bind9 & squid & DC 2003 server(не открывается сайт фирмы, через squid)

[djrust]

Есть сеть с windows 2003 server(домен firma.ru) + ubuntu server 10.04(введена в домен)

настройка bind9

dn.firma.ru

(Нажмите, чтобы показать/скрыть)

$TTL 86400      ;       1 day
firma.ru.    IN      SOA      mail.firma.ru. rust.firma.ru. (
                                20110103        ; Serial
                                10800           ; Refresh
                                3600            ; Retry
                                604800          ; Expire
                                86400           ; Minimum TTL
                        )

; DNS Servers
                IN      NS      mail.firma.ru.

; MX Records
                IN      A       192.168.0.252

; Machine Names
localhost       IN      A       127.0.0.1
mail            IN      A       192.168.0.252
gw              IN      A       192.168.0.252

; Различные клиенты сети
dc              IN      A       192.168.0.2
bdc             IN      A       192.168.0.2
fs              IN      A       192.168.0.4
ts              IN      A       192.168.0.5
www             IN      A       212.XX.7.XX

; Aliases
#www             IN      CNAME   212.XX.7.XX

db.firma.ru.rev

(Нажмите, чтобы показать/скрыть)

$TTL 86400      ;       1 day
0.168.192.in-addr.arpa. IN SOA mail.firma.ru. rust.firma.ru. (
                        20110104        ; Serial
                        10800           ; Refresh
                        3600            ; Retry
                        604800          ; Expire
                        3600 )          ; Minimum

        IN      NS      mail.firma.ru.

252       IN      PTR     firma.ru.
252       IN      PTR     mail.firma.ru.
252       IN      PTR     gw.firma.ru.

; Различные клиенты сети
2      IN      PTR     dc.firma.ru.
3      IN      PTR     bdc.firma.ru.
4      IN      PTR     fs.firma.ru.
5      IN      PTR     ts.firma.ru.

named.conf.options

(Нажмите, чтобы показать/скрыть)

options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

forwarders {
            // ns2.nn.ertelecom.ru
             91.144.184.1;
            // ns4.nn.ertelecom.ru
             91.144.186.1;
        };

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
        allow-query {192.168.0.0/24; 127.0.0.1;};
        listen-on port 53 {192.168.0.252; 127.0.0.1;};
};

named.conf.default-zones

(Нажмите, чтобы показать/скрыть)

// prime the server with knowledge of the root servers
zone "." {
        type hint;
        file "/etc/bind/db.root";
};

// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912

zone "localhost" {
        type master;
        file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
        type master;
        file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
        type master;
        file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
        type master;
        file "/etc/bind/db.255";
};

zone "0.168.192.in-addr.arpa" {
        type master;
        file "/etc/bind/db.firma.ru.rev";
};

zone "firma.ru" {
        type master;
        file "/etc/bind/db.firma.ru";
};

ping www.firma.ru

(Нажмите, чтобы показать/скрыть)

root@mail:/etc/bind# ping www.firma.ru
PING www.firma.ru (212.XX.7.XX) 56(84) bytes of data.
64 bytes from 212.XX.7.XX: icmp_seq=1 ttl=122 time=11.8 ms
64 bytes from 212.XX.7.XX: icmp_seq=2 ttl=122 time=11.6 ms
64 bytes from 212.XX.7.XX: icmp_seq=3 ttl=122 time=12.3 ms
64 bytes from 212.XX.7.XX: icmp_seq=4 ttl=122 time=11.6 ms
64 bytes from 212.XX.7.XX: icmp_seq=5 ttl=122 time=11.6 ms
64 bytes from 212.XX.7.XX: icmp_seq=6 ttl=122 time=11.6 ms
64 bytes from 212.67.7.XX: icmp_seq=7 ttl=122 time=11.8 ms
^C64 bytes from 212.XX.7.XX: icmp_seq=8 ttl=122 time=11.5 ms

--- www.firma.ru ping statistics ---
8 packets transmitted, 8 received, 0% packet loss, time 35388ms
rtt min/avg/max/mdev = 11.565/11.783/12.341/0.238 ms

Вопрос в том, почему такой плохой ping + сайт www.firma.ru не открывается в локальной сети конторы(автоматом стучится почему то на 192.168.0.252)
Если прокси убрать,то попадаешь нормально на www.firma.ru

В исключения IE добавлял 192.168.0.252 + 212.XX.7.XX толку 0  ....все равно при наборе www.firma.ru попадаю на шлюз
Пользователь решил продолжить мысль 11 Июня 2012, 12:54:59:хотя добавление в исключение для IE проблему решило!
Пользователь решил продолжить мысль 11 Июня 2012, 13:02:32:по запросу www.firma.ru выходит
осталось понять как сделать ,чтоб по firma.ru выходило 212.XX.67.XX

[AnrDaemon]

1. Убрать свои грязные зоны из named.conf.default-zones
2. На какой NS сервер вообще смотрят машины?
3. Если вам надо, чтобы firma.ru было = www.firma.ru - так сделайте это.
Сейчас у вас

Код: [Выделить]

firma.ru.    IN      SOA      mail.firma.ru. rust.firma.ru. (
...
                IN      A       192.168.0.252
Сделайте его

Код: [Выделить]

firma.ru. A 212.XX.7.XX
www CNAME firma.ru.

[djrust]

2.Машина AD смотрят на 192.168.0.2

Мне в идеале надо,чтобы bind подхватывал DNS AD

Убрать свои грязные зоны из named.conf.default-zones

А что в них грязного?

[AnrDaemon]

Всё грязное. Они никакого отношения к RFC зонам не имеют. Создай СВОЙ СОБСТВЕННЫЙ инклюд и в нём описывай свои зоны. Специально для тебя есть файл named.conf.local.

Чтобы бинд подхватывал DNS из AD - пропиши их ему!!!

Код: [Выделить]

zone "nln.ru" {
        type forward;
//      recursion yes;
        forwarders {
                10.192.0.25;
                94.141.161.3;
                94.141.160.4;
                };
        };

zone "starlink.ru" {
        type forward;
//      recursion yes;
        forwarders {
                77.50.0.3;
                77.50.1.3;
                };
        };