DNS,передача зон во внешнюю сеть., mpnj, 23-Янв-14, 09:37 [смотреть все]Есть сервер DNS(bind9). Точнее два сервера в локальной сети. Один сконфигурирован,как master, второй,как slave.Так вот в нашей сети slave нормально забирает зоны у master. Пробуем передавать зоны провайдеру(т.е. на внешний ip), зона не передаётся. В логах у провайдера такие записи: xfer-in.log:15-Jan-2014 11:01:00.499 xfer-in: transfer of 'xxx.xxx.xxx.IN-ADDR.ARPA/IN' from xxx.xxx.xxx.xxx#53: connected using xxx.xxx.xxx.xxx#52802 xfer-in.log:15-Jan-2014 11:01:00.499 xfer-in: transfer of 'xxx.xxx.xxx.IN-ADDR.ARPA/IN' from xxx.xxx.xxx.xxx#53: failed while receiving responses: connection reset xfer-in.log:15-Jan-2014 11:01:00.499 xfer-in: transfer of 'xxx.xxx.xxx.IN-ADDR.ARPA/IN' from xxx.xxx.xxx.9#53: Transfer completed: 0 messages, 0 records, 0 bytes, 90.292 secs (0 bytes/sec) Грешили на NAT,но не ясно,что там ещё настраивать,так как статика для master прописана и порт 53/TCP проброшен и открыт(проверили).
Вот наш конфиг: zone "xxx.xxx.xxx.in-addr.arpa" { type master; file "путь_до_файла_зоны"; allow-transfer {ip_провайдера;}; };
|
- DNS,передача зон во внешнюю сеть., BarS, 10:00 , 23-Янв-14 (1)
Если днат и снат одновременно настроено, то IP не тот получается. В логах твоего сервера что пишется?
- DNS,передача зон во внешнюю сеть., BarS, 10:01 , 23-Янв-14 (2)
> Если днат и снат одновременно настроено, то IP не тот получается. В > логах твоего сервера что пишется?+ В глобальной секции что по поводу allow-tarnser notify и т.д.
- DNS,передача зон во внешнюю сеть., mpnj, 14:12 , 23-Янв-14 (5)
>> Если днат и снат одновременно настроено, то IP не тот получается. В >> логах твоего сервера что пишется?dnat не используется. внешний адрес один. > + В глобальной секции что по поводу allow-tarnser notify и т.д. в allow-transfer адрес провайдера стоит, а notify...не думаю,что поможет. Это же типа извещение slave об изменении. А нам оно без разницы, мы ведь принудительно может передать зоны.
- DNS,передача зон во внешнюю сеть., mpnj, 14:16 , 23-Янв-14 (6)
>>> Если днат и снат одновременно настроено, то IP не тот получается. В >>> логах твоего сервера что пишется? > dnat не используется. внешний адрес один. >> + В глобальной секции что по поводу allow-tarnser notify и т.д. > в allow-transfer адрес провайдера стоит, а notify...не думаю,что поможет. Это же типа > извещение slave об изменении. А нам оно без разницы, мы ведь > принудительно может передать зоны.в наших логах такие записи: 23-Jan-2014 17:08:16.751 client: debug 3: client xxx.xxx.xxx.xxx#63093: UDP request 23-Jan-2014 17:08:16.751 security: debug 3: client xxx.xxx.xxx.xxx#63093: view external: request is not signed 23-Jan-2014 17:08:16.751 security: debug 3: client xxx.xxx.xxx.xxx#63093: view external: recursion not available 23-Jan-2014 17:08:16.751 client: debug 3: client xxx.xxx.xxx.xxx#63093: view external: query 23-Jan-2014 17:08:16.751 security: debug 3: client xxx.xxx.xxx.xxx#63093: view external: query 'xxx.xxx.xxx.IN-ADDR.ARPA/SOA/IN' approved 23-Jan-2014 17:08:16.751 client: debug 3: client xxx.xxx.xxx.xxx#63093: view external: send 23-Jan-2014 17:08:16.751 client: debug 3: client xxx.xxx.xxx.xxx#63093: view external: sendto 23-Jan-2014 17:08:16.751 client: debug 3: client xxx.xxx.xxx.xxx#63093: view external: senddone 23-Jan-2014 17:08:16.751 client: debug 3: client xxx.xxx.xxx.xxx#63093: view external: next 23-Jan-2014 17:08:16.751 client: debug 3: client xxx.xxx.xxx.xxx#63093: view external: endrequest 23-Jan-2014 17:08:17.007 client: debug 3: client xxx.xxx.xxx.xxx#55303: new TCP connection 23-Jan-2014 17:08:17.007 client: debug 3: client xxx.xxx.xxx.xxx#55303: replace 23-Jan-2014 17:08:17.007 client: debug 3: client xxx.xxx.xxx.xxx#55303: read 23-Jan-2014 17:08:47.015 client: debug 3: client xxx.xxx.xxx.xxx#55303: timeout 23-Jan-2014 17:08:47.015 client: debug 3: client xxx.xxx.xxx.xxx#55303: closetcp 23-Jan-2014 17:09:47.121 client: debug 3: client xxx.xxx.xxx.xxx#44139: UDP request 23-Jan-2014 17:09:47.121 security: debug 3: client xxx.xxx.xxx.xxx#44139: view external: request is not signed 23-Jan-2014 17:09:47.121 security: debug 3: client xxx.xxx.xxx.xxx#44139: view external: recursion not available 23-Jan-2014 17:09:47.121 client: debug 3: client xxx.xxx.xxx.xxx#44139: view external: query 23-Jan-2014 17:09:47.121 security: debug 3: client xxx.xxx.xxx.xxx#44139: view external: query 'xxx.xxx.xxx.IN-ADDR.ARPA/SOA/IN' approved 23-Jan-2014 17:09:47.121 client: debug 3: client xxx.xxx.xxx.xxx#44139: view external: send 23-Jan-2014 17:09:47.121 client: debug 3: client xxx.xxx.xxx.xxx#44139: view external: sendto 23-Jan-2014 17:09:47.121 client: debug 3: client xxx.xxx.xxx.xxx#44139: view external: senddone 23-Jan-2014 17:09:47.121 client: debug 3: client xxx.xxx.xxx.xxx#44139: view external: next 23-Jan-2014 17:09:47.121 client: debug 3: client xxx.xxx.xxx.xxx#44139: view external: endrequest 23-Jan-2014 17:09:47.378 client: debug 3: client xxx.xxx.xxx.xxx#46259: new TCP connection 23-Jan-2014 17:09:47.378 client: debug 3: client xxx.xxx.xxx.xxx#46259: replace 23-Jan-2014 17:09:47.378 client: debug 3: client xxx.xxx.xxx.xxx#46259: read 23-Jan-2014 17:10:17.386 client: debug 3: client xxx.xxx.xxx.xxx#46259: timeout 23-Jan-2014 17:10:17.386 client: debug 3: client xxx.xxx.xxx.xxx#46259: closetcp
- DNS,передача зон во внешнюю сеть., mpnj, 14:43 , 23-Янв-14 (7)
>[оверквотинг удален] >> Вот наш конфиг: >> zone "xxx.xxx.xxx.in-addr.arpa" { >> type master; >> file "путь_до_файла_зоны"; >> allow-transfer {ip_провайдера;}; >> }; > фильтровать id-addr ... нуну ... тоже очень секурно ))) > откройте снаружи 53 udp tcp, снимите фильтр с трансфера > укажите реальные ip и имена - народ потестит и отпишется если уж > сами не в состоянии глянуть свой шлюз ...я принимаю гипотезу о своей криворукости и т.д. попробовал перекинуть свой slave в другую подсеть и всё забирается опять. Очень грешу на NAT. Может кто-нибудь подскажет,что прописать на Cisco. Может порт 53 не открыт у меня нормально? есть запись на cisco в access-list : permit tcp any any eq domain permit udp any any eq domain и ещё есть записи: ip nat inside source static tcp внутренний_ip 53 внешний_ip 53 extendable ip nat inside source static udp внутренний_ip 53 внешний_ip 53 extendable ip nat inside source static внутренний_ip внешний_ip
- DNS,передача зон во внешнюю сеть., BarS, 14:09 , 24-Янв-14 (11)
> ip nat inside source static tcp внутренний_ip 53 внешний_ip 53 extendable > ip nat inside source static udp внутренний_ip 53 внешний_ip 53 extendable > ip nat inside source static внутренний_ip внешний_ip Не могу утверждать точно, но мне кажется не гарантированно, что у прова будет 53 порт....
