The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"DNS,передача зон во внешнюю сеть."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (DNS / Другая система)
Изначальное сообщение [ Отслеживать ]

"DNS,передача зон во внешнюю сеть."  +/
Сообщение от mpnj (ok) on 23-Янв-14, 09:37 
Есть сервер DNS(bind9). Точнее два сервера в локальной сети. Один сконфигурирован,как master, второй,как slave.

Так вот в нашей сети slave нормально забирает зоны у master.
Пробуем передавать зоны провайдеру(т.е. на внешний ip), зона не передаётся.

В логах у провайдера такие записи:

xfer-in.log:15-Jan-2014 11:01:00.499 xfer-in: transfer of 'xxx.xxx.xxx.IN-ADDR.ARPA/IN' from xxx.xxx.xxx.xxx#53: connected using

xxx.xxx.xxx.xxx#52802 xfer-in.log:15-Jan-2014 11:01:00.499 xfer-in: transfer of 'xxx.xxx.xxx.IN-ADDR.ARPA/IN' from xxx.xxx.xxx.xxx#53: failed while receiving responses: connection reset

xfer-in.log:15-Jan-2014 11:01:00.499 xfer-in: transfer of  'xxx.xxx.xxx.IN-ADDR.ARPA/IN' from xxx.xxx.xxx.9#53: Transfer completed: 0 messages, 0 records, 0 bytes, 90.292 secs (0 bytes/sec)


Грешили на NAT,но не ясно,что там ещё настраивать,так как статика для master прописана и порт 53/TCP проброшен и открыт(проверили).

Вот наш конфиг:
zone "xxx.xxx.xxx.in-addr.arpa" {
        type master;
        file "путь_до_файла_зоны";
        allow-transfer {ip_провайдера;};
};


Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "DNS,передача зон во внешнюю сеть."  +/
Сообщение от BarS (??) on 23-Янв-14, 10:00 
Если днат и снат одновременно настроено, то IP не тот получается. В логах твоего сервера что пишется?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "DNS,передача зон во внешнюю сеть."  +/
Сообщение от BarS (??) on 23-Янв-14, 10:01 
> Если днат и снат одновременно настроено, то IP не тот получается. В
> логах твоего сервера что пишется?

+ В глобальной секции что по поводу allow-tarnser notify и т.д.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "DNS,передача зон во внешнюю сеть."  +/
Сообщение от mpnj (ok) on 23-Янв-14, 14:12 
>> Если днат и снат одновременно настроено, то IP не тот получается. В
>> логах твоего сервера что пишется?

dnat не используется. внешний адрес один.

> + В глобальной секции что по поводу allow-tarnser notify и т.д.

в allow-transfer адрес провайдера стоит, а notify...не думаю,что поможет. Это же типа извещение slave об изменении. А нам оно без разницы, мы ведь принудительно может передать зоны.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "DNS,передача зон во внешнюю сеть."  +/
Сообщение от mpnj (ok) on 23-Янв-14, 14:16 
>>> Если днат и снат одновременно настроено, то IP не тот получается. В
>>> логах твоего сервера что пишется?
> dnat не используется. внешний адрес один.
>> + В глобальной секции что по поводу allow-tarnser notify и т.д.
> в allow-transfer адрес провайдера стоит, а notify...не думаю,что поможет. Это же типа
> извещение slave об изменении. А нам оно без разницы, мы ведь
> принудительно может передать зоны.

в наших логах такие записи:

