форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (DNS / Linux)
Изначальное сообщение		[ Отслеживать ]

"Bind9 не резолвит некоторые имена"	+/–
Сообщение от vmf (ok) on 20-Июн-13, 13:27
Доброго дня! Имеется СentOs c bind9 в роли мастера. Недавно заметил, что некоторые имена dig не резолвит - ;; connection timed out; no servers could be reached ========================================================================================== named.conf: options {     query-source address * port 53;     dump-file         "data/cache_dump.db";         statistics-file     "data/named_stats.txt";         memstatistics-file     "data/named_mem_stats.txt";     version         "no version info"; }; logging {          channel debug_syslog {          syslog local1;          severity dynamic;          print-category yes;         };          category default { debug_syslog; };          channel lame-server {          file "/var/log/lamers.log" versions 99 size 10M;          severity info;          print-time yes;         };          category lame-servers { lame-server; }; }; view    "external" {     match-clients        { any; };     match-destinations    { any; };     recursion yes;     zone "domain.ru" IN {         type master;         file "domain.ru";         allow-transfer { S.L.A.V.E; };         allow-update { localhost; };     };     key "rndckey" {     algorithm    hmac-md5;         secret    ""; }; controls { inet 127.0.0.1 port 953 allow { localhost; } keys {"rndckey"; }; }; ========================================================================================= В resolv.conf соответственно указан 127.0.0.1 ========================================================================================= Вывод netstat -an  | grep LISTEN : tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN tcp        0      0 0.0.0.0:1012                0.0.0.0:*                   LISTEN tcp        0      0 10.136.81.251:53            0.0.0.0:*                   LISTEN tcp        0      0 127.0.0.1:53                0.0.0.0:*                   LISTEN tcp        0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN tcp        0      0 127.0.0.1:953               0.0.0.0:*                   LISTEN tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN tcp        0      0 :::80                       :::*                        LISTEN tcp        0      0 :::22                       :::*                        LISTEN tcp        0      0 :::443                      :::*                        LISTEN ========================================================================================= Cервер находится в DMZ, перенаправление портов работает - telnet`ом на 53 порт "белого" адреса пускает. Свою зону тоже нормально передает. Сейчас времмено поставил forward на гуглоднс, но неправильно как бы это. Не знаю куда думать.....
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Bind9 не резолвит некоторые имена"	+/–
Сообщение от Pahanivo (ok) on 20-Июн-13, 14:05
мая сильно сомневаться что без hint'а у вас биндец вообще что-то резолвит какой смысл был кидать сюда этот безсмысленный кусок конфига?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Bind9 не резолвит некоторые имена"	+/–
Сообщение от Дядя_Федор on 20-Июн-13, 14:35
>  recursion yes; Безотносительно к существу темы (ибо пока все мутно, ввиду недостатка информации). Разрешать рекурсию всем подряд - довольно рискованный шаг. Создайте acl, в котором пропишите свои сети (которые обслуживаете) и им уже разрейшайте рекурсивные запросы через свой сервер. Ну и вообще-то лично я это в конфиге задавал через allow-recursion, allow-query, allow-update. Разрешаю все на глобальном уровне только своим, а в файлах зон, за которые отвечает сервер уже прописывал allow- в any.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Bind9 не резолвит некоторые имена"	+/–
	Сообщение от aurved on 20-Июн-13, 14:41
	бывают ns-сервера нормально не работающие, не настроенные, часто отваливающиеся...
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Bind9 не резолвит некоторые имена"	+/–
	Сообщение от Pahanivo (ok) on 20-Июн-13, 15:33
	те нахрена у афтара только один вью никого не смутило? )) а у меня вот вопрос а нахрена вообще тут вью ))
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "Bind9 не резолвит некоторые имена"	+/–
	Сообщение от lavr on 20-Июн-13, 15:38
	> те нахрена у афтара только один вью никого не смутило? )) а > у меня вот вопрос а нахрена вообще тут вью )) а не заморачивайся, со временем, надоест, я глянул на полуконфиг и понял что задавать наводящие вопросы не хочу, заниматься мазо... навеяло: - ждите ответа... - ждите ответа... ждите ответа... - ждите вопроса... ну а в данном случае наоборот :)
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Bind9 не резолвит некоторые имена"	+/–
	Сообщение от Дядя_Федор on 20-Июн-13, 15:49
	> те нахрена у афтара только один вью никого не смутило? )) а > у меня вот вопрос а нахрена вообще тут вью )) Там много, что смутило. Рекурсия просто на глаза попалась. :)
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Bind9 не резолвит некоторые имена"	+/–
	Сообщение от vmf (ok) on 20-Июн-13, 16:11
	>> те нахрена у афтара только один вью никого не смутило? )) а >> у меня вот вопрос а нахрена вообще тут вью )) >  Там много, что смутило. Рекурсия просто на глаза попалась. :) Про root.hints - прошу прощения, случайно стер вместе с остальным закомментированным текстом. естественно он есть. Про рекурсию спасибо за совет, исправлю. Про вью - раньше были остальные, потом утратили актуальность - их закомментили, соотвественно он один и остался...
