 DNS,передача зон во внешнюю сеть.,  mpnj, 23-Янв-14, 09:37 [смотреть все]Есть сервер DNS(bind9). Точнее два сервера в локальной сети. Один сконфигурирован,как master, второй,как slave.Так вот в нашей сети slave нормально забирает зоны у master.
Пробуем передавать зоны провайдеру(т.е. на внешний ip), зона не передаётся. В логах у провайдера такие записи: xfer-in.log:15-Jan-2014 11:01:00.499 xfer-in: transfer of 'xxx.xxx.xxx.IN-ADDR.ARPA/IN' from xxx.xxx.xxx.xxx#53: connected using xxx.xxx.xxx.xxx#52802 xfer-in.log:15-Jan-2014 11:01:00.499 xfer-in: transfer of 'xxx.xxx.xxx.IN-ADDR.ARPA/IN' from xxx.xxx.xxx.xxx#53: failed while receiving responses: connection reset xfer-in.log:15-Jan-2014 11:01:00.499 xfer-in: transfer of 'xxx.xxx.xxx.IN-ADDR.ARPA/IN' from xxx.xxx.xxx.9#53: Transfer completed: 0 messages, 0 records, 0 bytes, 90.292 secs (0 bytes/sec)
Грешили на NAT,но не ясно,что там ещё настраивать,так как статика для master прописана и порт 53/TCP проброшен и открыт(проверили).
Вот наш конфиг:
zone "xxx.xxx.xxx.in-addr.arpa" {
type master;
file "путь_до_файла_зоны";
allow-transfer {ip_провайдера;};
};
|
- DNS,передача зон во внешнюю сеть., BarS, 10:00 , 23-Янв-14 (1)
Если днат и снат одновременно настроено, то IP не тот получается. В логах твоего сервера что пишется?
- DNS,передача зон во внешнюю сеть., BarS, 10:01 , 23-Янв-14 (2)
> Если днат и снат одновременно настроено, то IP не тот получается. В
> логах твоего сервера что пишется?+ В глобальной секции что по поводу allow-tarnser notify и т.д.
- DNS,передача зон во внешнюю сеть., mpnj, 14:12 , 23-Янв-14 (5)
>> Если днат и снат одновременно настроено, то IP не тот получается. В
>> логах твоего сервера что пишется?dnat не используется. внешний адрес один. > + В глобальной секции что по поводу allow-tarnser notify и т.д. в allow-transfer адрес провайдера стоит, а notify...не думаю,что поможет. Это же типа извещение slave об изменении. А нам оно без разницы, мы ведь принудительно может передать зоны.
- DNS,передача зон во внешнюю сеть., mpnj, 14:16 , 23-Янв-14 (6)
>>> Если днат и снат одновременно настроено, то IP не тот получается. В
>>> логах твоего сервера что пишется?
> dnat не используется. внешний адрес один.
>> + В глобальной секции что по поводу allow-tarnser notify и т.д.
> в allow-transfer адрес провайдера стоит, а notify...не думаю,что поможет. Это же типа
> извещение slave об изменении. А нам оно без разницы, мы ведь
> принудительно может передать зоны.в наших логах такие записи: 23-Jan-2014 17:08:16.751 client: debug 3: client xxx.xxx.xxx.xxx#63093: UDP request
23-Jan-2014 17:08:16.751 security: debug 3: client xxx.xxx.xxx.xxx#63093: view external: request is not signed
23-Jan-2014 17:08:16.751 security: debug 3: client xxx.xxx.xxx.xxx#63093: view external: recursion not available
23-Jan-2014 17:08:16.751 client: debug 3: client xxx.xxx.xxx.xxx#63093: view external: query
23-Jan-2014 17:08:16.751 security: debug 3: client xxx.xxx.xxx.xxx#63093: view external: query 'xxx.xxx.xxx.IN-ADDR.ARPA/SOA/IN' approved
23-Jan-2014 17:08:16.751 client: debug 3: client xxx.xxx.xxx.xxx#63093: view external: send
23-Jan-2014 17:08:16.751 client: debug 3: client xxx.xxx.xxx.xxx#63093: view external: sendto
23-Jan-2014 17:08:16.751 client: debug 3: client xxx.xxx.xxx.xxx#63093: view external: senddone
