URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 79591
[ Назад ]
Исходное сообщение
"обратная зона DNS"
Отправлено Allexx , 02-Апр-08 12:35 
Помогите плз. с построением обратной зоны.
Ситуация следующая:
1.Купил себе домен. Прямую зону домена разместил на ns серверах фирмы,торгующей доменами.
2.Есть сервер который одним интерфейсом смотрит в мир, вторым в локалку.
На сервере работает BIND v.9.3.2.
Проблема заключается в том, что сервер не отдает свою обратную зону никому(включая и slave  
ns.).В логах slave сервера нашел следующее:
zone xxx.xxx.xxx.in-addr.arpa/IN: Transfer started.
named[2482]: transfer of 'xxx.xxx.xxx.in-addr.arpa/IN' from xxx.xxx.xxx.xxx#53: connected using xxx.xxx.xxx.xxx#38479
named[2482]: transfer of 'xxx.xxx.xxx.in-addr.arpa/IN' from xxx.xxx.xxx.xxx#53: failed while receiving responses: REFUSED
named[2482]: transfer of 'xxx.xxx.xxx.in-addr.arpa/IN' from xxx.xxx.xxx.xxx#53: end of transfer
Конфиг named следующий:
options {
    directory "/var/named";
    allow-recursion {any;};//for test only        
    allow-query {any;};//for test only        
    allow-transfer {any;};//for test only    
};
logging {
        channel debug_syslog {
                syslog        local1;
                severity     dynamic;
                print-category    yes;
        };
    category default {debug_syslog;};    
};
zone "." IN {
    type hint;
    file "named.ca";
};
zone "localdomain" IN {
    type master;
    file "localdomain.zone";
    allow-update { none; };
};
zone "localhost" IN {
    type master;
    file "localhost.zone";
    allow-update { none; };
};
zone "0.0.127.in-addr.arpa" IN {
    type master;
    file "named.local";
    allow-update { none; };
};

zone "xxx.xxx.xxx.in-addr.arpa" IN {
    type master;
    file "xxx.xxx.xxx.zone";
    allow-transfer {any;};
};
Где могут быть грабли?

Содержание
Сообщения в этом обсуждении
"обратная зона DNS"
Отправлено Golub Mikhail , 02-Апр-08 14:12 
>[оверквотинг удален]
> allow-update { none; };
>};
>
>zone "xxx.xxx.xxx.in-addr.arpa" IN {
> type master;
> file "xxx.xxx.xxx.zone";
> allow-transfer {any;};
>};
>Где могут быть грабли?
>

А зона вообще загружается нормально?
На самом сервере, где зона, работает dig ... axfr

"обратная зона DNS"
Отправлено Allexx , 02-Апр-08 15:02 
>[оверквотинг удален]
>>zone "xxx.xxx.xxx.in-addr.arpa" IN {
>> type master;
>> file "xxx.xxx.xxx.zone";
>> allow-transfer {any;};
>>};
>>Где могут быть грабли?
>>
>
>А зона вообще загружается нормально?
>На самом сервере, где зона, работает dig ... axfr

На мастер сервере отдает все по чесному,а на slave выдает ошибку выше описаную.При обращении с другтх машин не с этой AS в логе мастера пишется следующее:

xfer-out: client xxx.xxx.xxx.xxx#49671:bad zone transfer request: 'xxx.xxx.xxx.in-addr.arpa/IN': non-authoritative zone (NOTAUTH)

P.S. Файрвола нет.

"обратная зона DNS"
Отправлено Allexx , 02-Апр-08 15:29 
>[оверквотинг удален]
>>А зона вообще загружается нормально?
>>На самом сервере, где зона, работает dig ... axfr
>
>На мастер сервере отдает все по чесному,а на slave выдает ошибку выше
>описаную.При обращении с другтх машин не с этой AS в логе
>мастера пишется следующее:
>
>xfer-out: client xxx.xxx.xxx.xxx#49671:bad zone transfer request: 'xxx.xxx.xxx.in-addr.arpa/IN': non-authoritative zone (NOTAUTH)
>
>P.S. Файрвола нет.