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Bind9 не резолвит некоторые имена"	+/–
	Сообщение от Дядя_Федор on 20-Июн-13, 17:00
	Вы бы еще фразу "некоторые имена dig не резолвит" как-то раскрыли бы. :)
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Bind9 не резолвит некоторые имена"	+/–
	Сообщение от vmf (ok) on 21-Июн-13, 10:25
	> Вы бы еще фразу "некоторые имена dig не резолвит" как-то раскрыли бы. > :) Для примера: ========================================================================================== dig mail.ru ; <<>> DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.6 <<>> mail.ru ;; global options:  printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7501 ;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 6, ADDITIONAL: 0 ;; QUESTION SECTION: ;mail.ru.                       IN      A ;; ANSWER SECTION: mail.ru.                33      IN      A       217.69.139.199 mail.ru.                33      IN      A       217.69.139.201 mail.ru.                33      IN      A       94.100.180.199 mail.ru.                33      IN      A       94.100.180.201 ;; AUTHORITY SECTION: mail.ru.                572     IN      NS      ns.mail.ru. mail.ru.                572     IN      NS      ns1.mail.ru. mail.ru.                572     IN      NS      ns2.mail.ru. mail.ru.                572     IN      NS      ns3.mail.ru. mail.ru.                572     IN      NS      ns4.mail.ru. mail.ru.                572     IN      NS      ns5.mail.ru. ;; Query time: 3 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Fri Jun 21 10:22:44 2013 ;; MSG SIZE  rcvd: 196 ========================================================================================= dig twitter.com ; <<>> DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.6 <<>> twitter.com ;; global options:  printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 65359 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;twitter.com.                   IN      A ;; Query time: 4 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Fri Jun 21 10:22:53 2013 ;; MSG SIZE  rcvd: 29 ========================================================================================= Ответа не приходит..... или вот: dig nnpcto.ru ; <<>> DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.6 <<>> nnpcto.ru ;; global options:  printcmd ;; connection timed out; no servers could be reached Причем думает он в любом случае секунды 3-4.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Bind9 не резолвит некоторые имена"	+/–
	Сообщение от Дядя_Федор on 21-Июн-13, 11:14
	Чисто навскидку. Алгоритм, который пришел в голову. Даем с сервера dig @8.8.8.8 NS twitter.com (гугловский ДНС, ага). Смотрим NS-серверы, отвечающие за зону Твиттера. Даем на каждый из них dig @NS_name twiiter.com. Смотрим - отвечает ли (могу предположить, что не ответит). Пингуем кажный из них по очереди - смотрим, доступен ли он по сети. Ну вот где-то так, пожалуй. Если пинга нет - пытаемся понять причину (трасернуть, например).
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Bind9 не резолвит некоторые имена"	+/–
	Сообщение от vmf (ok) on 21-Июн-13, 11:54
	> Чисто навскидку. Алгоритм, который пришел в голову. Даем с сервера dig @8.8.8.8 > NS twitter.com (гугловский ДНС, ага). Смотрим NS-серверы, отвечающие за зону Твиттера. > Даем на каждый из них dig @NS_name twiiter.com. Смотрим - отвечает > ли (могу предположить, что не ответит). Пингуем кажный из них по > очереди - смотрим, доступен ли он по сети. Ну вот где-то > так, пожалуй. Если пинга нет - пытаемся понять причину (трасернуть, например). Спасибо за совет! NS-cервер twitter.com  - ns2.p34.dynect.net (204.13.25.34) ======================================================================================= dig @204.13.25.34 twitter.com ; <<>> DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.6 <<>> @204.13.25.34 twitter.com ; (1 server found) ;; global options:  printcmd ;; connection timed out; no servers could be reached ======================================================================================= Однако пинг на них идет....и на 53 порт телнетом тоже пускает...А не может быть проблема в отбрасыванию по таймауту - мне задумчивость сервера не нравиться, в случае с форвардом на гуглоднс пуляет мгновенно.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Bind9 не резолвит некоторые имена"	+/–
	Сообщение от ALex_hha (ok) on 21-Июн-13, 12:10
	> Однако пинг на них идет....и на 53 порт телнетом тоже пускает... а с каких это пор днс стал использовать tcp протокол?
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "Bind9 не резолвит некоторые имена"	+/–
	Сообщение от исчо_адын_аноним on 21-Июн-13, 18:20
	>> Однако пинг на них идет....и на 53 порт телнетом тоже пускает... > а с каких это пор днс стал использовать tcp протокол? да лет 10 уже как с внедрением подписи зон. Собственно вот из-за таких как ты все нормальные люди маются с отравлениями кешей и подделкой днс
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	15. "Bind9 не резолвит некоторые имена"	+/–
	Сообщение от ALex_hha (ok) on 22-Июн-13, 11:55
	>>> Однако пинг на них идет....и на 53 порт телнетом тоже пускает... >> а с каких это пор днс стал использовать tcp протокол? > да лет 10 уже как > с внедрением подписи зон. > Собственно вот из-за таких как ты все нормальные люди маются с отравлениями > кешей и подделкой днс а при чем тут подпись зон к разрешению имен? Ты б еще за трансфер зон вспомнил, клоун :D
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	14. "Bind9 не резолвит некоторые имена"	+/–
	Сообщение от Аноним (??) on 21-Июн-13, 21:34
	>> Однако пинг на них идет....и на 53 порт телнетом тоже пускает... > а с каких это пор днс стал использовать tcp протокол? Чёж ты так палишься то?! :-)
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	16. "Bind9 не резолвит некоторые имена"	+/–
	Сообщение от vmf (ok) on 24-Июн-13, 13:42
	> Чёж ты так палишься то?! :-) Мужики, не ругайтесь. Давайте по существу :)
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	17. "Bind9 не резолвит некоторые имена"	+/–
	Сообщение от ALex_hha (ok) on 24-Июн-13, 14:15
	>> Чёж ты так палишься то?! :-) > Мужики, не ругайтесь. Давайте по существу :) а если по существу, то для начала определись, что ты проверяешь через telnet и что у тебя не работает ;)
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	18. "Bind9 не резолвит некоторые имена"	+/–
	Сообщение от Дядя_Федор on 24-Июн-13, 14:56
	Файрволл на ДНС-сервере погасите, если он запущен. И попробуйте без него проверить. tcpdump-ом послушайте интерефейс ДНС-сервера в тот момент, когда резолвинг не идет. Ну а проверять UDP телнетом как-то не очень разумно. ;) Вот, что Вам пытался донести товарисч.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	19. "Bind9 не резолвит некоторые имена"	+/–
	Сообщение от lavr on 24-Июн-13, 16:29
	> Файрволл на ДНС-сервере погасите, если он запущен. И попробуйте без него проверить. > tcpdump-ом послушайте интерефейс ДНС-сервера в тот момент, когда резолвинг не идет. > Ну а проверять UDP телнетом как-то не очень разумно. ;) Вот, > что Вам пытался донести товарисч. + разобрать настройки named.conf и наличие форварда, попробовать с ним и без + разобрать resolv и nsswitch.conf + разобрать firewall и nat если есть и если named внутри DMZ с технологическим адресом + разобрать лог от debug'а, как отрабатывают запросы и куда идут + увеличить timeout от резолвера вобщем +++ разобрать и все.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	20. "Bind9 не резолвит некоторые имена"	+/–
	Сообщение от lacostewin (ok) on 05-Май-14, 13:39
	Ребята, привет. Need help. Установил bind9 на виртуалку ubuntu. Не резолвятся имена. C ip адресами проблем нет. Конфига bind не сложная, могу отписаться. mtr <ip> выглядит так: 1. gw.charka.com 2. 10.10.10.9     3. 10.10.10.5   4. 217.150.111.2   5. win.charka.com   А mtr hostname так: root@DARWIN:/etc/bind# mtr win.charka.com Failed to resolve host: Name or service not known Спасибо за помощь заранее!
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема