SLAVE DNS BIND

[posta]

Всем доброго дня,
Настроил авторитарный днс сервер bind на фрибсд.
Использовал view сlause для доменной зоны, чтобы разделить внешние и внутренние хосты.
Теперь стоит задача создать вторичный днс сервер. Впрочем уже сделал, она у меня обнавляется, но проблема в том что она не разделяет хосты на внешние и внутренние. Хотя должны были так делать, так как сохраняются в отдельные файлы.
это на первичном:

Код: Выделить всё

view "for_local_clients" {

	zone "."  {
	        type hint;
	        file "named.root";
	};

	zone "localhost" {
	        type master;
	        file "master/localhost.zone";
	     	allow-transfer { 127.0.0.1; };
		allow-query { 127.0.0.1; };
        };

	zone "0.0.127.IN-ADDR.ARPA" {       
		type master;
		file "master/localhost.rev";
		allow-transfer { 127.0.0.1; };
		allow-query { 127.0.0.1; };
        };

	match-clients {
		192.168.0.0/24;
	};
        zone "domanname" {
                type master;
                file "master/internal.domanname";

                allow-transfer {
					xxx.xxx.xxx.xxx;
					xxx.xxx.xxx.xxx;
                };
        };

	zone "0.168.192.IN-ADDR.ARPA" in{
		type master;
		file "reverse/in.0.168.192.rev";
		allow-transfer {
			xxx.xxx.xxx.xxx;
			xxx.xxx.xxx.xxx;
		};
	};

};

view "for_public_clients" {
	
	match-clients {
		"any";
	};
	
	zone "domanname"	{
		type master;
		file "master/external.domanname";

		allow-transfer {
			xxx.xxx.xxx.xxx;
			xxx.xxx.xxx.xxx;
		};
	};
	
	zone "0.168.192.IN-ADDR.ARPA" in{
		type master;
		file "reverse/ex.0.168.192.rev";
		allow-transfer {
			xxx.xxx.xxx.xxx;
			xxx.xxx.xxx.xxx;
		};
	};

};

а это на вторичном

Код: Выделить всё

view "for_local_clients" {

	zone "."  {
	        type hint;
	        file "named.root";
	};

	zone "localhost" {
	        type master;
	        file "master/localhost.zone";
	     	allow-transfer { 127.0.0.1; };
		allow-query { 127.0.0.1; };
        };

	zone "0.0.127.IN-ADDR.ARPA" {       
		type master;
		file "master/localhost.rev";
		allow-transfer { 127.0.0.1; };
		allow-query { 127.0.0.1; };
        };

	match-clients {
		192.168.0.0/24;
	};
        zone "domanname" {
			type slave;
			file "slave/internal.domanname";
			masters {
				xxx.xxx.xxx.xxx;
				xxx.xxx.xxx.xxx;
			};
        };

	zone "0.168.192.IN-ADDR.ARPA" in{
		type slave;
		file "slave/in.0.168.192.rev";
		masters {
			xxx.xxx.xxx.xxx;
			xxx.xxx.xxx.xxx;
		};
	};

};

view "for_public_clients" {
	
	match-clients {
		"any";
	};
	
	zone "domanname"	{
		type slave;
		file "slave/external.domanname";
		masters {
			xxx.xxx.xxx.xxx;
			xxx.xxx.xxx.xxx;
		};
	};
	
	zone "0.168.192.IN-ADDR.ARPA" in{
		type slave;
		file "slave/ex.0.168.192.rev";
		masters {
			xxx.xxx.xxx.xxx;
			xxx.xxx.xxx.xxx;
		};
	};

};

но при этом файлы slave/internal.domanname и slave/external.domanname получаются совершенно идентичны.
Как можно решить эту проблему? И вообще, это проблема?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[shlash]

У вас на мастере определены два отображения: match-clients 192.168.0.0/24 и match-clients "все_остальные".
Нужно сделать так, чтобы запросы со вторичного, для получения внешнего отображения зон, имели адрес не входящий в диапазон 192.168.0.0/24.
Для получения внешнего отображения зон нужен отдельный сервер, находящийся во внешней адресной области.

[shlash]

Для внешних хостов абсолютно бессмысленно отдавать внутреннюю реверсную зону 0.168.192.IN-ADDR.ARPA

[posta]

У вас на мастере определены два отображения: match-clients 192.168.0.0/24 и match-clients "все_остальные".
Нужно сделать так, чтобы запросы со вторичного, для получения внешнего отображения зон, имели адрес не входящий в диапазон 192.168.0.0/24.
Для получения внешнего отображения зон нужен отдельный сервер, находящийся во внешней адресной области.

честно сказать я не очень понял "внешней адресной области".
У меня синхронизация идет, в этом нету проблем. Только вот вторичный не распознает файлы зоны для внешнего и для внутренного. Она обе сохраняет, но обьединяя обе.

[posta]

Для внешних хостов абсолютно бессмысленно отдавать внутреннюю реверсную зону 0.168.192.IN-ADDR.ARPA

ведь она и не отдается, или я неправ?

[shlash]

Какие у серверов собственные ip-адреса? Какие адреса забиты ххх.ххх?
slave/internal.domanname и slave/external.domanname это действительно два разных файла, а не хардлинк?
Логирование включали? Какие запросы приходят, какие ответы формируются?

Удалите из внешнего отображения zone "0.168.192.IN-ADDR.ARPA"

[posta]

Какие у серверов собственные ip-адреса? Какие адреса забиты ххх.ххх?
slave/internal.domanname и slave/external.domanname это действительно два разных файла, а не хардлинк?
Логирование включали? Какие запросы приходят, какие ответы формируются?

Удалите из внешнего отображения zone "0.168.192.IN-ADDR.ARPA"

У обоих серверов есть по два интерфейса, один для внешки (белый), другой для внутренней сети.
под ххх.ххх мастер файле айпи вторичного (один внешний, другой внутренний). В файле слайве тоже самое только айпи указывают на мастера.
Да, slave/internal.domanname и slave/external.domanname это действительно две разные файлы.
Как логирование включено. Уровень инфо.
на мастере:

Код: Выделить всё

02-Sep-2011 17:31:30.557 general: info: zone domanname/IN/for_local_clients: loaded serial 201108265
02-Sep-2011 17:31:30.557 general: info: zone localhost/IN/for_local_clients: loaded serial 201011023
02-Sep-2011 17:31:30.559 general: info: zone domanname/IN/for_public_clients: loaded serial 201108265
02-Sep-2011 17:31:30.560 notify: info: zone 0.168.192.IN-ADDR.ARPA/IN/for_local_clients: sending notifies (serial 201108265)
02-Sep-2011 17:31:30.560 notify: info: zone domanname/IN/for_local_clients: sending notifies (serial 201108265)

и это повторяется

на слайве:

Код: Выделить всё

02-Sep-2011 17:21:48.096 notify: info: client master_ip#61501: view for_public_clients: received notify for zone 'domanname'
02-Sep-2011 17:21:48.096 general: info: zone domanname/IN/for_public_clients: notify from master_ip#61501: zone is up to date
02-Sep-2011 17:21:48.096 notify: info: client master_ip#61501: view for_public_clients: received notify for zone 'domanname'
02-Sep-2011 17:21:48.096 general: info: zone domanname/IN/for_public_clients: notify from master_ip#61501: zone is up to date
02-Sep-2011 17:22:25.599 general: info: zone 0.168.192.IN-ADDR.ARPA/IN/for_local_clients: refresh: non-authoritative answer from master master_ip#53 (source 0.0.0.0#0)

[posta]

Неужели никто не пользовался view clause и не настраивал для него вторичный сервер?!

[Gamerman]

Локалка оба ДНС-сервера видит?

[posta]

Да видит, и обе работают без проблем. Проблема в том что на слейве видны хосты которые не должны быть видимыми.

[Gamerman]

Видны - в смысле резольвятся?
А откуда запрос он правильно определяет?

[posta]

Видны - в смысле резольвятся?
А откуда запрос он правильно определяет?

Да, резолвяться без проблем.
Например при запросе с мира не должнен быть видим хост жаббер.доменнайм.
Первичный сервер так и реагирует, тоесть говорит что незнает такой хост. А вот если спросить у вторичного, то он все с потрахами показывает.

[Gamerman]

Второй не за натом случайно?
Не, не в этом проблема. Не дочитал.

[posta]

Второй не за натом случайно?

Нет, имеет белый айпи.

[Gamerman]

Покажите настройки, как он получает с мастер-сервера записи.

[Gamerman]

По ходу такая идея. Слейв обращается через серый АйПИ к мастеру и получает "внутренние" настройки.

[posta]

На данный момент это кажется самым логичным объяснением. Уже поменял в настройках чтобы внутренний конфиг файл отдавал только только внутреннему адресу, а внешний конфиг файл отдавал только через белый айпи. Не помогает пока.

[posta]

У вас на мастере определены два отображения: match-clients 192.168.0.0/24 и match-clients "все_остальные".
Нужно сделать так, чтобы запросы со вторичного, для получения внешнего отображения зон, имели адрес не входящий в диапазон 192.168.0.0/24.
Для получения внешнего отображения зон нужен отдельный сервер, находящийся во внешней адресной области.

Кажется только теперь понял что вы имели ввиду. Спасибо за помощь. Проблема решена именно этим путем.

[posta]

На данный момент это кажется самым логичным объяснением. Уже поменял в настройках чтобы внутренний конфиг файл отдавал только только внутреннему адресу, а внешний конфиг файл отдавал только через белый айпи. Не помогает пока.

А теперь работает! Забыл в конфиге вторичного забить соответствующие мастера.

[posta]

По ходу такая идея. Слейв обращается через серый АйПИ к мастеру и получает "внутренние" настройки.

Спасибо большое. Это была хорошая подсказка. Проблема решена.