Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Проблема с разрешением имён в обратной зоне Ubuntu10.10 Bind9  (Прочитано 6494 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ITD27M01

  • Автор темы
  • Новичок
  • *
  • Сообщений: 26
    • Просмотр профиля
Добрый день.

Возникли проблемы с разрешением адресов в обратной зоне, может кто сталкивался??
Предистория:
Подсеть из 16 адресов выдана провайдером, пусть например 192.168.1.0/28. Мы поднимаем у себя на Ubuntu 10.10 сервер, настраиваем DNS на bind9. Договариваемся с провайдером о делегировании нам зоны 0/28.1.168.192.in-addr.arpa. (RFC 2317)

При настройке зоны (конфиги ниже) и перезапуске bind9 сервер отказывается разрешать адреса в имена, в syslog - зона загружена успешно с таким-то серийным номером. rndc и check-zone ошибок не выдаёт.
Просмотрел конфиги, заменил все <tab> на пробелы и заработало. Зона стягивается на вторичные серверы (у провайдера), адреса разрешаются, почта уходит.

Сегодня заметили, что форвард, на который настроен наш bind некорректно разрешает ключевое для нас доменное имя, соответственно заменили форвард на правильный, но обратная зона при этом перестала работать. Проверил всё, убрал все табы, в syslog и rndc ошибок не показывает, зона не стягивается на вторичные серверы, адреса не разрешает, пока спасают вторичные серверы провайдера. И при этом прямая зона работает.

Соответсвенно конфиги

##################### named.conf.local

zone "0/28.1.168.192.in-addr.arpa" in{
type master;
notify yes;
allow-transfer { slave-servers; };
file "db.1.168.192";
};

##################### db.1.168.192
;
; BIND reverse data file for local loopback interface
;
$ORIGIN .
$TTL 3600
0/28.1.168.192.in-addr.arpa      IN      SOA     ns.domain.ru. postmaster.domain.ru. (
                         2011032201 ; Serial
                         3600 ; Refresh
                         86400 ; Retry
                         2419200 ; Expire
                         3600 ); Negative Cache TTL
       IN      NS       ns.domain.ru.
       IN      NS       ns0.isp.ru.
       IN      NS       ns1.isp.ru.
;
$ORIGIN 0/28.1.168.192.in-addr.arpa.
1     IN      PTR      ns.domain.ru.
2     IN      PTR      mail.domain.ru.
3     IN      PTR      www.domain.ru.

Заранее спасибо.

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Цитировать
0/28.1.168.192.in-addr.arpa      IN      SOA     ns.domain.ru. postmaster.domain.ru. (
наверное так будет правильней
28/0.1.168.192.in-addr.arpa      IN      SOA     ns.domain.ru. postmaster.domain.ru. (

Оффлайн censor

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
наверное так будет правильней
28/0.1.168.192.in-addr.arpa      IN      SOA     ns.domain.ru. postmaster.domain.ru. (
не, там все правльно http://tools.ietf.org/html/rfc2317

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2267
    • Просмотр профиля
Попробуйте так (у меня работало именно так):
$ORIGIN 0/28.1.168.192.in-addr.arpa.
@ IN SOA ns.domain.ru. postmaster.domain.ru. (
                         2011032201 ; Serial
                         3600 ; Refresh
                         86400 ; Retry
                         2419200 ; Expire
                         3600 ); Negative Cache TTL
       IN      NS       ns.domain.ru.
       IN      NS       ns0.isp.ru.
       IN      NS       ns1.isp.ru.
;
1     IN      PTR      ns.domain.ru.
2     IN      PTR      mail.domain.ru.
3     IN      PTR      www.domain.ru.
(ну и, надеюсь, Вы номер не забываете увеличивать при каждой попытке?)

Оффлайн ITD27M01

  • Автор темы
  • Новичок
  • *
  • Сообщений: 26
    • Просмотр профиля
Спасибо. Я проверил с помощью host -t SOA серийные номера на dns провайдера, по всему - зона стягивается туда, однако наблюдаю вот такую проблему:

nslookup на сервер провайдера, разрешаем адрес 192.168.1.1

Server:         ns0.isp.ru
Address:        1.2.3.4#53

1.1.168.192.in-addr.arpa      canonical name = 1.0/28.1.168.192.in-addr.arpa.
1.0/28.1.168.192.in-addr.arpa        name = ns.domain.ru.
1.0/28.1.168.192.in-addr.arpa        name = mail.domain.ru.

nslookup на мой сервер, тот же адрес

Server:         ns.domain.ru
Address:        192.168.1.1#53

Non-authoritative answer:
1.1.168.192.in-addr.arpa      canonical name = 1.0/28.1.168.192.in-addr.arpa.
1.0/28.1.168.192.in-addr.arpa        name = ns.domain.ru.
1.0/28.1.168.192.in-addr.arpa        name = mail.domain.ru.

