форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (DNS / Linux)
Изначальное сообщение		[ Отслеживать ]

"Проблема с обратной зоной ДНС"	+/–
Сообщение от Johni_J (ok) on 18-Фев-14, 08:06
Здравствуйте все! Есть два сервера ДНС Dind 9, один мастер другой слэйв, сервера живут в ДМЗ, имеют внутренние адреса, в "свет" выходят за НАТом. Проблема в том что хочу разместить свою обратную зону у себя на серверах ДНС, в райпе исправляю днc, но резолвинга нет, хотя внутри все резолвится, самое интересное что один сервер из всех нужных в записях PTR резолвится нормально, остальные нет. Конфиги описание зоны 20      IN      PTR     ur-hq-dns-01.x.x.x. 19      IN      PTR     ur-hq-dns-02.x.x.x. 27      IN      PTR     ur-hq-mr-01.x.x.x. 26      IN      PTR     ur-hq-mr-02.x.x.x. 15      IN      PTR     owa.x.x.x. named.comf.local zone "x.x.195.in-addr.arpa" {         type master;         also-notify { 10.x.x.10; };         file "/etc/bind/db.195";         allow-transfer { 10.x.x.x; };         allow-query { any; }; }; Логи запроса: C:\Users\oem>nslookup 195.x.x.19 195.x.x.20 ╤хЁтхЁ:  UnKnown Address:  195.x.x.20 ╚ь :     ur-hq-dns-02.x.x.x Address:  195.x.x.19 ------------------------------------- C:\Users\oem>nslookup 195.x.x.27 195.x.x.20 ╤хЁтхЁ:  UnKnown Address:  195.x.x.20 *** UnKnown не удалось найти 195.x.x.27: Query refused
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Проблема с обратной зоной ДНС"	+/–
Сообщение от aurved on 18-Фев-14, 10:05
А named.comf.local заместо conf -- это просто опечатка только в вашем сообщении?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Проблема с обратной зоной ДНС"	+/–
	Сообщение от Johni_J (ok) on 18-Фев-14, 11:07
	> А named.comf.local заместо conf -- это просто опечатка только в вашем сообщении? Да конечно опечатка :)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Проблема с обратной зоной ДНС"	+/–
Сообщение от Дядя_Федор on 18-Фев-14, 16:27
> Логи запроса: > C:\Users\oem>nslookup 195.x.x.19 195.x.x.20 > ╤хЁтхЁ:  UnKnown > Address:  195.x.x.20 Забавно, что он даже себя по имени не резолвит.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Проблема с обратной зоной ДНС"	+/–
Сообщение от DN (ok) on 18-Фев-14, 18:20
> C:\Users\oem>nslookup 195.x.x.27 195.x.x.20 > ╤хЁтхЁ:  UnKnown > Address:  195.x.x.20 > *** UnKnown не удалось найти 195.x.x.27: Query refused Проверьте, что Ваши NS сервера стали авторитативные для зоны "x.x.195.in-addr.arpa" после изменений в RIPE.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Проблема с обратной зоной ДНС"	+/–
	Сообщение от Дядя_Федор on 18-Фев-14, 19:05
	> Проверьте, что Ваши NS сервера стали авторитативные для зоны "x.x.195.in-addr.arpa" > после изменений в RIPE. Райп обычно присылает письмо, что, мол "усё путем, сверка зон на обоих НС прошла". Ну, или не прошла - по такой-то причине. Или в интерфейсе райповом это светится - не помню ужо, давно от них делегирование, как LIR, получали.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Проблема с обратной зоной ДНС"	+/–
Сообщение от 07133 on 18-Фев-14, 21:55
Робот RIPE сообщает письмом или в веб-апдейте, что ему не понравилось в делегировании обратной зоны. Делегирование зоны лучше проверять откуда-нибудь снаружи, спрашивая, например SOA зоны. В хендбуке райпа подробно написано как делегировать обратку.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Проблема с обратной зоной ДНС"	+/–
	Сообщение от Johni_J (ok) on 19-Фев-14, 06:43
	Немного поясню с райпом, домен x.x.195.in-addr.arpa был у нашего провайдера, права на управления этим доменом провайдер передал нам, а вот сервера NS пока провайдерские в домене нарисованы, когда меняю на свои вот и получается трабл. Меняется сразу, через различные сайты типа nslookup проверяю резолвинг, и он проходит только на один сервер, остальные не берет...  на долго не получается менять, т.к. при отсутствии PTR записи MX почта почти вся перестает ходить на вне. Вот такая ситуация.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Проблема с обратной зоной ДНС"	+/–
	Сообщение от Дядя_Федор on 19-Фев-14, 08:53
	> Немного поясню с райпом, домен x.x.195.in-addr.arpa был у нашего провайдера, права на > управления этим доменом провайдер передал нам, а вот сервера NS пока > провайдерские в домене нарисованы, когда меняю на свои вот и получается > трабл. ЧТО написано в интерфейсе Райпа после изменения NS? Они обычно пишут, прошла проверка или нет. Если через второй сервер не проходит "резолвинг" - райп бы это "увидел" и сообщил причину (например, не отдается SOA-запись, помнится у нас такое было).
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Проблема с обратной зоной ДНС"	+/–
	Сообщение от Johni_J (ok) on 19-Фев-14, 09:09
	>  ЧТО написано в интерфейсе Райпа после изменения NS? domain:          x.x.195.in-addr.arpa descr:           XXX admin-c:         xxx-RIPE tech-c:          xxx-RIPE zone-c:          xxx-RIPE nserver:         ns.xxx.ru nserver:         ns2.xxx.ru source:          RIPE # Filtered mnt-by:          XXX-YYY-MNT remarks:         Unmaintained reverse domain object. remarks:         Address prefix maintainer(s) added by RIPE NCC. remarks:         For more information see: remarks:         http://www.ripe.net/db/support/security/domain/syntax.html Такой вид имеет после передачи зоны мне, я меняю nserver на свои, изменения проходят, райп не на что не ругается. Через какое то время, путь запроса ПТР записи изменяется, он доходит до моего сервера ns и все, а тот не резолвит, вот и ломаю голову где я промахнулся, вроде как все логично и просто.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	20. "Проблема с обратной зоной ДНС"	+/–
	Сообщение от Дядя_Федор on 20-Фев-14, 12:16
	> remarks:         Unmaintained reverse domain > object. Cудя по вот этой строке - ни хрена там не проходит.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "Проблема с обратной зоной ДНС"	+/–
Сообщение от PavelR (ok) on 19-Фев-14, 09:31
>самое интересное что один сервер из всех нужных в > записях PTR резолвится нормально, остальные нет. Ну значит проблема в настройках вашего (ваших) DNS-серверов, что собственно логично ) >[оверквотинг удален] > 20      IN       > PTR     ur-hq-dns-01.x.x.x. > 19      IN       > PTR     ur-hq-dns-02.x.x.x. > 27      IN       > PTR     ur-hq-mr-01.x.x.x. > 26      IN       > PTR     ur-hq-mr-02.x.x.x. > 15      IN       > PTR     owa.x.x.x. Это что, полный файл зоны ???? >:-[ ] Кстати, отсортировать - не судьба? > Логи запроса: А в логи сервера смотрели? Или отключили за непосещаемостью?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "Проблема с обратной зоной ДНС"	+/–
	Сообщение от Johni_J (ok) on 19-Фев-14, 11:32
	> Это что, полный файл зоны ???? >:-[ ] нет, вот полный $TTL    7200 @       IN      SOA     ur-hq-dns-01.x.x.x. dnsmaster.x.x.x. (                         2014020702              ; Serial                               7200              ; Refresh                               1800              ; Retry                            2419200              ; Expire                               7200 )    ; Negative Cache TTL ; @       IN      NS      ur-hq-dns-01.x.x.x. @       IN      NS      ur-hq-dns-02.x.x.x. ; 20      IN      PTR     ur-hq-dns-01.x.x.x. 19      IN      PTR     ur-hq-dns-02.x.x.x. 27      IN      PTR     ur-hq-mr-01.x.x.x. 26      IN      PTR     ur-hq-mr-02.x.x.x. 15      IN      PTR     owa.x.x.x.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Проблема с обратной зоной ДНС"	+/–
	Сообщение от Johni_J (ok) on 19-Фев-14, 11:43
	> А в логи сервера смотрели? Или отключили за непосещаемостью? Логи конечно есть, начал разбор именно с них. самое интересное: security: client 217.118.91.97#40211: query (cache) '11.x.x.10.in-addr.arpa/PTR/IN' denied security: client 217.118.91.97#40215: query (cache) '7.x.x.10.in-addr.arpa/PTR/IN' denied
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	13. "Проблема с обратной зоной ДНС"	+/–
	Сообщение от DN (ok) on 19-Фев-14, 13:27
