forum.lissyara.su

Добавлено: **2011-01-18 16:34:18**

Имеем роутер с named на базе fedora 12/ ip=10.3.0.10

Поиск началось после того как я заметил странности в работе клиентских машин,
Виндовый nslookup успешно разрешал инет запросы ругаясь при запуске на отсутствие ДНС сервера:

Код: Выделить всё

C:\Documents and Settings\ash>nslookup
DNS request timed out.
    timeout was 2 seconds.
*** Can't find server name for address 10.3.0.10: Timed out
*** Default servers are not available
Default Server:  UnKnown
Address:  10.3.0.10

запросы локалки обрабатывались только прямые,

Код: Выделить всё

> 1c
Server:  UnKnown
Address:  10.3.0.10
Name:    1c.ss.loc.dom
Address:  10.0.0.15

обратные печально выдавали:

Код: Выделить всё

> 10.0.0.15
Server:  UnKnown
Address:  10.3.0.10
DNS request timed out.
    timeout was 2 seconds.
*** Request to UnKnown timed-out

Полез я в логи и обнаружил много разного, с чем пытаюсь разобраться сейчас и надеюсь на вашу помощь, итак.
1) Сообщения типа

Код: Выделить всё

network unreachable resolving 'ns-912.amazon.com/A/IN': 2001:503:a83e::2:30#53
network unreachable resolving 'ns-921.amazon.com/AAAA/IN': 2001:503:231d::2:30#53

в больших кол-вах.
Гугль вывел много информации по теме, основная мысль была в том, что BIND пытается выполнить запись AAAA, которая есть тока в IPv6. (впрочем не только АААА) Поиск и мануал по теме порекомендовали вот такую вот строчку в named.conf

Код: Выделить всё

options {
         listen-on-v6 { none; };
};

Однако не помогло, записи в логах все равно появляются, это проблема рас, и если с АААА записью вроде понятно, то что значит та-же строка с А записью?
Мануал по теме: http://tldp.org/HOWTO/Linux+IPv6-HOWTO/ ... -bind.html

2) Сообщения типа

Код: Выделить всё

slaves/ss.loc.dom.db:179: \208\181\208\178\208\179\208\181\208\189\208\184\208\185-\208\191\208\186.ss.loc.dom: bad owner name (check-names)

Тут вроде понятно, но даже 777 на файл ss.loc.dom.db ничего не изменило... Где-то я крупно ошибаюсь и плаваю в матчасти

3) Сообщения типа

Код: Выделить всё

client 10.30.0.1#52645: query (cache) 'mail.ru/A/IN' denied

Смысл в том, что запросы извне запрещены, вот и denied, а большое кол-во таких строк говорит о дос атаке. Можно за ошибку не считать?

4) Сообщения типа

Код: Выделить всё

transfer of 'ss.loc.dom/IN' from 10.3.0.2#53: connected using 10.3.0.10#57451
zone ss.loc.dom/IN: transferred serial 45440
transfer of 'ss.loc.dom/IN' from 10.3.0.2#53: Transfer completed: 1 messages, 10 records, 289 bytes, 0.329 secs (878 bytes/sec)
zone ss.loc.dom/IN: sending notifies (serial 45440)
client 10.30.0.1#57777: received notify for zone 'ss.loc.dom'
zone ss.loc.dom/IN: refused notify from non-master: 10.30.0.1#57777
client 10.100.0.26#65075: received notify for zone 'ss.loc.dom'
zone ss.loc.dom/IN: refused notify from non-master: 10.100.0.26#65075

говорят о том, что зона таки передается мастер сервером, но вот смущают последние строки, мне знакомы данные ip, они из моей локалки, но в named.conf они точно не фигурируют.. зачем они тут на этом slave dns сервере??

5) Ну и на последок

Код: Выделить всё

success resolving 'rutld.mars.orderbox-dns.com/AAAA' (in 'orderbox-dns.com'?) after reducing the advertised EDNS UDP packet size to 512 octets
success resolving 'rutld.venus.orderbox-dns.com/A' (in 'orderbox-dns.com'?) after reducing the advertised EDNS UDP packet size to 512 octets

Тут я понял что ничего не понял, то есть зоны обновились (мои зоны от их? их от моих?) после некоторых манипуляций с размером пакета.. смысл ускользает, пойду дальше гуглить..

И главное, как всё перечисленное связано с тем что, обратная зона не работает??

Код: Выделить всё

[root@roaz named]# nslookup
> 10.0.0.15
;; connection timed out; no servers could be reached
> 1c
Server:         127.0.0.1
Address:        127.0.0.1#53

** server can't find 1c: NXDOMAIN
> 1c.ss.loc.dom
Server:         127.0.0.1
Address:        127.0.0.1#53

Name:   1c.ss.loc.dom
Address: 10.0.0.15

Добавлено: **2011-01-18 17:36:20**

для начала, named.conf в студию...

Добавлено: **2011-01-19 10:09:18**

Код: Выделить всё

options {
	listen-on port 53 { 127.0.0.1;10.3.0.10; };
	listen-on-v6 { none; };
	directory 	"/var/named";
	dump-file 	"/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
	allow-query     { localhost;10.3.0.0/24;10.0.0.0/24; };
	recursion yes;
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
	type hint;
	file "named.ca";
};

include "/etc/named.rfc1912.zones";

zone "ss.loc.dom" {
    type slave;
    file "slaves/ss.loc.dom.db";
    masters {10.0.0.1; 10.3.0.2;};
};

Добавлено: **2011-01-19 10:47:29**

ну и где обратная зона? как она может работать если ее нет?

Добавлено: **2011-01-20 12:04:28**

Эмм.. )))
Ладно, признаю, надо взять в руки мануал и учить матчасть. Чем и озадачусь.

А по поводу многочисленных ошибок в логах приведенных выше?

forum.lissyara.su

Ошибки в логах named (fedora 12). Работа над ошибками.

Ошибки в логах named (fedora 12). Работа над ошибками.

Re: Ошибки в логах named (fedora 12). Работа над ошибками.

Re: Ошибки в логах named (fedora 12). Работа над ошибками.

Re: Ошибки в логах named (fedora 12). Работа над ошибками.

Re: Ошибки в логах named (fedora 12). Работа над ошибками.