URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 65918
[ Назад ]

Исходное сообщение
"Помогите разобраться с натройкой DNS"
Отправлено dimasvas , 26-Апр-06 12:09

Имеею на сервере описание главного сервера (ns1.hostsystems.ru) вот такое
----------------------------------------------------
;NS Servers
        NS      ns1.hostsystems.ru.
        NS      ns2.hostsystems.ru.
        NS      ns3.hostsystems.ru.
;Adresses
localhost               A       127.0.0.1
ns1                     A       84.17.2.110
ns2                     A       195.131.110.176
ns3                     A       84.17.2.111
mail                    A       84.17.2.103
@                       A       84.17.2.110
;Aliases
www             CNAME           @
ftp             CNAME           @
------------------------------------------------------

hostsystems# dig ns1.hostsystems.ru @ns1.hostsystems.ru
; <<>> DiG 9.3.1 <<>> ns1.hostsystems.ru @ns1.hostsystems.ru
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3259
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 2
;; QUESTION SECTION:
;ns1.hostsystems.ru.            IN      A
;; ANSWER SECTION:
ns1.hostsystems.ru.     3600    IN      A       84.17.2.110
;; AUTHORITY SECTION:
hostsystems.ru.         3600    IN      NS      ns1.hostsystems.ru.
hostsystems.ru.         3600    IN      NS      ns2.hostsystems.ru.
hostsystems.ru.         3600    IN      NS      ns3.hostsystems.ru.
;; ADDITIONAL SECTION:
ns2.hostsystems.ru.     3600    IN      A       195.131.110.176
ns3.hostsystems.ru.     3600    IN      A       84.17.2.111
;; Query time: 0 msec
;; SERVER: 84.17.2.110#53(84.17.2.110)
;; WHEN: Wed Apr 26 12:03:31 2006
;; MSG SIZE  rcvd: 134
-------------------------------------------------------------------
На ns2.hostsystems.ru и ns3.hostsystems.ru
dns - сервер работает и настроен.
но dig'ом ничего получить невозможно.
Подскажите как их настроить корректно. Что-то я не пойму перепробовал кучу вариантов.

Содержание

Помогите разобраться с натройкой DNS,paul, 14:30 , 27-Апр-06
- Помогите разобраться с натройкой DNS,dimasvas, 15:46 , 27-Апр-06
  - Помогите разобраться с натройкой DNS,paul, 07:33 , 28-Апр-06
    - Помогите разобраться с натройкой DNS,dimasvas, 08:31 , 28-Апр-06
      - Помогите разобраться с натройкой DNS,paul, 09:58 , 28-Апр-06
        
        Помогите разобраться с натройкой DNS,dimasvas, 10:27 , 28-Апр-06
        
        Помогите разобраться с натройкой DNS,paul, 13:44 , 28-Апр-06
        
        Помогите разобраться с натройкой DNS,paul, 14:31 , 28-Апр-06
        
        Помогите разобраться с натройкой DNS,dimasvas, 12:42 , 04-Май-06

Сообщения в этом обсуждении

"Помогите разобраться с натройкой DNS"
Отправлено paul , 27-Апр-06 14:30

Проблема может быть в фаерволле, который отбрасывает udp пакеты с высокого порта на 53. Например, для запроса dig hostsystems.ru @ns2.hostsystems.ru с машины hostsystems.ru
может быть так:
17:37:55.554358 IP ns1.hostsystems.ru.63958 > ns2.hostsystems.ru.domain: 17427+ A? ns1.hostsystems.ru. (28)
17:37:55.651671 IP ns2.hostsystems.ru.domain > ns1.hostsystems.ru.63958: 17427*- 1/2/1 A ns1.hostsystems.ru.domain (116)
tcpdump - лучший друг админа

"Помогите разобраться с натройкой DNS"
Отправлено dimasvas , 27-Апр-06 15:46

>Проблема может быть в фаерволле, который отбрасывает udp пакеты с высокого порта
>на 53. Например, для запроса dig hostsystems.ru @ns2.hostsystems.ru с машины hostsystems.ru
>
>может быть так:
>17:37:55.554358 IP ns1.hostsystems.ru.63958 > ns2.hostsystems.ru.domain:  17427+ A? ns1.hostsystems.ru. (28)
>17:37:55.651671 IP ns2.hostsystems.ru.domain > ns1.hostsystems.ru.63958:  17427*- 1/2/1 A ns1.hostsystems.ru.domain (116)
>
>tcpdump - лучший друг админа
Мне вот регистратор написал следуещее:
При тестировании ДНС-сервера через наш сайт проверяется, может ли он отдать
A-запись для себя самого:
> dig NS2.HOSTSYSTEMS.RU @NS2.HOSTSYSTEMS.RU a
; <<>> DiG 9.3.0 <<>> NS2.HOSTSYSTEMS.RU @NS2.HOSTSYSTEMS.RU a
;; global options:  printcmd
;; connection timed out; no servers could be reached
фаервол я открыл. Результат тот же. Может кто подскажет что должно быть на sec. сервере зоны.
Я в панике уже ничего не понимаю.

"Помогите разобраться с натройкой DNS"
Отправлено paul , 28-Апр-06 07:33

>>Проблема может быть в фаерволле, который отбрасывает udp пакеты с высокого порта
>>на 53. Например, для запроса dig hostsystems.ru @ns2.hostsystems.ru с машины hostsystems.ru
>>
>>может быть так:
>>17:37:55.554358 IP ns1.hostsystems.ru.63958 > ns2.hostsystems.ru.domain:  17427+ A? ns1.hostsystems.ru. (28)
>>17:37:55.651671 IP ns2.hostsystems.ru.domain > ns1.hostsystems.ru.63958:  17427*- 1/2/1 A ns1.hostsystems.ru.domain (116)
>>
>>tcpdump - лучший друг админа
>Мне вот регистратор написал следуещее:
>
>При тестировании ДНС-сервера через наш сайт проверяется, может ли он отдать
>A-запись для себя самого:
>> dig NS2.HOSTSYSTEMS.RU @NS2.HOSTSYSTEMS.RU a
>
>; <<>> DiG 9.3.0 <<>> NS2.HOSTSYSTEMS.RU @NS2.HOSTSYSTEMS.RU a
>;; global options:  printcmd
>;; connection timed out; no servers could be reached
>
>фаервол я открыл. Результат тот же. Может кто подскажет что должно быть
>на sec. сервере зоны.
>Я в панике уже ничего не понимаю.
Покажите named.conf на серверах ns1.hostsystems.ru и ns2.hostsystems.ru
для главного сервера (ns1)
...
acl ns2-ns3 { 195.131.110.176; 84.17.2.111; };
...
// hostsystems.ru master zone
zone "hostsystems.ru" {
        type master;
        file "master/hostsystems.ru.db";
        allow-transfer { ns2-ns3; };
        notify yes;
        zone-statistics yes;
};
для подчиненного (ns2) должно быть что-то вроде
// hostsystems.ru slave zone
zone "hostsystems.ru" {
        type slave;
        file "slave/hostsystems.ru.db";
        masters { 84.17.2.110; };
        zone-statistics yes;
};
В фаерволле для этих серверов надо еще открыть tcp/53 чтобы они могли передавать/забирать зоны. И еще - при передаче зоны с главного на подчиненный в логах должна появляться об этом запись.

"Помогите разобраться с натройкой DNS"
Отправлено dimasvas , 28-Апр-06 08:31

>Покажите named.conf на серверах ns1.hostsystems.ru и ns2.hostsystems.ru
>
>для главного сервера (ns1)
>...
>acl ns2-ns3 { 195.131.110.176; 84.17.2.111; };
>...
>
>// hostsystems.ru master zone
>zone "hostsystems.ru" {
>        type master;
>        file "master/hostsystems.ru.db";
>        allow-transfer { ns2-ns3; };
>
>        notify yes;
>        zone-statistics yes;
>};
>
>для подчиненного (ns2) должно быть что-то вроде
>// hostsystems.ru slave zone
>zone "hostsystems.ru" {
>        type slave;
>        file "slave/hostsystems.ru.db";
>        masters { 84.17.2.110; };
>
>        zone-statistics yes;
>};
>
>В фаерволле для этих серверов надо еще открыть tcp/53 чтобы они могли
>передавать/забирать зоны. И еще - при передаче зоны с главного на
>подчиненный в логах должна появляться об этом запись.
Всё так и есть как вы написали и подчиненный сервер зону и все изменения забирает без проблем. Проблема в том что он не может с помощью команды dig отдать А запись самого себя.
dig ns2.hostsystems.ru @ns2.hostsystems.ru a
; <<>> DiG 9.3.1 <<>> ns2.hostsystems.ru @ns2.hostsystems.ru a
; (1 server found)
;; global options:  printcmd
;; connection timed out; no servers could be reached
И вот здесь я не пойму что надо сделать.