Authoritative answers can be found from:
0/28.1.168.192.in-addr.arpa   nameserver = ns0.isp.ru.
0/28.1.168.192.in-addr.arpa   nameserver = ns.domain.ru.
0/28.1.168.192.in-addr.arpa   nameserver = ns1.isp.ru.
ns.domain.ru      internet address = 192.168.1.1
ns0.isp.ru      internet address = 1.2.3.4
ns1.isp.ru      internet address = 1.2.3.5

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2267
    • Просмотр профиля
Лучше проверять

dig -x 192.168.1.1

что говорит?

Точнее,

dig @ns-server-name -x 192.168.1.1
« Последнее редактирование: 23 Марта 2011, 13:12:32 от Karl500 »

Оффлайн ITD27M01

  • Автор темы
  • Новичок
  • *
  • Сообщений: 26
    • Просмотр профиля
Запрос к моему ns.domain.ru и к ns0.isp.ru ничем не отличаются:

dig @ns.domain.ru -x 192.168.1.1

; <<>> DiG 9.7.1-P2 <<>> @ns.domain.ru -x 192.168.1.1
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30980
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 3, ADDITIONAL: 3

;; QUESTION SECTION:
;1.1.168.192.in-addr.arpa.    IN      PTR

;; ANSWER SECTION:
1.1.168.192.in-addr.arpa. 76630 IN    CNAME  1.0/28.1.168.192.in-addr.arpa.
1.0/28.1.168.192.in-addr.arpa. 3600 IN PTR   mail.domain.ru.
1.0/28.1.168.192.in-addr.arpa. 3600 IN PTR   ns.domain.ru.

;; AUTHORITY SECTION:
0/28.1.168.192.in-addr.arpa. 3600 IN  NS      ns0.isp.ru.
0/28.1.168.192.in-addr.arpa. 3600 IN  NS      ns1.isp.ru.
0/28.1.168.192.in-addr.arpa. 3600 IN  NS      ns.domain.ru.

;; ADDITIONAL SECTION:
ns.domain.ru.             3600    IN      A       192.168.1.1
ns0.isp.ru.             76620   IN      A       1.2.3.4
ns1.isp.ru.             76620   IN      A       1.2.3.5

;; Query time: 0 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Wed Mar 23 13:14:57 2011
;; MSG SIZE  rcvd: 212

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2267
    • Просмотр профиля
Ну, собственно, что имеем:
- 1.1.168.192.in-addr.arpa. есть синоним 1.0/28.1.168.192.in-addr.arpa.
- 1.0/28.1.168.192.in-addr.arpa. имеет ДВА PTR - mail.domain.ru и ns.domain.ru

Это как это?!

Оффлайн ITD27M01

  • Автор темы
  • Новичок
  • *
  • Сообщений: 26
    • Просмотр профиля
Ну, на одном 192.168.1.1 сидят ns и mail, что тут такого?

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2267
    • Просмотр профиля
Ничего. Но не рекомендуется: http://en.wikipedia.org/wiki/Reverse_DNS_lookup
Кроме этого, в Вашей зоне прямо указано, что
Цитировать
$ORIGIN 0/28.1.168.192.in-addr.arpa.
1     IN      PTR      ns.domain.ru.
2     IN      PTR      mail.domain.ru.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28474
    • Просмотр профиля
Реверс ДНС должен указывать на ОДИН хост.
А то у вас получается "это дом Васи, который принадлежит Пете".
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2267
    • Просмотр профиля
Ну, формального запрета, как я понимаю, в RFC нету. Но - лучше так действительно не делать.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28474
    • Просмотр профиля
Формального, да. Но логика подсказывает, что поведение программ, получающих подобный ответ сервера, может вызвать некоторое недоумение. Как минимум.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ITD27M01