23-Jan-2014 17:08:16.751 client: debug 3: client xxx.xxx.xxx.xxx#63093: view external: next
23-Jan-2014 17:08:16.751 client: debug 3: client xxx.xxx.xxx.xxx#63093: view external: endrequest
23-Jan-2014 17:08:17.007 client: debug 3: client xxx.xxx.xxx.xxx#55303: new TCP connection
23-Jan-2014 17:08:17.007 client: debug 3: client xxx.xxx.xxx.xxx#55303: replace
23-Jan-2014 17:08:17.007 client: debug 3: client xxx.xxx.xxx.xxx#55303: read
23-Jan-2014 17:08:47.015 client: debug 3: client xxx.xxx.xxx.xxx#55303: timeout
23-Jan-2014 17:08:47.015 client: debug 3: client xxx.xxx.xxx.xxx#55303: closetcp
23-Jan-2014 17:09:47.121 client: debug 3: client xxx.xxx.xxx.xxx#44139: UDP request
23-Jan-2014 17:09:47.121 security: debug 3: client xxx.xxx.xxx.xxx#44139: view external: request is not signed
23-Jan-2014 17:09:47.121 security: debug 3: client xxx.xxx.xxx.xxx#44139: view external: recursion not available
23-Jan-2014 17:09:47.121 client: debug 3: client xxx.xxx.xxx.xxx#44139: view external: query
23-Jan-2014 17:09:47.121 security: debug 3: client xxx.xxx.xxx.xxx#44139: view external: query 'xxx.xxx.xxx.IN-ADDR.ARPA/SOA/IN' approved
23-Jan-2014 17:09:47.121 client: debug 3: client xxx.xxx.xxx.xxx#44139: view external: send
23-Jan-2014 17:09:47.121 client: debug 3: client xxx.xxx.xxx.xxx#44139: view external: sendto
23-Jan-2014 17:09:47.121 client: debug 3: client xxx.xxx.xxx.xxx#44139: view external: senddone
23-Jan-2014 17:09:47.121 client: debug 3: client xxx.xxx.xxx.xxx#44139: view external: next
23-Jan-2014 17:09:47.121 client: debug 3: client xxx.xxx.xxx.xxx#44139: view external: endrequest
23-Jan-2014 17:09:47.378 client: debug 3: client xxx.xxx.xxx.xxx#46259: new TCP connection
23-Jan-2014 17:09:47.378 client: debug 3: client xxx.xxx.xxx.xxx#46259: replace
23-Jan-2014 17:09:47.378 client: debug 3: client xxx.xxx.xxx.xxx#46259: read
23-Jan-2014 17:10:17.386 client: debug 3: client xxx.xxx.xxx.xxx#46259: timeout
23-Jan-2014 17:10:17.386 client: debug 3: client xxx.xxx.xxx.xxx#46259: closetcp
- DNS,передача зон во внешнюю сеть., mpnj, 14:43 , 23-Янв-14 (7)
>[оверквотинг удален]
>> Вот наш конфиг:
>> zone "xxx.xxx.xxx.in-addr.arpa" {
>> type master;
>> file "путь_до_файла_зоны";
>> allow-transfer {ip_провайдера;};
>> };
> фильтровать id-addr ... нуну ... тоже очень секурно )))
> откройте снаружи 53 udp tcp, снимите фильтр с трансфера
> укажите реальные ip и имена - народ потестит и отпишется если уж
> сами не в состоянии глянуть свой шлюз ...я принимаю гипотезу о своей криворукости и т.д. попробовал перекинуть свой slave в другую подсеть и всё забирается опять. Очень грешу на NAT. Может кто-нибудь подскажет,что прописать на Cisco. Может порт 53 не открыт у меня нормально?
есть запись на cisco в access-list :
permit tcp any any eq domain
permit udp any any eq domain и ещё есть записи: ip nat inside source static tcp внутренний_ip 53 внешний_ip 53 extendable
ip nat inside source static udp внутренний_ip 53 внешний_ip 53 extendable
ip nat inside source static внутренний_ip внешний_ip
- DNS,передача зон во внешнюю сеть., BarS, 14:09 , 24-Янв-14 (11)
> ip nat inside source static tcp внутренний_ip 53 внешний_ip 53 extendable
> ip nat inside source static udp внутренний_ip 53 внешний_ip 53 extendable
> ip nat inside source static внутренний_ip внешний_ip Не могу утверждать точно, но мне кажется не гарантированно, что у прова будет 53 порт....