"Помогите разобраться с натройкой DNS"
Отправлено paul , 28-Апр-06 09:58

>>Покажите named.conf на серверах ns1.hostsystems.ru и ns2.hostsystems.ru
>>
>>для главного сервера (ns1)
>>...
>>acl ns2-ns3 { 195.131.110.176; 84.17.2.111; };
>>...
>>
>>// hostsystems.ru master zone
>>zone "hostsystems.ru" {
>>        type master;
>>        file "master/hostsystems.ru.db";
>>        allow-transfer { ns2-ns3; };
>>
>>        notify yes;
>>        zone-statistics yes;
>>};
>>
>>для подчиненного (ns2) должно быть что-то вроде
>>// hostsystems.ru slave zone
>>zone "hostsystems.ru" {
>>        type slave;
>>        file "slave/hostsystems.ru.db";
>>        masters { 84.17.2.110; };
>>
>>        zone-statistics yes;
>>};
>>
>>В фаерволле для этих серверов надо еще открыть tcp/53 чтобы они могли
>>передавать/забирать зоны. И еще - при передаче зоны с главного на
>>подчиненный в логах должна появляться об этом запись.
>
>Всё так и есть как вы написали и подчиненный сервер зону и
>все изменения забирает без проблем. Проблема в том что он не
>может с помощью команды dig отдать А запись самого себя.
>
>dig ns2.hostsystems.ru @ns2.hostsystems.ru a
>
>; <<>> DiG 9.3.1 <<>> ns2.hostsystems.ru @ns2.hostsystems.ru a
>; (1 server found)
>;; global options:  printcmd
>;; connection timed out; no servers could be reached
>
>И вот здесь я не пойму что надо сделать.
named.conf на ns2 можно посмотреть?
фаерволл на ns2 пропускает udp запросы с высоких портов на 53?

"Помогите разобраться с натройкой DNS"
Отправлено dimasvas , 28-Апр-06 10:27

>named.conf на ns2 можно посмотреть?
>фаерволл на ns2 пропускает udp запросы с высоких портов на 53?
Вотб,пожалуйста. Фаерволл сейчас вообще открыл.
options {
        directory       "/etc/namedb";
        pid-file        "/var/run/named/pid";
        dump-file       "/var/dump/named_dump.db";
        statistics-file "/var/stats/named.stats";
zone "hostsystems.ru" {
        type slave;
        file "slave/hostsystems.ru";
        masters {
                84.17.2.110;
        };
};

"Помогите разобраться с натройкой DNS"
Отправлено paul , 28-Апр-06 13:44

>>named.conf на ns2 можно посмотреть?
>>фаерволл на ns2 пропускает udp запросы с высоких портов на 53?
>
>Вотб,пожалуйста. Фаерволл сейчас вообще открыл.
>
>options {
>        directory
>   "/etc/namedb";
>        pid-file
>    "/var/run/named/pid";
>        dump-file
>   "/var/dump/named_dump.db";
>        statistics-file "/var/stats/named.stats";
>
>zone "hostsystems.ru" {
>        type slave;
>        file "slave/hostsystems.ru";
>        masters {
>
>    84.17.2.110;
>        };
>};
я бы еще добавил для ns2
  allow-query { any; };
  listen-on { 195.131.110.176; };
  query-source address * port 53;
если не поможет, то скорее всего кто-то режет udp пакеты по дороге:
# dig @195.131.110.176 hostsystems.ru any
# tcpdump -i fxp0 host 195.131.110.176
16:20:35.618648 IP example.org.62942 > ip110-176.adsl.wplus.ru.domain:  28835+[|domain]
16:20:35.709401 IP ip110-176.adsl.wplus.ru > example.org: icmp 36: ip110-176.adsl.wplus.ru udp port domain unreachable
надо разбираться с фаерволлом на ns2 или какой-нибудь киской по дороге к нему (например, у провайдера)
ns1 осуществляет рекурсивный поиск для всех кому не лень - дело вкуса, конечно, но у меня такой сервис работает только для локалки

"Помогите разобраться с натройкой DNS"
Отправлено paul , 28-Апр-06 14:31

да и скобка с точко-запятой после options не помешает ;-)
>options {
>        directory
>   "/etc/namedb";
>        pid-file
>    "/var/run/named/pid";
>        dump-file
>   "/var/dump/named_dump.db";
>        statistics-file "/var/stats/named.stats";
};
^^^
>
>zone "hostsystems.ru" {
>        type slave;
>        file "slave/hostsystems.ru";
>        masters {
>
>    84.17.2.110;
>        };
// };
^^^^^^ - а здесь не надо.

"Помогите разобраться с натройкой DNS"
Отправлено dimasvas , 04-Май-06 12:42

>да и скобка с точко-запятой после options не помешает ;-)
>
>>options {
>>        directory
>>   "/etc/namedb";
>>        pid-file
>>    "/var/run/named/pid";
>>        dump-file
>>   "/var/dump/named_dump.db";
>>        statistics-file "/var/stats/named.stats";
>};
>^^^
>
>>
>>zone "hostsystems.ru" {
>>        type slave;
>>        file "slave/hostsystems.ru";
>>        masters {
>>
>>    84.17.2.110;
>>        };
>// };
>^^^^^^ - а здесь не надо.
Спасибо всем за ответы - разобрался.
Были проблемы с фаерволлом у прова.