	> Логи конечно есть, начал разбор именно с них. > самое интересное: > security: client 217.118.91.97#40211: query (cache) '11.x.x.10.in-addr.arpa/PTR/IN' > denied > security: client 217.118.91.97#40215: query (cache) '7.x.x.10.in-addr.arpa/PTR/IN' > denied Если Вы делает запрос извне и получаете в логах запрос '7.x.x.10.in-addr.arpa/PTR/IN' вместо запроса '7.x.x.195.in-addr.arpa/PTR/IN' , то смотрите настройки NAT . NAT меняет содержимое DNS запроса.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	14. "Проблема с обратной зоной ДНС"	+/–
	Сообщение от PavelR (ok) on 19-Фев-14, 20:21
	> NAT меняет содержимое DNS запроса. ой, как интересно. Расскажите пожалуйста, на каком оборудовании происходит такая магия?
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	16. "Проблема с обратной зоной ДНС"	+/–
	Сообщение от DN (ok) on 20-Фев-14, 00:18
	>> NAT меняет содержимое DNS запроса. > ой, как интересно. Расскажите пожалуйста, на каком оборудовании происходит такая магия? На Cisco есть такие опции. Например: http://www.cisco.com/c/en/us/support/docs/security/asa-5500-...
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	18. "Проблема с обратной зоной ДНС"	+/–
	Сообщение от Johni_J (ok) on 20-Фев-14, 07:00
	>> Логи конечно есть, начал разбор именно с них. >> самое интересное: >> security: client 217.118.91.97#40211: query (cache) '11.x.x.10.in-addr.arpa/PTR/IN' >> denied >> security: client 217.118.91.97#40215: query (cache) '7.x.x.10.in-addr.arpa/PTR/IN' >> denied > Если Вы делает запрос извне и получаете в логах запрос '7.x.x.10.in-addr.arpa/PTR/IN' > вместо запроса '7.x.x.195.in-addr.arpa/PTR/IN' , то смотрите настройки NAT . > NAT меняет содержимое DNS запроса. Само смешное что думал так же, но не нашел информации по этому, нат организован не на PIX\ASA а на рутере, правда тоже cisco. Поэтому непонятно как происходит подмена ip в запросе ДНС. Видимо все таки дело в NAT, только не понимаю почему он лезет в запросы ДНС?
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	19. "Проблема с обратной зоной ДНС"	+/–
	Сообщение от PavelR (ok) on 20-Фев-14, 09:21
	> Само смешное что думал так же, но не нашел информации по этому, > нат организован не на PIX\ASA а на рутере, правда тоже cisco. > Поэтому непонятно как происходит подмена ip в запросе ДНС. > Видимо все таки дело в NAT, только не понимаю почему он лезет > в запросы ДНС? > Интернет -- Пограничный рутер (NAT)  --  PIX (DMZ) //тут и > живет DNS  -- Ядро ЛВС  -- пользователи Какая интересная схема. Ну, видимо что-то в ней не так с пробросами-файрволлами, если непосредственно на самом сервере всё отвечает. В #16 много интересного.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	15. "Проблема с обратной зоной ДНС"	+/–
	Сообщение от PavelR (ok) on 19-Фев-14, 20:26
	>> А в логи сервера смотрели? Или отключили за непосещаемостью? > Логи конечно есть, начал разбор именно с них. > самое интересное: > security: client 217.118.91.97#40211: query (cache) '11.x.x.10.in-addr.arpa/PTR/IN' > denied > security: client 217.118.91.97#40215: query (cache) '7.x.x.10.in-addr.arpa/PTR/IN' > denied это вы просто так в файлик посмотрели, в самый конец? Может какие-нибудь действия сделаете, типа rndc reload или полный рестарт, а потом уже будете смотреть в логи... Во-вторых - рисуйте схему вашей сети. Где провайдер, где маршрутизатор, где ДМЗ, где ваш компьютер, с которого вы пытаетесь тестировать. В третьих: попробуйте протестировать работу ДНС-сервера и корректность ответов непосредственно на самих DNS-серверах, а не из виндовс (вы ей пользоваться не умеете).