  • Автор темы
  • Новичок
  • *
  • Сообщений: 26
    • Просмотр профиля
Подправил, оставил один адрес на одно имя, но всё равно та же проблема, зона на провайдерские днс уходит, но мой не хочет себя считать авторитетным для зоны. Привожу логи перезапуска bind
#########
Mar 23 15:03:35 mail named[15670]: received control channel command 'stop -p'
Mar 23 15:03:35 mail named[15670]: shutting down: flushing changes
Mar 23 15:03:35 mail named[15670]: stopping command channel on 127.0.0.1#953
Mar 23 15:03:35 mail named[15670]: stopping command channel on ::1#953
Mar 23 15:03:35 mail named[15670]: no longer listening on 192.168.1.1#53
Mar 23 15:03:35 mail named[15670]: exiting
Mar 23 15:03:36 mail named[15770]: starting BIND 9.7.1-P2 -u bind
Mar 23 15:03:36 mail named[15770]: built with '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-dlz-postgres=no' '--with-dlz-mysql=no' '--with-dlz-bdb=yes' '--with-dlz-filesystem=yes' '--with-dlz-ldap=yes' '--with-dlz-stub=yes' '--with-geoip=/usr' '--enable-ipv6' 'CFLAGS=-fno-strict-aliasing -DDIG_SIGCHASE -O2' 'LDFLAGS=-Wl,-Bsymbolic-functions' 'CPPFLAGS='
Mar 23 15:03:36 mail named[15770]: adjusted limit on open files from 1024 to 1048576
Mar 23 15:03:36 mail named[15770]: found 1 CPU, using 1 worker thread
Mar 23 15:03:36 mail named[15770]: using up to 4096 sockets
Mar 23 15:03:36 mail named[15770]: loading configuration from '/etc/bind/named.conf'
Mar 23 15:03:36 mail named[15770]: reading built-in trusted keys from file '/etc/bind/bind.keys'
Mar 23 15:03:36 mail named[15770]: using default UDP/IPv4 port range: [1024, 65535]
Mar 23 15:03:36 mail named[15770]: using default UDP/IPv6 port range: [1024, 65535]
Mar 23 15:03:36 mail named[15770]: listening on IPv4 interface eth0, 192.168.1.1#53
Mar 23 15:03:36 mail named[15770]: generating session key for dynamic DNS
Mar 23 15:03:36 mail named[15770]: set up managed keys zone for view _default, file 'managed-keys.bind'
Mar 23 15:03:36 mail named[15770]: automatic empty zone: 0.IN-ADDR.ARPA
Mar 23 15:03:36 mail named[15770]: automatic empty zone: 127.IN-ADDR.ARPA
Mar 23 15:03:36 mail named[15770]: automatic empty zone: 254.169.IN-ADDR.ARPA
Mar 23 15:03:36 mail named[15770]: automatic empty zone: 2.0.192.IN-ADDR.ARPA
Mar 23 15:03:36 mail named[15770]: automatic empty zone: 100.51.198.IN-ADDR.ARPA
Mar 23 15:03:36 mail named[15770]: automatic empty zone: 113.0.203.IN-ADDR.ARPA
Mar 23 15:03:36 mail named[15770]: automatic empty zone: 255.255.255.255.IN-ADDR.ARPA
Mar 23 15:03:36 mail named[15770]: automatic empty zone: 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
Mar 23 15:03:36 mail named[15770]: automatic empty zone: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
Mar 23 15:03:36 mail named[15770]: automatic empty zone: D.F.IP6.ARPA
Mar 23 15:03:36 mail named[15770]: automatic empty zone: 8.E.F.IP6.ARPA
Mar 23 15:03:36 mail named[15770]: automatic empty zone: 9.E.F.IP6.ARPA
Mar 23 15:03:36 mail named[15770]: automatic empty zone: A.E.F.IP6.ARPA
Mar 23 15:03:36 mail named[15770]: automatic empty zone: B.E.F.IP6.ARPA
Mar 23 15:03:36 mail named[15770]: automatic empty zone: 8.B.D.0.1.0.0.2.IP6.ARPA
Mar 23 15:03:36 mail named[15770]: automatic empty zone: 0.1.1.0.0.2.IP6.ARPA
Mar 23 15:03:36 mail named[15770]: command channel listening on 127.0.0.1#953
Mar 23 15:03:36 mail named[15770]: command channel listening on ::1#953
Mar 23 15:03:36 mail named[15770]: zone 0/28.1.168.192.in-addr.arpa/IN: loaded serial 2011032202
Mar 23 15:03:36 mail named[15770]: zone domain.ru/IN: loaded serial 2011032202
Mar 23 15:03:36 mail named[15770]: managed-keys-zone ./IN: loaded serial 0
Mar 23 15:03:36 mail named[15770]: running
Mar 23 15:03:36 mail named[15770]: zone domain.ru/IN: sending notifies (serial 2011032202)
Mar 23 15:03:36 mail named[15770]: zone 0/28.1.168.192.in-addr.arpa/IN: sending notifies (serial 2011032202)
« Последнее редактирование: 23 Марта 2011, 15:07:16 от Tiunov Igor »

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2267
    • Просмотр профиля
"Ничего не понимаю" (с). В чем проблема-то?
Цитировать
мой не хочет себя считать авторитетным для зоны
поясните, что Вы имеете в виду и что Вас не устраивает, если
Цитировать
Запрос к моему ns.domain.ru и к ns0.isp.ru ничем не отличаются:

 

Страница сгенерирована за 0.092 секунд. Запросов: 25.