23-Jan-2014 17:08:16.751 client: debug 3: client xxx.xxx.xxx.xxx#63093: UDP request
23-Jan-2014 17:08:16.751 security: debug 3: client  xxx.xxx.xxx.xxx#63093: view external: request is not signed
23-Jan-2014 17:08:16.751 security: debug 3: client  xxx.xxx.xxx.xxx#63093: view external: recursion not available
23-Jan-2014 17:08:16.751 client: debug 3: client  xxx.xxx.xxx.xxx#63093: view external: query
23-Jan-2014 17:08:16.751 security: debug 3: client  xxx.xxx.xxx.xxx#63093: view external: query 'xxx.xxx.xxx.IN-ADDR.ARPA/SOA/IN' approved
23-Jan-2014 17:08:16.751 client: debug 3: client  xxx.xxx.xxx.xxx#63093: view external: send
23-Jan-2014 17:08:16.751 client: debug 3: client  xxx.xxx.xxx.xxx#63093: view external: sendto
23-Jan-2014 17:08:16.751 client: debug 3: client  xxx.xxx.xxx.xxx#63093: view external: senddone
23-Jan-2014 17:08:16.751 client: debug 3: client  xxx.xxx.xxx.xxx#63093: view external: next
23-Jan-2014 17:08:16.751 client: debug 3: client  xxx.xxx.xxx.xxx#63093: view external: endrequest
23-Jan-2014 17:08:17.007 client: debug 3: client  xxx.xxx.xxx.xxx#55303: new TCP connection
23-Jan-2014 17:08:17.007 client: debug 3: client  xxx.xxx.xxx.xxx#55303: replace
23-Jan-2014 17:08:17.007 client: debug 3: client  xxx.xxx.xxx.xxx#55303: read
23-Jan-2014 17:08:47.015 client: debug 3: client  xxx.xxx.xxx.xxx#55303: timeout
23-Jan-2014 17:08:47.015 client: debug 3: client  xxx.xxx.xxx.xxx#55303: closetcp
23-Jan-2014 17:09:47.121 client: debug 3: client  xxx.xxx.xxx.xxx#44139: UDP request
23-Jan-2014 17:09:47.121 security: debug 3: client  xxx.xxx.xxx.xxx#44139: view external: request is not signed
23-Jan-2014 17:09:47.121 security: debug 3: client  xxx.xxx.xxx.xxx#44139: view external: recursion not available
23-Jan-2014 17:09:47.121 client: debug 3: client  xxx.xxx.xxx.xxx#44139: view external: query
23-Jan-2014 17:09:47.121 security: debug 3: client  xxx.xxx.xxx.xxx#44139: view external: query 'xxx.xxx.xxx.IN-ADDR.ARPA/SOA/IN' approved
23-Jan-2014 17:09:47.121 client: debug 3: client  xxx.xxx.xxx.xxx#44139: view external: send
23-Jan-2014 17:09:47.121 client: debug 3: client  xxx.xxx.xxx.xxx#44139: view external: sendto
23-Jan-2014 17:09:47.121 client: debug 3: client  xxx.xxx.xxx.xxx#44139: view external: senddone
23-Jan-2014 17:09:47.121 client: debug 3: client  xxx.xxx.xxx.xxx#44139: view external: next
23-Jan-2014 17:09:47.121 client: debug 3: client  xxx.xxx.xxx.xxx#44139: view external: endrequest
23-Jan-2014 17:09:47.378 client: debug 3: client  xxx.xxx.xxx.xxx#46259: new TCP connection
23-Jan-2014 17:09:47.378 client: debug 3: client  xxx.xxx.xxx.xxx#46259: replace
23-Jan-2014 17:09:47.378 client: debug 3: client  xxx.xxx.xxx.xxx#46259: read
23-Jan-2014 17:10:17.386 client: debug 3: client  xxx.xxx.xxx.xxx#46259: timeout
23-Jan-2014 17:10:17.386 client: debug 3: client  xxx.xxx.xxx.xxx#46259: closetcp

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "DNS,передача зон во внешнюю сеть."  +/
Сообщение от mpnj (ok) on 23-Янв-14, 14:43 
>[оверквотинг удален]
>> Вот наш конфиг:
>> zone "xxx.xxx.xxx.in-addr.arpa" {
>>         type master;
>>         file "путь_до_файла_зоны";
>>         allow-transfer {ip_провайдера;};
>> };
> фильтровать id-addr ... нуну ... тоже очень секурно )))
> откройте снаружи 53 udp tcp, снимите фильтр с трансфера
> укажите реальные ip и имена - народ потестит и отпишется если уж
> сами не в состоянии глянуть свой шлюз ...

я принимаю гипотезу о своей криворукости и т.д. попробовал перекинуть свой slave в другую подсеть и всё забирается опять.

Очень грешу на NAT.

Может кто-нибудь подскажет,что прописать на Cisco. Может порт 53 не открыт у меня нормально?
есть запись на cisco в access-list :
permit tcp any any eq domain
permit udp any any eq domain

и ещё есть записи:

ip nat inside source static tcp внутренний_ip 53 внешний_ip 53 extendable
ip nat inside source static udp внутренний_ip 53 внешний_ip 53 extendable
ip nat inside source static внутренний_ip внешний_ip


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "DNS,передача зон во внешнюю сеть."  +/
Сообщение от BarS (??) on 24-Янв-14, 14:09 
> ip nat inside source static tcp внутренний_ip 53 внешний_ip 53 extendable
> ip nat inside source static udp внутренний_ip 53 внешний_ip 53 extendable
> ip nat inside source static внутренний_ip внешний_ip

Не могу утверждать точно, но мне кажется не гарантированно, что у прова будет 53 порт....

