named не работает :-(

[Stanislav]

Поставил named - внутри сети все работает прекрасно, снаружи - получаю "query refused"
Где копать? Дырку в файрволе проколупал: tcp/udp 53, пакеты через нее идут.... Конфиг-то не сложный. Мистика прямо...

[CdR]

named.conf, options like:
listen-on {...};
allow-query {...};
query-source ....;

[Аман Ванкуверский]

1. То, что CdR прописал - настройки конфига: на тех ли интерфейсах слушает, отвечает ли внешним запросам и т.д.

2. На файерволе NAT правильно настроен?

3. Логи, дебаг что показывают?

[Stanislav]

Код: Выделить всё

options {
        allow-query             { localnets; localhost; };
        allow-recursion         { localnets; localhost; };
        query-source            port 53;
        query-source-v6         port 53;
        directory               "/var/named";
        forwarders              { 192.197.96.11; };
        dump-file               "data/cache_dump.db";
        statistics-file         "data/named_stats.txt";
        memstatistics-file      "data/named_mem_stats.txt";
};

view "localhost_resolver" {

        match-clients           { localhost; };
        match-destinations      { localhost; };

        include "/etc/named.root";

        include "/etc/named.local";

        zone "@@@@@@@" {
                allow-query { any; };
                type master;
                file "@@@@@@.local";
        };

        zone "#######" {
                allow-query { any; };
                type master;
                file "#######.local";
        };

};

view "internal" {

        match-clients           { localnets; };
        match-destinations      { localnets; };

        include "/etc/named.root";

        zone "@@@@@@.com" {
                allow-query { any; };
                type master;
                file "@@@@@@.local";
        };

        zone "7.168.192.in-addr.arpa" {
                allow-query { any; };
                type master;
                file "7.168.192.@@@@@.com";
        };

        zone "#######.com" {
                allow-query { any; };
                type master;
                file "#######.local";
        };

};

view "external" {

        match-clients           { !localnets; !localhost; };
//      match-destinations      { !localnets; !localhost; };
        match-destinations      { any; };

        include "/etc/named.root";

        zone "@@@@@@.com" {
                allow-query { any; };
                type master;
                file "@@@@@@.com";
        };

        zone "97.197.192.in-addr.arpa" {
                allow-query { any; };
                type master;
                file "97.197.192.@@@@@@.com";
        };

        zone "########.com" {
                allow-query { any; };
                type master;
                file "########.com";
        };

};

[Stanislav]

IP = 192.197.97.59:53
NAT логи - говорит, что пакеты переправил по внутреннему адресу успешно....
в messages есть сообщения только об успешной загрузке зон, да ошибки по доступу к корневым серверам

А как ему debug сделать?

[meser]

IP = 192.197.97.59:53
NAT логи - говорит, что пакеты переправил по внутреннему адресу успешно....
в messages есть сообщения только об успешной загрузке зон, да ошибки по доступу к корневым серверам

А как ему debug сделать?

а как он без рутовой зоны будет делать рекурсивные запросы? пропиши зону.
что у тебя за линукс? Можешь кинуть кусок лога с grep "named"?
у даймона есть ключ -d level, где левел из дебаг левел. Но тебе наверное это не надо, сейчас.

[Stanislav]

IP = 192.197.97.59:53
NAT логи - говорит, что пакеты переправил по внутреннему адресу успешно....
в messages есть сообщения только об успешной загрузке зон, да ошибки по доступу к корневым серверам

А как ему debug сделать?

а как он без рутовой зоны будет делать рекурсивные запросы? пропиши зону.
что у тебя за линукс? Можешь кинуть кусок лога с grep "named"?
у даймона есть ключ -d level, где левел из дебаг левел. Но тебе наверное это не надо, сейчас.

там у меня:
include "/etc/named.root";
тан сидит hint с рутовой зоной

CentOS.

в messages есть только сообщения об успешном старте демона и загрузке зон: когда я пытаюсь сделать nslookup - запрос отвергается, но никаких сообщений не появляется

[meser]

IP = 192.197.97.59:53
NAT логи - говорит, что пакеты переправил по внутреннему адресу успешно....
в messages есть сообщения только об успешной загрузке зон, да ошибки по доступу к корневым серверам

А как ему debug сделать?

а как он без рутовой зоны будет делать рекурсивные запросы? пропиши зону.
что у тебя за линукс? Можешь кинуть кусок лога с grep "named"?
у даймона есть ключ -d level, где левел из дебаг левел. Но тебе наверное это не надо, сейчас.

там у меня:
include "/etc/named.root";
тан сидит hint с рутовой зоной

CentOS.

а сам файл рутовой зоны есть? путь к нему правильный? пермишнс файла позволяют его читать узеру named?

[Stanislav]

IP = 192.197.97.59:53
NAT логи - говорит, что пакеты переправил по внутреннему адресу успешно....
в messages есть сообщения только об успешной загрузке зон, да ошибки по доступу к корневым серверам

А как ему debug сделать?

а как он без рутовой зоны будет делать рекурсивные запросы? пропиши зону.
что у тебя за линукс? Можешь кинуть кусок лога с grep "named"?
у даймона есть ключ -d level, где левел из дебаг левел. Но тебе наверное это не надо, сейчас.

там у меня:
include "/etc/named.root";
тан сидит hint с рутовой зоной

CentOS.

а сам файл рутовой зоны есть? путь к нему правильный? пермишнс файла позволяют его читать узеру named?

пермишинс 640 root:named
Все нормально - все разрешается, если запрос идет из моей внутренней сети. Проблема, если извне делаешь запрос... Firewall клянется, что NAT'ит куда надо... Может есть какие особенности для XEN? сервер еще хостит кучку VM.

[meser]

постой, ты говорил о сообщениях о рутовой зоне. они пропали?
кидай сюда рез-т grep -i named /var/log/messages
еще попробуй глянуть резолвинг с трэйсом,
ну например dig address +trace или дай мне какое имя, я гляну снаружи

[meser]

кстати, насчет ната, там и юдп и тсп? все строго?

[Stanislav]

кстати, насчет ната, там и юдп и тсп? все строго?

да, оба

[Stanislav]

постой, ты говорил о сообщениях о рутовой зоне. они пропали?
кидай сюда рез-т grep -i named /var/log/messages
еще попробуй глянуть резолвинг с трэйсом,
ну например dig address +trace или дай мне какое имя, я гляну снаружи

сейчас ошибок нету - только сообщения о старте демона и загрузках зон.
IP DNS server: 192.197.97.59
name: ns.rd-arts.com

[meser]

Код: Выделить всё

options {
        allow-query             { localnets; localhost; };
        allow-recursion         { localnets; localhost; };
....
}

постой, станислав, а это что? ты сам не разрешаешь внешние запросы.

[meser]

Код: Выделить всё

// Authorized source addresses.
acl "trusted" {
        localhost;
        aaa.bbb.ccc.ddd/24
       //твои сетки
     
};
// Known fake source addresses shouldn't be replied to.
acl "bogon" {
        0.0.0.0/8;
        1.0.0.0/8;
        2.0.0.0/8;
        192.0.2.0/24;
        224.0.0.0/3;
        169.254.0.0/16;
        // Enterprise networks may or may not be bogus.
        10.0.0.0/8;
        172.16.0.0/12;
        192.168.0.0/16;
};

controls {
        inet * allow { trusted; } keys { "rndc-key"; };
};

options {
        directory "/var/named";
        allow-transfer { 127.0.0.1; eee.fff.ggg.hhh;};
        allow-query { any; };
        allow-recursion { trusted; };
        blackhole { bogon; };
       
};

вот кусок рабочего конфига