bind не выпускает наружу

[Mr. Toad]

Приветствую!
Настраиваю BIND первый раз.
Прошерстил много разных статей, в итоге получил такую конфигурацию:
cat /etc/bind/named.conf

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind9/README.Debian.gz for information on the
// structure of BIND configuration files in Debian, *BEFORE* you customize
// this configuration file.
//
// If you are just adding zones, please do that in /etc/bind/named.conf.local

logging {
channel "misc" {file "/var/log/named/misc.log" versions 4 size 4m; print-time YES; print-severity YES; print-category YES;};
channel "query" {file "/var/log/named/query.log" versions 4 size 4m; print-time YES; print-severity NO; print-category NO;};
category default {"misc";};
category queries {"query";};
};
include "/etc/bind/nets";
include "/etc/bind/named.conf.options";
//include "/etc/bind/named.conf.default-zones";
key rndc-key {
        algorithm hmac-md5;
        secret "f/9/lFMgopWW8PKQcSyXEQ==";
        };
controls {
        inet 127.0.0.1 port 953 allow { 127.0.0.1; } keys { rndc-key; };
        };
server 172.23.11.100 {
        };

view "nets" {
match-clients { nets; };
recursion yes;

zone "l1.lan" {
                type master;
                file "/etc/bind/master/l1.lan.zone";
                allow-transfer {
                        127.0.0.1;                      # localhost
                        172.23.11.1;
                        172.23.11.100;
                };
                notify yes;
};

zone "site4.ru" {
                type master;
                file "/etc/bind/master/site4.ru.zone";
                allow-transfer {
                        127.0.0.1;                      # localhost
                        172.23.11.1;
                        172.23.11.100;
                };
                notify yes;
};

zone "site5.su" {
                type master;
                file "/etc/bind/master/site5.su.zone";
                allow-transfer {
                        127.0.0.1;                      # localhost
                        172.23.11.1;
                        172.23.11.100;
                };
                notify yes;
};

zone "site6.ru" {
                type master;
                file "/etc/bind/master/site6.ru.zone";
                allow-transfer {
                        127.0.0.1;                      # localhost
                        172.23.11.1;
                        172.23.11.100;
                };
                notify yes;
};


cat /etc/bind/nets

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

acl nets {
172.23.11.0/24;
172.23.103.0/24;
172.23.104.0/24;
};


cat /etc/bind/named.conf.options

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

acl trusted {
        172.23.11.1;
        172.23.11.100;
        };

options {
        directory "/var/cache/bind";

        recursion yes;                 # enables resursive queries

        allow-recursion { trusted; };  # allows recursive queries from "trusted" clients

        listen-on { 172.23.11.1; };

        allow-transfer {
        //      none;
                172.23.11.100;
                };

        forwarders {
                8.8.8.8;
                8.8.4.4;
                };

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        // forwarders {
        //      0.0.0.0;
        // };

        //========================================================================
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //========================================================================
        dnssec-validation auto;

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};


Пингую какой-либо хост из данных зон, все ОК.
Перехожу в браузере по адресу, который находиться в локалке, все ОК.
Но, если я хочу перейти по какому-либо адресу в интернете, на тот же яндекс, получаю фигу...

Что у меня не так? Или что нужно добавить?

[AnrDaemon]

В forwarders пропишите адреса вашего провайдера. Задолбали гуглоднсы пихать везде и всюду.
И смотрите в лог. Что пишет, почему не может разрешить имена.

[Mr. Toad]

cat  /var/log/named/query.log

Код: [Выделить]

05-Apr-2020 21:17:36.961 client @0x7f005c042820 172.23.11.77#64021 (ya.ru): view nets: query: ya.ru IN A + (172.23.11.1)
05-Apr-2020 21:17:36.963 client @0x7f005c042820 172.23.11.77#57211 (ya.ru): view nets: query: ya.ru IN A + (172.23.11.1)
05-Apr-2020 21:17:36.966 client @0x7f005c042820 172.23.11.77#60496 (ya.ru): view nets: query: ya.ru IN A + (172.23.11.1)
05-Apr-2020 21:17:36.968 client @0x7f005c042820 172.23.11.77#61515 (ya.ru): view nets: query: ya.ru IN A + (172.23.11.1)

cat /var/log/named/

Код: [Выделить]

05-Apr-2020 21:17:36.961 security: info: client @0x7f005c042820 172.23.11.77#64021 (ya.ru): view nets: query (cache) 'ya.ru/A/IN' denied
05-Apr-2020 21:17:36.961 query-errors: info: client @0x7f005c042820 172.23.11.77#64021 (ya.ru): view nets: query failed (REFUSED) for ya.ru/IN/A at ../../../bin/named/query.c:6980
05-Apr-2020 21:17:36.963 security: info: client @0x7f005c042820 172.23.11.77#57211 (ya.ru): view nets: query (cache) 'ya.ru/A/IN' denied
05-Apr-2020 21:17:36.963 query-errors: info: client @0x7f005c042820 172.23.11.77#57211 (ya.ru): view nets: query failed (REFUSED) for ya.ru/IN/A at ../../../bin/named/query.c:6980
05-Apr-2020 21:17:36.966 security: info: client @0x7f005c042820 172.23.11.77#60496 (ya.ru): view nets: query (cache) 'ya.ru/A/IN' denied
05-Apr-2020 21:17:36.966 query-errors: info: client @0x7f005c042820 172.23.11.77#60496 (ya.ru): view nets: query failed (REFUSED) for ya.ru/IN/A at ../../../bin/named/query.c:6980
05-Apr-2020 21:17:36.968 security: info: client @0x7f005c042820 172.23.11.77#61515 (ya.ru): view nets: query (cache) 'ya.ru/A/IN' denied
05-Apr-2020 21:17:36.968 query-errors: info: client @0x7f005c042820 172.23.11.77#61515 (ya.ru): view nets: query failed (REFUSED) for ya.ru/IN/A at ../../../bin/named/query.c:6980
Пользователь добавил сообщение 05 Апреля 2020, 20:47:30:Указал DNSы прова, та же хрень...
Логи выше.