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "DNS,передача зон во внешнюю сеть."  +/
Сообщение от mpnj (ok) on 29-Янв-14, 08:49 
>> ip nat inside source static tcp внутренний_ip 53 внешний_ip 53 extendable
>> ip nat inside source static udp внутренний_ip 53 внешний_ip 53 extendable
>> ip nat inside source static внутренний_ip внешний_ip
> Не могу утверждать точно, но мне кажется не гарантированно, что у прова
> будет 53 порт....

Тогда пока буду дальше копать в сторону access-list.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

3. "DNS,передача зон во внешнюю сеть."  +/
Сообщение от pavel_simple (ok) on 23-Янв-14, 10:03 
>[оверквотинг удален]
> from xxx.xxx.xxx.9#53: Transfer completed: 0 messages, 0 records, 0 bytes, 90.292
> secs (0 bytes/sec)
> Грешили на NAT,но не ясно,что там ещё настраивать,так как статика для master
> прописана и порт 53/TCP проброшен и открыт(проверили).
> Вот наш конфиг:
> zone "xxx.xxx.xxx.in-addr.arpa" {
>         type master;
>         file "путь_до_файла_зоны";
>         allow-transfer {ip_провайдера;};
> };

чтобы не мучать прова
1. открываем для подконтрольного нам хоста трансвер
2. добиваемся чтобы  dig @ip.ip.ip.ip ns.ns axfr работал
3. делаем рабочуй конфу для прова.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "DNS,передача зон во внешнюю сеть."  +/
Сообщение от Pahanivo (ok) on 23-Янв-14, 10:09 
> Есть сервер DNS(bind9). Точнее два сервера в локальной сети. Один сконфигурирован,как master,
> второй,как slave.
> Так вот в нашей сети slave нормально забирает зоны у master.
> Пробуем передавать зоны провайдеру(т.е. на внешний ip), зона не передаётся.

фильтры (как на фареволе так и на стыки лан-ван) - инафа 146%
> В логах у провайдера такие записи:
> xfer-in.log:15-Jan-2014 11:01:00.499 xfer-in: transfer of 'xxx.xxx.xxx.IN-ADDR.ARPA/IN'
> from xxx.xxx.xxx.xxx#53: connected using

xxx.xxx.xxx.xxx - аххрененный секрет, особенно когда речь о ДНС ...

> xxx.xxx.xxx.xxx#52802 xfer-in.log:15-Jan-2014 11:01:00.499 xfer-in: transfer of 'xxx.xxx.xxx.IN-ADDR.ARPA/IN'
> from xxx.xxx.xxx.xxx#53: failed while receiving responses: connection reset

перевести?

> xfer-in.log:15-Jan-2014 11:01:00.499 xfer-in: transfer of  'xxx.xxx.xxx.IN-ADDR.ARPA/IN'
> from xxx.xxx.xxx.9#53: Transfer completed: 0 messages, 0 records, 0 bytes, 90.292
> secs (0 bytes/sec)
> Грешили на NAT, но не ясно,что там ещё настраивать,так как статика для master
> прописана и порт 53/TCP проброшен и открыт(проверили).

грешите на руки и голову - если не можете полноценно настроить элементарный проброс или хотя бы проанализировать логи фаревола и посмотреть на tcpdump


> Вот наш конфиг:
> zone "xxx.xxx.xxx.in-addr.arpa" {
>         type master;
>         file "путь_до_файла_зоны";
>         allow-transfer {ip_провайдера;};
> };

фильтровать id-addr ... нуну ... тоже очень секурно )))

откройте снаружи 53 udp tcp, снимите фильтр с трансфера
укажите реальные ip и имена - народ потестит и отпишется если уж сами не в состоянии глянуть свой шлюз ...


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "DNS,передача зон во внешнюю сеть."  +/
Сообщение от ipmanyak (ok) on 23-Янв-14, 15:09 
Для передачи зон порт 53 недостаточно, нужно открыть на фаере еще порт 53 TCP для  хоста прова.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "DNS,передача зон во внешнюю сеть."  +/
Сообщение от mpnj (ok) on 24-Янв-14, 06:20 
> Для передачи зон порт 53 недостаточно, нужно открыть на фаере еще порт
> 53 TCP для  хоста прова.

А вот эта запись разве не открывает порт для всех?

permit tcp any any eq 53

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "DNS,передача зон во внешнюю сеть."  +/
Сообщение от mpnj (ok) on 24-Янв-14, 11:45 
>> Для передачи зон порт 53 недостаточно, нужно открыть на фаере еще порт
>> 53 TCP для  хоста прова.
> А вот эта запись разве не открывает порт для всех?
> permit tcp any any eq 53

дописал ещё такую строку в конфиг cisco:

permit tcp моя_подсеть обратная_маска host айпишник_провайдера eq domain

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру