URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 91272
[ Назад ]

Исходное сообщение
"Трабла с BIND"
Отправлено artemrts , 29-Мрт-11 20:40

Здравствуйте!
На днях перестала ходить почта. Начал смотреть что случилось. Оказалось, что BIND перестал отрабатывает обратное преобразование.
Вот пример

relay# nslookup ya.ru
Server:         127.0.0.1
Address:        127.0.0.1#53
Non-authoritative answer:
Name:   ya.ru
Address: 87.250.250.3
Name:   ya.ru
Address: 87.250.250.203
Name:   ya.ru
Address: 87.250.251.3
Name:   ya.ru
Address: 93.158.134.3
Name:   ya.ru
Address: 93.158.134.203
Name:   ya.ru
Address: 213.180.204.3
Name:   ya.ru
Address: 77.88.21.3
relay# nslookup 87.250.250.3
Server:         127.0.0.1
Address:        127.0.0.1#53
** server can't find 3.250.250.87.in-addr.arpa: SERVFAIL

Содержание

Трабла с BIND,artemrts, 20:55 , 29-Мрт-11
- Трабла с BIND,Pahanivo, 09:13 , 30-Мрт-11
- Трабла с BIND,Дядя_Федор, 13:16 , 30-Мрт-11
  - Трабла с BIND,Pahanivo, 14:37 , 30-Мрт-11
    - Трабла с BIND,artemrts, 17:19 , 30-Мрт-11
  - Трабла с BIND,artemrts, 22:43 , 30-Мрт-11
    - Трабла с BIND,Pahanivo, 07:49 , 31-Мрт-11
      - Трабла с BIND,artemrts, 18:28 , 31-Мрт-11
        
        Трабла с BIND,Pahanivo, 18:30 , 31-Мрт-11
        Трабла с BIND,Дядя_Федор, 10:35 , 01-Апр-11
        
        Трабла с BIND,Дядя_Федор, 10:37 , 01-Апр-11
        Трабла с BIND,Pahanivo, 14:46 , 01-Апр-11
        
        Трабла с BIND,universite, 22:33 , 03-Апр-11
        
        Трабла с BIND,Pahanivo, 08:15 , 04-Апр-11
        
        Трабла с BIND,universite, 14:35 , 04-Апр-11
        
        Трабла с BIND,Pahanivo, 16:01 , 04-Апр-11
        
        Трабла с BIND,universite, 16:22 , 04-Апр-11
        
        Трабла с BIND,Pahanivo, 21:55 , 04-Апр-11
        
        Трабла с BIND,universite, 23:17 , 04-Апр-11
        
        Трабла с BIND,Pahanivo, 09:14 , 05-Апр-11

Сообщения в этом обсуждении

"Трабла с BIND"
Отправлено artemrts , 29-Мрт-11 20:55

>[оверквотинг удален]
> Name:   ya.ru
> Address: 93.158.134.203
> Name:   ya.ru
> Address: 213.180.204.3
> Name:   ya.ru
> Address: 77.88.21.3
> relay# nslookup 87.250.250.3
> Server:         127.0.0.1
> Address:        127.0.0.1#53
> ** server can't find 3.250.250.87.in-addr.arpa: SERVFAIL
  Забыл добавить. BIND у меня работал не через хинт механизм, а через слейв. Вот непонятно  это с моим серваком или с мастером. В данном случае F.ROOT-SERVERS.NET ?
Сейчас включил через хинт.

"Трабла с BIND"
Отправлено Pahanivo , 30-Мрт-11 09:13

>[оверквотинг удален]
>> Name:   ya.ru
>> Address: 77.88.21.3
>> relay# nslookup 87.250.250.3
>> Server:         127.0.0.1
>> Address:        127.0.0.1#53
>> ** server can't find 3.250.250.87.in-addr.arpa: SERVFAIL
>   Забыл добавить. BIND у меня работал не через хинт механизм,
> а через слейв. Вот непонятно  это с моим серваком или
> с мастером. В данном случае F.ROOT-SERVERS.NET ?
>  Сейчас включил через хинт.
дак заработал или нет? :)

"Трабла с BIND"
Отправлено Дядя_Федор , 30-Мрт-11 13:16

>   Забыл добавить. BIND у меня работал не через хинт механизм,
> а через слейв. Вот непонятно  это с моим серваком или
> с мастером. В данном случае F.ROOT-SERVERS.NET ?
>  Сейчас включил через хинт.
А с чего Вы сделали вывод, что ВАШ ДНС является слейвом для одного из 13 корневых ДНС???? :-()

"Трабла с BIND"
Отправлено Pahanivo , 30-Мрт-11 14:37

>>   Забыл добавить. BIND у меня работал не через хинт механизм,
>> а через слейв. Вот непонятно  это с моим серваком или
>> с мастером. В данном случае F.ROOT-SERVERS.NET ?
>>  Сейчас включил через хинт.
>  А с чего Вы сделали вывод, что ВАШ ДНС является слейвом
> для одного из 13 корневых ДНС???? :-()
попробую телепатировать ))
видно он взял "точку" на слейв, отключив хинт зону - допустимая конфигурация, _НО_
после описания данного способа настроки в мануале следует предупреждения о том, что надо внимательно следить в этом случае за корневой зоной, ибо при глюках например с трансфером можно получить нерабочий ДНС ...

"Трабла с BIND"
Отправлено artemrts , 30-Мрт-11 17:19

>[оверквотинг удален]
>>> с мастером. В данном случае F.ROOT-SERVERS.NET ?
>>> Сейчас включил через хинт.
>> А с чего Вы сделали вывод, что ВАШ ДНС является слейвом
>> для одного из 13 корневых ДНС???? :-()
> попробую телепатировать ))
> видно он взял "точку" на слейв, отключив хинт зону - допустимая конфигурация,
> _НО_
> после описания данного способа настроки в мануале следует предупреждения о том, что
> надо внимательно следить в этом случае за корневой зоной, ибо при
> глюках например с трансфером можно получить нерабочий ДНС ...
ООоо. Да ты телепат, однако))

"Трабла с BIND"
Отправлено artemrts , 30-Мрт-11 22:43

>>   Забыл добавить. BIND у меня работал не через хинт механизм,
>> а через слейв. Вот непонятно  это с моим серваком или
>> с мастером. В данном случае F.ROOT-SERVERS.NET ?
>>  Сейчас включил через хинт.
>  А с чего Вы сделали вывод, что ВАШ ДНС является слейвом
> для одного из 13 корневых ДНС???? :-()
А как понимать это из named.conf?

// The traditional root hints mechanism. Use this, OR the slave zones below.
zone "." { type hint; file "named.root"; };
/*      Slaving the following zones from the root name servers has some
        significant advantages:
        1. Faster local resolution for your users
        2. No spurious traffic will be sent from your network to the roots
        3. Greater resilience to any potential root server failure/DDoS
        On the other hand, this method requires more monitoring than the
        hints file to be sure that an unexpected failure mode has not
        incapacitated your server.  Name servers that are serving a lot
        of clients will benefit more from this approach than individual
        hosts.  Use with caution.
        To use this mechanism, uncomment the entries below, and comment
        the hint zone above.
*/
/*
zone "." {
        type slave;
        file "slave/root.slave";
        masters {
                192.5.5.241;    // F.ROOT-SERVERS.NET.
        };
        notify no;
};
zone "arpa" {
        type slave;
        file "slave/arpa.slave";
        masters {
                192.5.5.241;    // F.ROOT-SERVERS.NET.
        };
        notify no;
};
zone "in-addr.arpa" {
        type slave;
        file "slave/in-addr.arpa.slave";
        masters {
                192.5.5.241;    // F.ROOT-SERVERS.NET.
        };
        notify no;
};

"Трабла с BIND"
Отправлено Pahanivo , 31-Мрт-11 07:49

On the other hand, this method requires more monitoring than the
hints file to be sure that an unexpected failure mode has not
incapacitated your server
оно вам надо? :)

"Трабла с BIND"
Отправлено artemrts , 31-Мрт-11 18:28

> On the other hand, this method requires more monitoring than the
> hints file to be sure that an unexpected failure mode has not
> incapacitated your server
> оно вам надо? :)
Да. Я с вами согласен. Просто давно это было, когда настраивал тот сервак. И канал адсл был слабым. Хотел на трафике немного сэкономить))
Интересует другое. Почему сам мастер перестал отдавать зону?

"Трабла с BIND"
Отправлено Pahanivo , 31-Мрт-11 18:30

аааааа они не все ее и отдают собстна )

"Трабла с BIND"
Отправлено Дядя_Федор , 01-Апр-11 10:35

Потому что передача файла зоны комы-либо, кроме вторичного ДНС-сервера (не произвольного сервера, который вдруг захотел быть вторичным для данного домена, а того вторичного - который действительно является вторичным для первичного сервера - и IP этого сервера записан в конфиге первчиного ДНС в качестве сервера, которому разрешен трансфер зоны) - является дырой в безопасности Веб-сервера. Нельзя кому ни попадя отдавать файл зоны. Точно так же - как и нельзя кому ни попадя разрешать рекурсивные запросы.

"Трабла с BIND"
Отправлено Дядя_Федор , 01-Апр-11 10:37

>является дырой в безопасности Веб-сервера.
ТЬфу ты. Очепятка. ДНС-сервера, конечно же. :)

"Трабла с BIND"
Отправлено Pahanivo , 01-Апр-11 14:46

> Нельзя кому ни попадя отдавать файл зоны. Точно так же - как
> и нельзя кому ни попадя разрешать рекурсивные запросы.
что может быть секретного в данных которые вы открыто раздаете на весь инренет? ))
если "псевдо секретность" еще может как то проявлятся в прямой зоне, то скажем /24 реверс можно высканить целиком сделав 256 запроса

"Трабла с BIND"
Отправлено universite , 03-Апр-11 22:33

>> Нельзя кому ни попадя отдавать файл зоны. Точно так же - как
>> и нельзя кому ни попадя разрешать рекурсивные запросы.
> что может быть секретного в данных которые вы открыто раздаете на весь
> инренет? ))
Кто сказал открыто?
Есть зоны, которые должны быть доступны только из локалки.
> если "псевдо секретность" еще может как то проявлятся в прямой зоне, то
> скажем /24 реверс можно высканить целиком сделав 256 запроса
Высканивайте.

"Трабла с BIND"
Отправлено Pahanivo , 04-Апр-11 08:15

> Кто сказал открыто?
привидите пжлста пример записей который вы раздаете в WAN закрыто
> Есть зоны, которые должны быть доступны только из локалки.
естно, но это лишь частный случай, не более того
то что вы делаете в своёй LAN это касается только вас
> Высканивайте.
кагбы не понял намёка ...

"Трабла с BIND"
Отправлено universite , 04-Апр-11 14:35

>> Кто сказал открыто?
> привидите пжлста пример записей который вы раздаете в WAN закрыто
зачем?
я закрываю все по умолчанию и открываю доступ наружу выборочным сервисам/зонам
>> Есть зоны, которые должны быть доступны только из локалки.
> естно, но это лишь частный случай, не более того
> то что вы делаете в своёй LAN это касается только вас
так какого хрена я должен разрешать это наружу?
из-за того, что вы не поняли смысл директив allow-query и allow-recursion ?
>> Высканивайте.
> кагбы не понял намёка ...
вы делаете сизифов труд.

"Трабла с BIND"
Отправлено Pahanivo , 04-Апр-11 16:01

>>> Кто сказал открыто?
>> привидите пжлста пример записей который вы раздаете в WAN закрыто
> зачем?
> я закрываю все по умолчанию и открываю доступ наружу выборочным сервисам/зонам
ну здорово, а при чем тут ДНС?
приватные сервисы в паблик ДНС как бы и не нужны совсем
>>> Есть зоны, которые должны быть доступны только из локалки.
>> естно, но это лишь частный случай, не более того
>> то что вы делаете в своёй LAN это касается только вас
> так какого хрена я должен разрешать это наружу?
ну дак и юзайте ваши приватные зоны внутри локалки сколько угодно )
> из-за того, что вы не поняли смысл директив allow-query и allow-recursion ?
ну есть у вас зона domain.ru, ну сайт есть аналогичный, ну и какой смысл ограничивать
запросы к этой зоне?

"Трабла с BIND"
Отправлено universite , 04-Апр-11 16:22

>>>> Кто сказал открыто?
>>> привидите пжлста пример записей который вы раздаете в WAN закрыто
>> зачем?
>> я закрываю все по умолчанию и открываю доступ наружу выборочным сервисам/зонам
> ну здорово, а при чем тут ДНС?
> приватные сервисы в паблик ДНС как бы и не нужны совсем
вы путаете понятие "паблик ДНС".

>>>> Есть зоны, которые должны быть доступны только из локалки.
>>> естно, но это лишь частный случай, не более того
>>> то что вы делаете в своёй LAN это касается только вас
>> так какого хрена я должен разрешать это наружу?
> ну дак и юзайте ваши приватные зоны внутри локалки сколько угодно )
спасибо, что разрешили!

>> из-за того, что вы не поняли смысл директив allow-query и allow-recursion ?
> ну есть у вас зона domain.ru, ну сайт есть аналогичный, ну и
> какой смысл ограничивать
> запросы к этой зоне?
allow-query к этой зоне не ограничиваю
а вот allow-transfer и allow-recursion - ограничиваю.

"Трабла с BIND"
Отправлено Pahanivo , 04-Апр-11 21:55

> allow-query к этой зоне не ограничиваю
ну? и? а по чему не ограничиваете? потому что смысла нет?
потому что смысл изначально раздать записи зоны на весь инет? какая тогда в _опу секурность?
> а вот allow-transfer и allow-recursion - ограничиваю.
1) ну да бог с ним, с трасфером, да, можно его ограничивать ... уговорил )) ведь просто не показывать секурную зону это как то не по нашему, сначала покажем, а потом что-то то будем в ней ограничивать ... так увлекательней ...
не проще allow-query сразу прикрутить? или view воспользоваться?
2) allow-recursion тут то каким боком? вы топ сначала читаете или только знакомые слова выдергиваете? изначально речь шла о зоне, какое отношение к этому предмету имеет рекурсия как-то слабо понятно
в принципе у бинда есть еще много опций allow-xxxxx - можно еще подискутировать о какой-нибудь фегне ...

"Трабла с BIND"
Отправлено universite , 04-Апр-11 23:17

>> allow-query к этой зоне не ограничиваю
> ну? и? а по чему не ограничиваете? потому что смысла нет?
> потому что смысл изначально раздать записи зоны на весь инет? какая тогда
> в _опу секурность?
вы запутались в своих тезисах.
прочтите внимательно топик заново.
>> а вот allow-transfer и allow-recursion - ограничиваю.
> 1) ну да бог с ним, с трасфером, да, можно его ограничивать
> ... уговорил )) ведь просто не показывать секурную зону это как
> то не по нашему, сначала покажем, а потом что-то то будем
> в ней ограничивать ... так увлекательней ...
> не проще allow-query сразу прикрутить? или view воспользоваться?
при чем тут view?
> 2) allow-recursion тут то каким боком? вы топ сначала читаете или только
> знакомые слова выдергиваете? изначально речь шла о зоне, какое отношение к
> этому предмету имеет рекурсия как-то слабо понятно
вы путаете allow-query и allow-recursion, прочтите внимательно про них.
> в принципе у бинда есть еще много опций allow-xxxxx - можно еще
> подискутировать о какой-нибудь фегне ...
вот и приведите еще парочку allow-*

"Трабла с BIND"
Отправлено Pahanivo , 05-Апр-11 09:14

> прочтите внимательно топик заново.
а сами то его читали с начала?
> при чем тут view?
забыли про виды
> вы путаете allow-query и allow-recursion, прочтите внимательно про них.
я не путаю эти диррективы, и весьма отчетливо представляю себе их смысл
изначально речь шла о зонах и о трансфере
allow-recursion ну ни как к этому не пришить
рекурсия задача рекурсора - не более того
> вот и приведите еще парочку allow-*
скачайте мануал бинды и воспользуйтесь Ctrl+F - мне както не досу(г|к) ))