23, 2004, 19:18
от Bogo
BIND slave zone transfer problem
Настройка на програми
mars 2 1974 Последна публикация May 17, 2005, 15:57
от mars
Bind zone + apache - не резолва
Настройка на програми
martien 14 2891 Последна публикация May 15, 2006, 15:26
от
Zone minder
Настройка на програми
emo82 1 1148 Последна публикация Sep 19, 2006, 15:02
от Kalin
DNS zone
Хардуерни и софтуерни проблеми
martos 10 1766 Последна публикация Aug 23, 2011, 08:59
от martos