[AnrDaemon]

Ой, !!!…

Код: [Выделить]

view "nets"Зачем ЭТО всё? Вам что, секса не хватает?

[Mr. Toad]

Хватает, но если убрать, лучше не становиться.

Еще наблюдается странное поведение...

Код: [Выделить]

C:\Users\xxxxxx>nslookup ya.ru
╤хЁтхЁ:  UnKnown
Address:  172.23.11.1

*** UnKnown не удалось найти ya.ru: Query refused

C:\Users\xxxxxx>nslookup mail.domain.ru
╤хЁтхЁ:  UnKnown
Address:  172.23.11.1

╚ь :     mail.domain.ru
Address:  172.23.11.55
Пользователь добавил сообщение 05 Апреля 2020, 21:59:50:Перенастроил логирование и получил такое:

Код: [Выделить]

05-Apr-2020 21:55:43.535 queries: info: client @0x7fb81c0aa9e0 172.23.11.77#51129 (1.11.23.172.in-addr.arpa): query: 1.11.23.172.in-addr.arpa IN PTR + (172.23.11.1)
05-Apr-2020 21:55:43.546 queries: info: client @0x7fb81c0aa9e0 172.23.11.77#51130 (ya.ru.l1.local): query: ya.ru.l1.local IN A + (172.23.11.1)
05-Apr-2020 21:55:43.547 security: info: client @0x7fb81c0aa9e0 172.23.11.77#51130 (ya.ru.l1.local): query (cache) 'ya.ru.l1.local/A/IN' denied
05-Apr-2020 21:55:43.547 query-errors: info: client @0x7fb81c0aa9e0 172.23.11.77#51130 (ya.ru.l1.local): query failed (REFUSED) for ya.ru.l1.local/IN/A at ../../../bin/named/query.c:6980
05-Apr-2020 21:55:43.548 queries: info: client @0x7fb81c0aa9e0 172.23.11.77#51131 (ya.ru.l1.local): query: ya.ru.l1.local IN AAAA + (172.23.11.1)
05-Apr-2020 21:55:43.548 security: info: client @0x7fb81c0aa9e0 172.23.11.77#51131 (ya.ru.l1.local): query (cache) 'ya.ru.l1.local/AAAA/IN' denied
05-Apr-2020 21:55:43.548 query-errors: info: client @0x7fb81c0aa9e0 172.23.11.77#51131 (ya.ru.l1.local): query failed (REFUSED) for ya.ru.l1.local/IN/AAAA at ../../../bin/named/query.c:6980
05-Apr-2020 21:55:43.550 queries: info: client @0x7fb81c0aa9e0 172.23.11.77#51132 (ya.ru): query: ya.ru IN A + (172.23.11.1)
05-Apr-2020 21:55:43.550 security: info: client @0x7fb81c0aa9e0 172.23.11.77#51132 (ya.ru): query (cache) 'ya.ru/A/IN' denied
05-Apr-2020 21:55:43.550 query-errors: info: client @0x7fb81c0aa9e0 172.23.11.77#51132 (ya.ru): query failed (REFUSED) for ya.ru/IN/A at ../../../bin/named/query.c:6980
05-Apr-2020 21:55:43.551 queries: info: client @0x7fb81c0aa9e0 172.23.11.77#51133 (ya.ru): query: ya.ru IN AAAA + (172.23.11.1)
05-Apr-2020 21:55:43.551 security: info: client @0x7fb81c0aa9e0 172.23.11.77#51133 (ya.ru): query (cache) 'ya.ru/AAAA/IN' denied
05-Apr-2020 21:55:43.551 query-errors: info: client @0x7fb81c0aa9e0 172.23.11.77#51133 (ya.ru): query failed (REFUSED) for ya.ru/IN/AAAA at ../../../bin/named/query.c:6980
05-Apr-2020 21:55:47.880 queries: info: client @0x7fb81c0aa9e0 172.23.11.77#55958 (win8.ipv6.microsoft.com): query: win8.ipv6.microsoft.com IN A + (172.23.11.1)
05-Apr-2020 21:55:47.880 security: info: client @0x7fb81c0aa9e0 172.23.11.77#55958 (win8.ipv6.microsoft.com): query (cache) 'win8.ipv6.microsoft.com/A/IN' denied
05-Apr-2020 21:55:47.880 query-errors: info: client @0x7fb81c0aa9e0 172.23.11.77#55958 (win8.ipv6.microsoft.com): query failed (REFUSED) for win8.ipv6.microsoft.com/IN/A at ../../../bin/named/query.c:6980
Почему он BIND ищет ya.ru в локальных зонах? И как это исправить?

[AnrDaemon]

Как настроили, так и ищет. Навертели [цензура] пойми чего в конфиге…

И вообще, показывайте

Код: [Выделить]

named-checkconf -px

[Mr. Toad]

Я уже написал, что это мой первый опыт.

По совету с ру-боарда, добавил в trusted всю сеть и инет заработал.
Как я понимаю, так безопаснее, чем отключать данную настройку
Может еще посоветуете, как сделать, чтобы при запросе NSLOOKUPа не писал "не заслуживающий доверия ответ"? И как сделать работу BIND более безопасной?