При задании команды  dig @xxx.xxx.xxx.xxx xxx.xxx.xxx.in-addr.arpa axfr на мастер сервере пишет в лог это:
security: client xxx.xxx.xxx.xxx#40629 zone transfer 'xxx.xxx.xxx.in-addr.arpa/AXFR/IN' denied

"обратная зона DNS"
Отправлено mario , 02-Апр-08 16:30 

а зачем вы вообще обратную зону у себя публикуете ?  вам делегировали ваш ай пи (подсеть или  кусок сети ) который вам предоставила фирма которая торгует доменами (кажись так вы назвали).
позвоните фирме которая прямой зоной рулит и с ними разговаривайте.
да и скажите для чего вы обратную зону прописываете в каких целях будете использовать доменное имя ?

зы
>options {
> directory "/var/named";
> allow-recursion {any;};//for test only
> allow-query {any;};//for test only
> allow-transfer {any;};//for test only

далее эти параметры в описании зон не нужны если они имеют одно и то же значение
> allow-transfer {any;}; указываеться slave name - server и все остальным он не нужен

даже для испытаний (for test)

"обратная зона DNS"
Отправлено Allexx , 03-Апр-08 12:11 
Доброго времени суток. Спасибо всем за ответы.
Помогите разобраться. Не могу понять где ошибка.Проблема в том,что основной сервер не
анонсирует информацию не проо прямую,не про обратную зоны.Если у клиента в resolv.conf прописать мой nameserver,то все работает,а другие ns сервера зоны не видят.options {
    directory "/var/named";
    allow-query {any;};
        notify yes;
        recursion no;
};
logging {
        channel debug_syslog {
                syslog        local1;
                severity     dynamic;
                print-category    yes;
        };
    category default {debug_syslog;};    
};
zone "." IN {
    type hint;
    file "named.ca";
};

zone "localdomain" IN {
    type master;
    file "localdomain.zone";
    allow-update { none; };
};

zone "localhost" IN {
    type master;
    file "localhost.zone";
    allow-update { none; };
};

zone "0.0.127.in-addr.arpa" IN {
    type master;
    file "named.local";
    allow-update { none; };
};

zone "xxxxx.xxx" IN {
    type master;
    file "xxxxx.zone";
    allow-update {none;};
    allow-transfer {xxx.xxx.xxx.xxx;};
};

zone "xxx.xxx.xxx.in-addr.arpa" IN {
    type master;
    file "xxx.xxx.xxx.zone";
    allow-transfer {xxx.xxx.xxx.xxx;};
        allow-update {none;};
};
Где могут быть грабли?  


"обратная зона DNS"
Отправлено 1ight_apprentice , 03-Апр-08 12:55 
>Доброго времени суток. Спасибо всем за ответы.
>Помогите разобраться. Не могу понять где ошибка.Проблема в том,что основной сервер не
>
>анонсирует информацию не проо прямую,не про обратную зоны.Если у клиента в resolv.conf
>прописать мой nameserver,то все работает,а другие ns сервера зоны не видят.>Где могут быть грабли?

Вам же уже написали - Ваш сервер нигде, ни на каком сервере не прописан. Поэтому его никто кроме Вас видеть и не будет. А чтобы прописать на него ссылки Вам надо обратиться к провайдеру, который "продал" Вам домен, чтобы он передал администрирование зоны Вам. Но при этом ни один провайдер скорее всего не отдаст Вам администрирование обратной зоны - слишком много мороки для штучных адресов. Поэтому проще договориться с провайдером о прописывании правильных (с Вашей точки зрения) обратных адресов на серверах самого провайдера.

При передаче делегирования домена к Вам от Вас потребуется предоставить ДВА разных сервера DNS, с доступностью не менее 20 часов в сутки и находящихся в РАЗНЫХ ФИЗИЧЕСКИХ сетях. Без этого домен не делегируется. Таковы общие для ВСЕХ требования к делегированию доменов.

"обратная зона DNS"
Отправлено Allexx , 03-Апр-08 13:23 
У меня своя АS на 512 адресов. При переводе на обслуживание на мой ДНС сервер вылазит выше описаная проблема.


"обратная зона DNS"
Отправлено 1ight_apprentice , 03-Апр-08 14:31 
>У меня своя АS на 512 адресов. При переводе на обслуживание на
>мой ДНС сервер вылазит выше описаная проблема.

Вы немного путаетесь в терминологии.

AS не бывает меньше, чем 2048 адресов. Ну просто не выдают такие. Значит у Вас не собственная AS, а либо т.н. PI-блок, либо кусок AS вашего провайдера.

В первом случае Вам надо регистрировать делегирование своих в RIPE, во втором - правильно их делегировать у Вашего провайдера.

"обратная зона DNS"
Отправлено Allexx , 03-Апр-08 15:12 
Провайдер говорит,что надо настроить обратную зону на своем сервере,чтобы они могли ее увидеть(dig xxx.xxx.xxx.xxx xxx.xxx.xxx.in-addr.arpa ns). После этого они пообещали зарегистрировать ее в RIPE.
А обратная зона мне нужна для доступа к некоторым ресурсам,которые иначе не видны.
  


"обратная зона DNS"
Отправлено 1ight_apprentice , 03-Апр-08 15:29 
>Провайдер говорит,что надо настроить обратную зону на своем сервере,чтобы они могли ее
>увидеть(dig xxx.xxx.xxx.xxx xxx.xxx.xxx.in-addr.arpa ns). После этого они пообещали зарегистрировать ее в
>RIPE.
>А обратная зона мне нужна для доступа к некоторым ресурсам,которые иначе не
>видны.

Файл обратной зоны можете показать или секрет?

"обратная зона DNS"
Отправлено Allexx , 03-Апр-08 15:51 
>>Провайдер говорит,что надо настроить обратную зону на своем сервере,чтобы они могли ее
>>увидеть(dig xxx.xxx.xxx.xxx xxx.xxx.xxx.in-addr.arpa ns). После этого они пообещали зарегистрировать ее в
>>RIPE.
>>А обратная зона мне нужна для доступа к некоторым ресурсам,которые иначе не
>>видны.
>
>Файл обратной зоны можете показать или секрет?

Никакого секрета.Вот он:
$ORIGIN 236.2.195.in-addr.arpa.
$TTL    86400
@    IN SOA    lan4ever.net.ua. root.lan4ever.net.ua. (
                    2008032802    ; serial (d. adams)
                    3600        ; refresh
                    900        ; retry
                    3600000        ; expiry
                    3600 )        ; minimum
            IN    NS        ns.lan4ever.net.ua.
            IN    NS        ns.secondary.net.ua.    
;
10            IN     PTR        ns.lan4ever.net.ua.
2            IN     PTR        ukr.lan4ever.net.ua.
6            IN     PTR        wrl.lan4ever.net.ua.

"обратная зона DNS"
Отправлено mario , 03-Апр-08 16:31 
>[оверквотинг удален]
>     3600  ; refresh
>     900  ; retry
>     3600000  ; expiry
>     3600 )  ; minimum
>   IN NS  ns.lan4ever.net.ua.
>   IN NS  ns.secondary.net.ua.
>;
>10   IN  PTR  ns.lan4ever.net.ua.
>2   IN  PTR  ukr.lan4ever.net.ua.
>6   IN  PTR  wrl.lan4ever.net.ua.

на мастере сервере  
в named.conf
zone "mask/236.2.195.in-addr.arpa" in {
        type master;
        file "reverse/имя реверса";
mask ваша маска подсети !
в file "reverse/имя реверса"; пишем записи которые вам нужны в частности
>10   IN  PTR  ns.lan4ever.net.ua.
>2   IN  PTR  ukr.lan4ever.net.ua.
>6   IN  PTR  wrl.lan4ever.net.ua.

все остальное за провом ( ps у вас есть доступ к "автономке" так сказать вашей ? )
а вообще прова присуйте пусть помогает!

"обратная зона DNS"
Отправлено Allexx , 03-Апр-08 16:39 
Большое Вам спасибо.
Сейчас попробую.
"обратная зона DNS"
Отправлено 1ight_apprentice , 03-Апр-08 16:38 
>@ IN SOA lan4ever.net.ua. root.lan4ever.net.ua. (
>   IN NS  ns.lan4ever.net.ua.
>   IN NS  ns.secondary.net.ua.

В записи SOA ОБЯЗАН стоять один из серверов, указанных в записях NS для зоны. А иначе бот RIPE или Вашего провайдера, проверяющий зону, отлетает с ошибкой.

"обратная зона DNS"
Отправлено mario , 03-Апр-08 16:51 

>В записи SOA ОБЯЗАН стоять один из серверов, указанных в записях NS
>для зоны. А иначе бот RIPE или Вашего провайдера, проверяющий зону,
>отлетает с ошибкой.

да согласен с вами  (такой важный факт и проглядел)

"обратная зона DNS"
Отправлено Allexx , 03-Апр-08 16:57 
>
>>В записи SOA ОБЯЗАН стоять один из серверов, указанных в записях NS
>>для зоны. А иначе бот RIPE или Вашего провайдера, проверяющий зону,
>>отлетает с ошибкой.
>
>да согласен с вами  (такой важный факт и проглядел)

Все сделал как Вы советовали - не пошло.Проверяю dig 195.2.236.10 236.2.195.in-addr.arpa ns +shot И тишина

"обратная зона DNS"
Отправлено 1ight_apprentice , 03-Апр-08 17:08 
>Все сделал как Вы советовали - не пошло.Проверяю dig 195.2.236.10 236.2.195.in-addr.arpa ns
>+shot И тишина

Читайте man dig внимательнее. перед именем/адресом сервера DNS, к которому производится запрос должна стоять "собака".

"обратная зона DNS"
Отправлено Allexx , 03-Апр-08 17:21 
>>Все сделал как Вы советовали - не пошло.Проверяю dig 195.2.236.10 236.2.195.in-addr.arpa ns
>>+shot И тишина
>
>Читайте man dig внимательнее. перед именем/адресом сервера DNS, к которому производится запрос
>должна стоять "собака".

Спасибо. Попробовал - тот же эффект (connection timed out; no servers could be reached)


"обратная зона DNS"
Отправлено 1ight_apprentice , 03-Апр-08 17:36 
>>>Все сделал как Вы советовали - не пошло.Проверяю dig 195.2.236.10 236.2.195.in-addr.arpa ns
>>>+shot И тишина
>>
>>Читайте man dig внимательнее. перед именем/адресом сервера DNS, к которому производится запрос
>>должна стоять "собака".
>
>Спасибо. Попробовал - тот же эффект (connection timed out; no servers could
>be reached)

А что показывает "netstat -n -a". Присутствует ли что-то слушающее 53-й порт UDP (для resolv) и 53-й же порт TCP (для передачи зон)? Если нет или на другом адресе, значит у Вас не стартовал named. Тогда смотрите в логах какие он выдал ошибки.

"обратная зона DNS"
Отправлено mario , 03-Апр-08 17:57 
>[оверквотинг удален]
>>>Читайте man dig внимательнее. перед именем/адресом сервера DNS, к которому производится запрос
>>>должна стоять "собака".
>>
>>Спасибо. Попробовал - тот же эффект (connection timed out; no servers could
>>be reached)
>
>А что показывает "netstat -n -a". Присутствует ли что-то слушающее 53-й порт
>UDP (для resolv) и 53-й же порт TCP (для передачи зон)?
>Если нет или на другом адресе, значит у Вас не стартовал
>named. Тогда смотрите в логах какие он выдал ошибки.

при каждом изменении рестар named-а нужно делать

да и смотрите про запуск

"обратная зона DNS"
Отправлено mario , 03-Апр-08 18:06 
не узнаете ?


; <<>> DiG 9.3.1 <<>> @195.2.236.10 236.2.195.in-addr.arpa ns
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51190
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 2

;; QUESTION SECTION:
;236.2.195.in-addr.arpa.                IN      NS

;; ANSWER SECTION:
236.2.195.in-addr.arpa. 86400   IN      NS      ns.secondary.net.ua.
236.2.195.in-addr.arpa. 86400   IN      NS      ns.lan4ever.net.ua.

;; ADDITIONAL SECTION:
ns.lan4ever.net.ua.     86400   IN      A       195.2.236.10
ns.secondary.net.ua.    60686   IN      A       195.149.112.1

;; Query time: 136 msec
;; SERVER: 195.2.236.10#53(195.2.236.10)
;; WHEN: Thu Apr  3 18:05:03 2008
;; MSG SIZE  rcvd: 131


"обратная зона DNS"
Отправлено mario , 03-Апр-08 18:10 
>[оверквотинг удален]
>;; ADDITIONAL SECTION:
>ns.lan4ever.net.ua.     86400   IN    
>  A       195.2.236.10
>ns.secondary.net.ua.    60686   IN    
> A       195.149.112.1
>
>;; Query time: 136 msec
>;; SERVER: 195.2.236.10#53(195.2.236.10)
>;; WHEN: Thu Apr  3 18:05:03 2008
>;; MSG SIZE  rcvd: 131

вы serial поменяйте что бы вторичный зону всосал

"обратная зона DNS"
Отправлено Allexx , 03-Апр-08 18:11 
Вы в resolv.conf прописали nameserver 195.2.236.10?
"обратная зона DNS"
Отправлено mario , 03-Апр-08 18:16 
>Вы в resolv.conf прописали nameserver 195.2.236.10?

нет я в консоли
dig @195.2.236.10 236.2.195.in-addr.arpa ns

выполнил и все
и resolf.conf тут ни причем !

dig @(и тут мы указываем какой сервер спросить! ) домене таком-то запись такую то

вот так трактуется команда!!!

"обратная зона DNS"
Отправлено Allexx , 08-Апр-08 16:45 
Ура! Заработало! Всем спасибо за советы и участие.Вы очень помогли.  


"обратная зона DNS"
Отправлено Allexx , 03-Апр-08 18:09 
>[оверквотинг удален]
>>>Читайте man dig внимательнее. перед именем/адресом сервера DNS, к которому производится запрос
>>>должна стоять "собака".
>>
>>Спасибо. Попробовал - тот же эффект (connection timed out; no servers could
>>be reached)
>
>А что показывает "netstat -n -a". Присутствует ли что-то слушающее 53-й порт
>UDP (для resolv) и 53-й же порт TCP (для передачи зон)?
>Если нет или на другом адресе, значит у Вас не стартовал
>named. Тогда смотрите в логах какие он выдал ошибки.

netstat показывает открытые и tcp 53 port udp 53 port на внешнем интерфейсе

"обратная зона DNS"
Отправлено mario , 03-Апр-08 14:43 
>У меня своя АS на 512 адресов. При переводе на обслуживание на
>мой ДНС сервер вылазит выше описаная проблема.

вот эту подсеть вашу на 512 адресов вам должны делегировать.
скажите ее для анализа. или посмотрите на райпе что про нее сказанно.
что сделать вам сказали (это про провавйдера.)заберите своий домен ну и соответственно пропишите и опуюликуйте его у себя на нс
2 вариант сказать прову что бы они прописали только нужный ай пи для обратной зоны (но это геморно.)
ps. обратитесь именно к прову который вам сеть анонсировал.

ps вы так и не ответили для каких целей вам обратная зона нужна.

"обратная зона DNS"
Отправлено 1ight_apprentice , 03-Апр-08 15:00 
>[оверквотинг удален]
>скажите ее для анализа. или посмотрите на райпе что про нее сказанно.
>
>что сделать вам сказали (это про провавйдера.)заберите своий домен ну и соответственно
>пропишите и опуюликуйте его у себя на нс
>2 вариант сказать прову что бы они прописали только нужный ай пи
>для обратной зоны (но это геморно.)
>ps. обратитесь именно к прову который вам сеть анонсировал.
>
>ps вы так и не ответили для каких целей вам обратная зона
>нужна.

При 512-ти-то адресах кстати не так уж и гиморно. Гораздо морочнее, когда адресов 1-2, и входят они в провайдерскую AS.

"обратная зона DNS"
Отправлено Igorishe , 12-Дек-08 10:42 
В продолжение темы - помогите плз разобраться:
xfer-out: client xxx.xxx.xxx.xxx#1330: view general: transfer of 'xxx.xxx.xxx.in-addr.arpa/IN': AXFR-style IXFR started
xfer-out: client xxx.xxx.xxx.xxx#1330: view general: transfer of 'xxx.xxx.xxx.in-addr.arpa/IN': AXFR-style IXFR ended

Из мира не видна обратная зона всей сети, xxx.xxx.xxx.xxx#1330 - это проблема на слейве?