- DNS,передача зон во внешнюю сеть., mpnj, 08:49 , 29-Янв-14 (12)
>> ip nat inside source static tcp внутренний_ip 53 внешний_ip 53 extendable >> ip nat inside source static udp внутренний_ip 53 внешний_ip 53 extendable >> ip nat inside source static внутренний_ip внешний_ip > Не могу утверждать точно, но мне кажется не гарантированно, что у прова > будет 53 порт....Тогда пока буду дальше копать в сторону access-list.
- DNS,передача зон во внешнюю сеть., pavel_simple, 10:03 , 23-Янв-14 (3)
>[оверквотинг удален] > from xxx.xxx.xxx.9#53: Transfer completed: 0 messages, 0 records, 0 bytes, 90.292 > secs (0 bytes/sec) > Грешили на NAT,но не ясно,что там ещё настраивать,так как статика для master > прописана и порт 53/TCP проброшен и открыт(проверили). > Вот наш конфиг: > zone "xxx.xxx.xxx.in-addr.arpa" { > type master; > file "путь_до_файла_зоны"; > allow-transfer {ip_провайдера;}; > }; чтобы не мучать прова 1. открываем для подконтрольного нам хоста трансвер 2. добиваемся чтобы dig @ip.ip.ip.ip ns.ns axfr работал 3. делаем рабочуй конфу для прова.
- DNS,передача зон во внешнюю сеть., Pahanivo, 10:09 , 23-Янв-14 (4)
> Есть сервер DNS(bind9). Точнее два сервера в локальной сети. Один сконфигурирован,как master, > второй,как slave. > Так вот в нашей сети slave нормально забирает зоны у master. > Пробуем передавать зоны провайдеру(т.е. на внешний ip), зона не передаётся.фильтры (как на фареволе так и на стыки лан-ван) - инафа 146% > В логах у провайдера такие записи: > xfer-in.log:15-Jan-2014 11:01:00.499 xfer-in: transfer of 'xxx.xxx.xxx.IN-ADDR.ARPA/IN' > from xxx.xxx.xxx.xxx#53: connected using xxx.xxx.xxx.xxx - аххрененный секрет, особенно когда речь о ДНС ... > xxx.xxx.xxx.xxx#52802 xfer-in.log:15-Jan-2014 11:01:00.499 xfer-in: transfer of 'xxx.xxx.xxx.IN-ADDR.ARPA/IN' > from xxx.xxx.xxx.xxx#53: failed while receiving responses: connection reset перевести? > xfer-in.log:15-Jan-2014 11:01:00.499 xfer-in: transfer of 'xxx.xxx.xxx.IN-ADDR.ARPA/IN' > from xxx.xxx.xxx.9#53: Transfer completed: 0 messages, 0 records, 0 bytes, 90.292 > secs (0 bytes/sec) > Грешили на NAT, но не ясно,что там ещё настраивать,так как статика для master > прописана и порт 53/TCP проброшен и открыт(проверили). грешите на руки и голову - если не можете полноценно настроить элементарный проброс или хотя бы проанализировать логи фаревола и посмотреть на tcpdump > Вот наш конфиг: > zone "xxx.xxx.xxx.in-addr.arpa" { > type master; > file "путь_до_файла_зоны"; > allow-transfer {ip_провайдера;}; > };
фильтровать id-addr ... нуну ... тоже очень секурно ))) откройте снаружи 53 udp tcp, снимите фильтр с трансфера укажите реальные ip и имена - народ потестит и отпишется если уж сами не в состоянии глянуть свой шлюз ...
- DNS,передача зон во внешнюю сеть., ipmanyak, 15:09 , 23-Янв-14 (8)
Для передачи зон порт 53 недостаточно, нужно открыть на фаере еще порт 53 TCP для хоста прова.
- DNS,передача зон во внешнюю сеть., mpnj, 06:20 , 24-Янв-14 (9)
> Для передачи зон порт 53 недостаточно, нужно открыть на фаере еще порт > 53 TCP для хоста прова.А вот эта запись разве не открывает порт для всех? permit tcp any any eq 53
- DNS,передача зон во внешнюю сеть., mpnj, 11:45 , 24-Янв-14 (10)
>> Для передачи зон порт 53 недостаточно, нужно открыть на фаере еще порт >> 53 TCP для хоста прова. > А вот эта запись разве не открывает порт для всех? > permit tcp any any eq 53 дописал ещё такую строку в конфиг cisco: permit tcp моя_подсеть обратная_маска host айпишник_провайдера eq domain
|