BIND не форвардит обратные запросы

[nick_f]

Есть две локалки (10.2.2.0/24 и 10.2.3.0/24), соединенные через шлюз.
В обоих есть DNS сервера, каждый держит зону своей локалки и форвардит запросы в инет.
Хочу чтобы в первой локалке резолвились имена второй.
в named.conf сервера первой локалки добавляю

Код: Выделить всё

zone "domain2.lan" {
        type forward;
        forwarders { 
            10.2.3.7;
            };       
        };

zone "3.2.10.in-addr.arpa" {
        type forward;       
        forwarders {        
            10.2.3.7;       
            };              
        };

и имею: прямые ресолвы работают, а обратные - нет
т.е.
делая, например, nslookup dns.domain2.lan - резолвится а nslookup 10.2.3.7 - не резолвится.
подскажите, плиз, в чем может быть проблема?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Jan]

Есть две локалки (10.2.2.0/24 и 10.2.3.0/24), соединенные через шлюз.
В обоих есть DNS сервера, каждый держит зону своей локалки и форвардит запросы в инет.
Хочу чтобы в первой локалке резолвились имена второй.
в named.conf сервера первой локалки добавляю

Код: Выделить всё

zone "domain2.lan" {
        type forward;
        forwarders { 
            10.2.3.7;
            };       
        };

zone "3.2.10.in-addr.arpa" {
        type forward;       
        forwarders {        
            10.2.3.7;       
            };              
        };

и имею: прямые ресолвы работают, а обратные - нет
т.е.
делая, например, nslookup dns.domain2.lan - резолвится а nslookup 10.2.3.7 - не резолвится.
подскажите, плиз, в чем может быть проблема?

Смотри настройки обратной зоны на сервере 10.2.3.7

[nick_f]

Смотри настройки обратной зоны на сервере 10.2.3.7

Смотрел. Ничего такого особенного не увидел.
nslookup 10.2.3.7 10.2.3.7 работает нормально отовсюду,

[Jan]

Смотри настройки обратной зоны на сервере 10.2.3.7

Смотрел. Ничего такого особенного не увидел.
nslookup 10.2.3.7 10.2.3.7 работает нормально отовсюду,

ты забыл указать 1 параметр:
forward only;
вот симпл:

Код: Выделить всё

zone "0.168.192.in-addr.arpa" {
      type forward;
      forward only;
      forwarders { ns1; ns2;};
};

проверь

Код: Выделить всё

nslookup 10.2.3.10 10.2.3.7

что показывает?

[nick_f]

ты забыл указать 1 параметр:
forward only;

Добавил, ничего не изменилось

проверь

Код: Выделить всё

nslookup 10.2.3.10 10.2.3.7

что показывает?

Код: Выделить всё

$ nslookup 10.2.3.10 10.2.3.7
Server:         10.2.3.7
Address:        10.2.3.7#53

** server can't find 10.3.2.10.in-addr.arpa.: NXDOMAIN

[Jan]

Код: Выделить всё

$ nslookup 10.2.3.10 10.2.3.7
Server:         10.2.3.7
Address:        10.2.3.7#53

** server can't find 10.3.2.10.in-addr.arpa.: NXDOMAIN

Смотри настройки обратной зоны на 10.2.3.7

[nick_f]

Смотри настройки обратной зоны на 10.2.3.7

Код: Выделить всё

zone "3.2.10.in-addr.arpa" {
        type slave;
        file "slave/3.2.10.in-addr.apra.db";
        masters {
            10.2.3.207;
        };
};

ЗЫ, смотрел тспдампом, сервак, который должен форвардить запросы - при прямом запросе - прекрасно видно запрос/ответ, а при обратном - даже не пытается соединиться с сервером 10.2.3.7.

[snorlov]

А на фиг форвардить-то, обьявить каждому, что у него есть вторичник в другой сети и он сам является вторичником, и пусть они забирают зоны у друг друга...
В кроне можно заставить принудительно забирать зоны ...

[nick_f]

А на фиг форвардить-то, обьявить каждому, что у него есть вторичник в другой сети и он сам является вторичником, и пусть они забирают зоны у друг друга...
В кроне можно заставить принудительно забирать зоны ...

гонять зоны туда-сюда, особенно если они большие, а подсетей не две а десяток, и на некоторые подсети траф платный....
да и необходимости нет постоянно держать эти зоны. они использоваться будут пару раз в неделю.

и еще, все-таки интересно, почему же форвард не работает.

[Jan]

ЗЫ, смотрел тспдампом, сервак, который должен форвардить запросы - при прямом запросе - прекрасно видно запрос/ответ, а при обратном - даже не пытается соединиться с сервером 10.2.3.7.

1. Пробовал форвардить не на слэйв, а на мастер:

Код: Выделить всё

zone "3.2.10.in-addr.arpa" {
        type forward;
        forward only;
        forwarders {        
            10.2.3.207;       
            };              
        };

?
2. В студию

Код: Выделить всё

telnet 10.2.3.7 53

с сервака, на котором прописаны а BIND форварды.
3. В ту же студию:

Код: Выделить всё

cat /etc/namedb/slave/3.2.10.in-addr.apra.db

с 10.2.3.7.

[nick_f]

1. Пробовал форвардить не на слэйв, а на мастер:

Пробовал. результат тот же. Кстати, мастер - под виндой.

2. В студию

Код: Выделить всё

telnet 10.2.3.7 53

с сервака, на котором прописаны а BIND форварды.

Код: Выделить всё

# telnet 10.2.3.7 53
Trying 10.2.3.7...
Connected to 10.2.3.7.
Escape character is '^]'.
^]
telnet> q
Connection closed.

3. В ту же студию:

Код: Выделить всё

cat /etc/namedb/slave/3.2.10.in-addr.apra.db

с 10.2.3.7.

Код: Выделить всё

# cat 3.2.10.in-addr.apra.db
$ORIGIN .
$TTL 3600       ; 1 hour
3.2.10.in-addr.arpa     IN SOA  server.akva-kr.lan. admin.akva-kr.lan. (
                                9          ; serial
                                900        ; refresh (15 minutes)
                                600        ; retry (10 minutes)
                                86400      ; expire (1 day)
                                3600       ; minimum (1 hour)
                                )
                        NS      server.akva-kr.lan.
$ORIGIN 3.2.10.in-addr.arpa.
$TTL 1200       ; 20 minutes
11                      PTR     operator10.akva-kr.lan.
12                      PTR     operator2.akva-kr.lan.
207                     PTR     server.akva-kr.lan.
5                       PTR     operator9.akva-kr.lan.
6                       PTR     operator7.akva-kr.lan.
7                       PTR     deamon.akva-kr.lan.
8                       PTR     buh.akva-kr.lan.
9                       PTR     operator5.akva-kr.lan.

[Zep]

Столкнулся с такой же проблемой, удалось ли кому решить ее?

[KVIN]

Тоже столкнулся с такой проблемой.

Может кто-то решил?

[KVIN]

что было замечено:
есть два интернет-шлза на фре 7.4. На одной пересылка обратных зон работает, а на другом нет. Конфиги одинаковые, НО
на работающем

Код: Выделить всё

BIND 9.4.-ESV-R4

на не работающем

Код: Выделить всё

BIND 9.9.2-P1

и в логах не работающего присутствуют строки

• ....................
  Mar 26 17:57:20 vpn named[86335]: automatic empty zone: 168.192.IN-ADDR.ARPA
  Mar 26 17:57:20 vpn named[86335]: automatic empty zone: 0.IN-ADDR.ARPA
  Mar 26 17:57:20 vpn named[86335]: automatic empty zone: 127.IN-ADDR.ARPA
  Mar 26 17:57:20 vpn named[86335]: automatic empty zone: 254.169.IN-ADDR.ARPA
  Mar 26 17:57:20 vpn named[86335]: automatic empty zone: 2.0.192.IN-ADDR.ARPA
  Mar 26 17:57:20 vpn named[86335]: automatic empty zone: 100.51.198.IN-ADDR.ARPA
  Mar 26 17:57:20 vpn named[86335]: automatic empty zone: 113.0.203.IN-ADDR.ARPA
  Mar 26 17:57:20 vpn named[86335]: automatic empty zone: 255.255.255.255.IN-ADDR.ARPA
  ........................

а у работающего нет этой злосчастной первой строки

• ......................
  Mar 26 16:41:26 relay named[72763]: automatic empty zone: 0.IN-ADDR.ARPA
  Mar 26 16:41:26 relay named[72763]: automatic empty zone: 127.IN-ADDR.ARPA
  Mar 26 16:41:26 relay named[72763]: automatic empty zone: 254.169.IN-ADDR.ARPA
  Mar 26 16:41:26 relay named[72763]: automatic empty zone: 2.0.192.IN-ADDR.ARPA
  Mar 26 16:41:26 relay named[72763]: automatic empty zone: 255.255.255.255.IN-ADDR.ARPA
  ......................

Подозреваю что в новой версии бинд создает автоматически пустые зоны-заглушки на все серые диапазоны ипов которые перекрывают описанную вот так обратную зону

Код: Выделить всё

zone "0.168.192.in-addr.arpa" {                                                                                                                                                     
        type forward;                                                                                                                                                               
        forward only;                                                                                                                                                               
        forwarders {                                                                                                                                                                
                192.168.0.1;                                                                                                                                                       
                192.168.0.2;                                                                                                                                                        
        };                                                                                                                                                                          
};

[KVIN]

Нашел !!!!!

надо отключить создание мешающей встроенной пустой зоны-заглушки добавлением директивы в файл конфигурации бинда

Код: Выделить всё

disable-empty-zone "168.192.IN-ADDR.ARPA";

так оно выглядит у меня. Мне нужна была зона 0.168.192.IN-ADDR.ARPA, которую перекрывала пустая зона 168.192.IN-ADDR.ARPA


вот так