- DNS,передача зон во внешнюю сеть., mpnj, 08:49 , 29-Янв-14 (12)
>> ip nat inside source static tcp внутренний_ip 53 внешний_ip 53 extendable
>> ip nat inside source static udp внутренний_ip 53 внешний_ip 53 extendable
>> ip nat inside source static внутренний_ip внешний_ip
> Не могу утверждать точно, но мне кажется не гарантированно, что у прова
> будет 53 порт....Тогда пока буду дальше копать в сторону access-list.
- DNS,передача зон во внешнюю сеть., pavel_simple, 10:03 , 23-Янв-14 (3)
>[оверквотинг удален]
> from xxx.xxx.xxx.9#53: Transfer completed: 0 messages, 0 records, 0 bytes, 90.292
> secs (0 bytes/sec)
> Грешили на NAT,но не ясно,что там ещё настраивать,так как статика для master
> прописана и порт 53/TCP проброшен и открыт(проверили).
> Вот наш конфиг:
> zone "xxx.xxx.xxx.in-addr.arpa" {
> type master;
> file "путь_до_файла_зоны";
> allow-transfer {ip_провайдера;};
> }; чтобы не мучать прова
1. открываем для подконтрольного нам хоста трансвер
2. добиваемся чтобы dig @ip.ip.ip.ip ns.ns axfr работал
3. делаем рабочуй конфу для прова.
- DNS,передача зон во внешнюю сеть., Pahanivo, 10:09 , 23-Янв-14 (4)
> Есть сервер DNS(bind9). Точнее два сервера в локальной сети. Один сконфигурирован,как master,
> второй,как slave.
> Так вот в нашей сети slave нормально забирает зоны у master.
> Пробуем передавать зоны провайдеру(т.е. на внешний ip), зона не передаётся.фильтры (как на фареволе так и на стыки лан-ван) - инафа 146%
> В логах у провайдера такие записи:
> xfer-in.log:15-Jan-2014 11:01:00.499 xfer-in: transfer of 'xxx.xxx.xxx.IN-ADDR.ARPA/IN'
> from xxx.xxx.xxx.xxx#53: connected using xxx.xxx.xxx.xxx - аххрененный секрет, особенно когда речь о ДНС ... > xxx.xxx.xxx.xxx#52802 xfer-in.log:15-Jan-2014 11:01:00.499 xfer-in: transfer of 'xxx.xxx.xxx.IN-ADDR.ARPA/IN'
> from xxx.xxx.xxx.xxx#53: failed while receiving responses: connection reset перевести? > xfer-in.log:15-Jan-2014 11:01:00.499 xfer-in: transfer of 'xxx.xxx.xxx.IN-ADDR.ARPA/IN'
> from xxx.xxx.xxx.9#53: Transfer completed: 0 messages, 0 records, 0 bytes, 90.292
> secs (0 bytes/sec)
> Грешили на NAT, но не ясно,что там ещё настраивать,так как статика для master
> прописана и порт 53/TCP проброшен и открыт(проверили). грешите на руки и голову - если не можете полноценно настроить элементарный проброс или хотя бы проанализировать логи фаревола и посмотреть на tcpdump
> Вот наш конфиг:
> zone "xxx.xxx.xxx.in-addr.arpa" {
> type master;
> file "путь_до_файла_зоны";
> allow-transfer {ip_провайдера;};
> };
фильтровать id-addr ... нуну ... тоже очень секурно ))) откройте снаружи 53 udp tcp, снимите фильтр с трансфера
укажите реальные ip и имена - народ потестит и отпишется если уж сами не в состоянии глянуть свой шлюз ...
- DNS,передача зон во внешнюю сеть., ipmanyak, 15:09 , 23-Янв-14 (8)
Для передачи зон порт 53 недостаточно, нужно открыть на фаере еще порт 53 TCP для хоста прова.
- DNS,передача зон во внешнюю сеть., mpnj, 06:20 , 24-Янв-14 (9)
> Для передачи зон порт 53 недостаточно, нужно открыть на фаере еще порт
> 53 TCP для хоста прова.А вот эта запись разве не открывает порт для всех? permit tcp any any eq 53
- DNS,передача зон во внешнюю сеть., mpnj, 11:45 , 24-Янв-14 (10)
>> Для передачи зон порт 53 недостаточно, нужно открыть на фаере еще порт
>> 53 TCP для хоста прова.
> А вот эта запись разве не открывает порт для всех?
> permit tcp any any eq 53 дописал ещё такую строку в конфиг cisco: permit tcp моя_подсеть обратная_маска host айпишник_провайдера eq domain
|
Версия для распечатки