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	17. "Проблема с обратной зоной ДНС"	+/–
	Сообщение от Johni_J (ok) on 20-Фев-14, 06:54
	> это вы просто так в файлик посмотрели, в самый конец? > Может какие-нибудь действия сделаете, типа rndc reload или полный рестарт, а потом > уже будете смотреть в логи... Отличный юмор, оценил. Логи соответствуют запросам, отслеживал по ip. Рестарт и релоад соответственно делался и не раз... > Во-вторых - рисуйте схему вашей сети. Где провайдер, где маршрутизатор, где ДМЗ, > где ваш компьютер, с которого вы пытаетесь тестировать. Про схему согласен, про то что сервер внутри работает и отвечает корректно вроде уже писал. Схема: Интернет -- Пограничный рутер (NAT)  --  PIX (DMZ) //тут и живет DNS  -- Ядро ЛВС  -- пользователи > В третьих: попробуйте протестировать работу ДНС-сервера и корректность ответов непосредственно > на самих DNS-серверах, а не из виндовс (вы ей пользоваться не > умеете). ок, вот с самого сервера: dig -x 195.x.x.26 ; <<>> DiG 9.8.1-P1 <<>> -x 195.x.x.26 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32871 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;26.x.x.195.in-addr.arpa.    IN    PTR ;; ANSWER SECTION: 26.x.x.195.in-addr.arpa. 7200    IN    PTR    ur-hq-mr-02.x.x.x. ;; AUTHORITY SECTION: x.x.195.in-addr.arpa.    7200    IN    NS    ur-hq-dns-01.x.x.x. x.x.195.in-addr.arpa.    7200    IN    NS    ur-hq-dns-02.x.x.x. ;; ADDITIONAL SECTION: ur-hq-dns-01.x.x.x. 7200 IN    A    195.x.x.20 ur-hq-dns-02.x.x.x. 7200 IN    A    195.x.x.19 ;; Query time: 0 msec ;; SERVER: 10.x.x.11#53(10.x.x.11) ;; WHEN: Thu Feb 20 08:49:28 2014 ;; MSG SIZE  rcvd: 170
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	21. "Проблема с обратной зоной ДНС"	+/–
	Сообщение от DN (ok) on 20-Фев-14, 18:42
	>[оверквотинг удален] > ; <<>> DiG 9.8.1-P1 <<>> -x 195.x.x.26 > ;; global options: +cmd > ;; Got answer: > ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32871 > ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, > ADDITIONAL: 2 > ;; QUESTION SECTION: > ;26.x.x.195.in-addr.arpa. IN PTR > ;; ANSWER SECTION: > 26.x.x.195.in-addr.arpa. 7200 IN PTR ur-hq-mr-02.x.x.x. Пограничный роутер на cisco  тоже может менять содержимое пакета с запросом DNS. https://supportforums.cisco.com/docs/DOC-5229 http://www.cisco.com/c/en/us/support/docs/security/asa-5500-... Смотрите конфигурации роутера и PIX .
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	22. "Проблема с обратной зоной ДНС"	+/–
	Сообщение от Johni_J (ok) on 21-Фев-14, 07:39
	> Пограничный роутер на cisco  тоже может менять содержимое пакета с запросом > DNS. > https://supportforums.cisco.com/docs/DOC-5229 > http://www.cisco.com/c/en/us/support/docs/security/asa-5500-... > Смотрите конфигурации роутера и PIX . Спасибо, вы были правы, все заработало. Всем спасибо за помощь! Тема закрыта.
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема