Настройка Bind

[winmasta]

Добрый день, подскажите по настройке view в bind.
Имеется конфиг, но при рестарте bind происходит fail

Код: [Выделить]

view "internal" {
match-clients { 192.168.1.0/24; localhost; };
recursion yes;
zone "kireva.tk" {
        type master;
        file "/etc/bind/db.kireva.local";
        allow-transfer { 195.208.161.150; };
        also-notify { 195.208.161.150; };
};
};
view "external" {
        match-clients { "any"; };
recursion no;
        zone "kireva.tk" {
                type master;
                file "/etc/bind/db.kireva";
                allow-transfer { 195.208.161.150; };
                also-notify { 195.208.161.150; };
};
};

а вот такой конфиг прекрасно работает

Код: [Выделить]

zone "kireva.tk" {
type master;
file "/etc/bind/db.kireva";
allow-transfer { 195.208.161.150; };
also-notify { 195.208.161.150; };
};

где-то в синтаксисе я ошибся ?

[Karl500]

Что говорит

named-checkconf

?

[winmasta]

Что говорит

named-checkconf

?

спасибо, не хватало мне этого инструмента диагностики

нужно было в каждый view дописать

include "/etc/bind/named.conf.default-zones";

а в named.conf эту строку закомментить

[winmasta]

Всем доброго дня, продолжая настройку bind в режиме master-slave столкнулся с такой проблемой:

ns1 (master) myzones.conf

Код: [Выделить]

view "internal" {
include "/etc/bind/named.conf.default-zones";
match-clients { 192.168.1.0/24; 195.208.161.150; localhost; };
recursion yes;
zone "kireva.tk" {
        type master;
        file "/etc/bind/db.kireva.local";
allow-transfer { 195.208.161.150; };
                also-notify { 195.208.161.150; };
};
};
view "external" {
include "/etc/bind/named.conf.default-zones";
        match-clients { any; };
recursion no;
        zone "kireva.tk" {
                type master;
                file "/etc/bind/db.kireva";
                allow-transfer { 195.208.161.150; };
                also-notify { 195.208.161.150; };
};
};
ns2 (slave) myzones.conf

Код: [Выделить]

view "internal" {
include "/etc/bind/named.conf.default-zones";
match-clients { 192.168.1.0/24; 109.194.33.224; localhost; };
recursion yes;
zone "kireva.tk" {
type slave;
file "/var/cache/bind/db.kireva.local";
masters { 109.194.33.224; };
        };
};
view "external" {
include "/etc/bind/named.conf.default-zones";
        match-clients { any; };
        recursion no;
        zone "kireva.tk" {
                type slave;
                file "/var/cache/bind/db.kireva";
                masters { 109.194.33.224; };
                };
};
db.kireva на ns1

Код: [Выделить]

$TTL 86400 ; (1 day)
@ IN SOA kireva.tk. root.kireva.tk.(
2014042401 ; Serial
10800 ; Refresh(3 hours)
900 ; Retry (15 minutes)
604800 ; Expire (1 week)
86400 ; Negative Cache TTL (1 day)
);
@ IN NS ns1.kireva.tk.
@ IN NS ns2.kireva.tk.
@ IN A 109.194.33.224
office IN A 109.194.33.224
yakor IN A 195.208.161.150
ns1 IN A 109.194.33.224
ns2 IN A 195.208.161.150
www IN CNAME kireva.tk.
db.kireva.local на ns1

Код: [Выделить]

$TTL 86400 ; (1 day)
@ IN SOA kireva.tk. root.kireva.tk.(
2014042401 ; Serial
10800 ; Refresh(3 hours)
900 ; Retry (15 minutes)
604800 ; Expire (1 week)
86400 ; Negative Cache TTL (1 day)
);
@ IN NS ns1.kireva.tk.
@ IN NS ns2.kireva.tk.
@ IN A 109.194.33.224
ns1 IN A 109.194.33.224
ns2 IN A 195.208.161.150
office IN A 109.194.33.224
yakor IN A 195.208.161.150
www IN CNAME kireva.tk.
server IN A 192.168.1.2
zabbix IN A 192.168.1.23
router IN A 192.168.1.66
на ns2 в /var/cache/bind создаются файлы db.kireva и db.kireva.local с одинаковым содержимым (почему-то)

Код: [Выделить]

$ORIGIN .
$TTL 86400 ; 1 day
kireva.tk IN SOA kireva.tk. root.kireva.tk. (
2014042401 ; serial
10800      ; refresh (3 hours)
900        ; retry (15 minutes)
604800     ; expire (1 week)
86400      ; minimum (1 day)
)
NS ns1.kireva.tk.
NS ns2.kireva.tk.
A 109.194.33.224
$ORIGIN kireva.tk.
ns1 A 109.194.33.224
ns2 A 195.208.161.150
office A 109.194.33.224
router A 192.168.1.66
server A 192.168.1.2
www CNAME kireva.tk.
yakor A 195.208.161.150
zabbix A 192.168.1.23
соответственно ns2 выдает локальные адреса по запросу (чего быть не должно), ns1 работает правильно, подскажите ошибку пожалуйста
Пользователь решил продолжить мысль 24 Апреля 2014, 20:24:02:на ns2 комментим зону internal, перезапускаем bind - в файле db.kireva опять тоже самое, видимо что-то не так на ns1

[AnrDaemon]

Так ничего не выйдет. Дублирующий сервер не в состоянии получить доступ к обоим зонам одновременно по одному и тому же IP.

[winmasta]

Так ничего не выйдет. Дублирующий сервер не в состоянии получить доступ к обоим зонам одновременно по одному и тому же IP.

есть ли выход ?

[AnrDaemon]

Позвольте спросить - зачем вообще это нужно? Вам реплицировать нужно только внешнюю зону.
Внутреннюю - можно тупо забить. Либо копировать руками.

[winmasta]

Позвольте спросить - зачем вообще это нужно? Вам реплицировать нужно только внешнюю зону.
Внутреннюю - можно тупо забить. Либо копировать руками.

да если честно, сам еще до конца не понял - видимо и не нужно вовсе, так, в порядке эксперимента

[winmasta]

Всем еще раз здравствуйте, перенастроил сервер ("для безопасности (успокоения)") по ЭТОЙ инструкции и теперь при запуске пишет FAIL, в логах вот что

(Нажмите, чтобы показать/скрыть)

May 15 23:25:34 ns2 named[32000]: starting BIND 9.8.1-P1 -u bind -t /var/lib/named
May 15 23:25:34 ns2 named[32000]: built with '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-geoip=/usr' '--enable-ipv6' 'CFLAGS=-fno-strict-aliasing -DDIG_SIGCHASE -O2' 'LDFLAGS=-Wl,-Bsymbolic-functions -Wl,-z,relro' 'CPPFLAGS=-D_FORTIFY_SOURCE=2'
May 15 23:25:34 ns2 named[32000]: adjusted limit on open files from 4096 to 1048576
May 15 23:25:34 ns2 named[32000]: found 2 CPUs, using 2 worker threads
May 15 23:25:34 ns2 named[32000]: using up to 4096 sockets
May 15 23:25:34 ns2 named[32000]: loading configuration from '/etc/bind/named.conf'
May 15 23:25:34 ns2 named[32000]: reading built-in trusted keys from file '/etc/bind/bind.keys'
May 15 23:25:34 ns2 named[32000]: using default UDP/IPv4 port range: [1024, 65535]
May 15 23:25:34 ns2 named[32000]: using default UDP/IPv6 port range: [1024, 65535]
May 15 23:25:34 ns2 named[32000]: listening on IPv4 interface lo, 127.0.0.1#53
May 15 23:25:34 ns2 named[32000]: listening on IPv4 interface eth1, 195.208.161.150#53
May 15 23:25:34 ns2 named[32000]: generating session key for dynamic DNS
May 15 23:25:34 ns2 named[32000]: sizing zone task pool based on 1 zones
May 15 23:25:34 ns2 named[32000]: using built-in root key for view _default
May 15 23:25:34 ns2 named[32000]: set up managed keys zone for view _default, file 'managed-keys.bind'
May 15 23:25:34 ns2 named[32000]: Warning: 'empty-zones-enable/disable-empty-zone' not set: disabling RFC 1918 empty zones
May 15 23:25:34 ns2 named[32000]: automatic empty zone: 0.IN-ADDR.ARPA
May 15 23:25:34 ns2 named[32000]: automatic empty zone: 127.IN-ADDR.ARPA
May 15 23:25:34 ns2 named[32000]: automatic empty zone: 254.169.IN-ADDR.ARPA
May 15 23:25:34 ns2 named[32000]: automatic empty zone: 2.0.192.IN-ADDR.ARPA
May 15 23:25:34 ns2 named[32000]: automatic empty zone: 100.51.198.IN-ADDR.ARPA
May 15 23:25:34 ns2 named[32000]: automatic empty zone: 113.0.203.IN-ADDR.ARPA
May 15 23:25:34 ns2 named[32000]: automatic empty zone: 255.255.255.255.IN-ADDR.ARPA
May 15 23:25:34 ns2 named[32000]: automatic empty zone: 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
May 15 23:25:34 ns2 named[32000]: automatic empty zone: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
May 15 23:25:34 ns2 named[32000]: automatic empty zone: D.F.IP6.ARPA
May 15 23:25:34 ns2 named[32000]: automatic empty zone: 8.E.F.IP6.ARPA
May 15 23:25:34 ns2 named[32000]: automatic empty zone: 9.E.F.IP6.ARPA
May 15 23:25:34 ns2 named[32000]: automatic empty zone: A.E.F.IP6.ARPA
May 15 23:25:34 ns2 named[32000]: automatic empty zone: B.E.F.IP6.ARPA
May 15 23:25:34 ns2 named[32000]: automatic empty zone: 8.B.D.0.1.0.0.2.IP6.ARPA
May 15 23:25:34 ns2 named[32000]: command channel listening on 127.0.0.1#953
May 15 23:25:34 ns2 named[32000]: command channel listening on ::1#953
May 15 23:25:34 ns2 named[32000]: isc_stdio_open '/var/log/named/xfer.log' failed: file not found
May 15 23:25:34 ns2 named[32000]: configuring logging: file not found
May 15 23:25:34 ns2 named[32000]: loading configuration: file not found
May 15 23:25:34 ns2 named[32000]: exiting (due to fatal error)

файл естественно на месте
как говорится ЧЯДНТ ?

PS гугление не решило

[AnrDaemon]

Всем еще раз здравствуйте, перенастроил сервер ("для безопасности (успокоения)") по ЭТОЙ инструкции

Погуглите слово AppArmor. И расковыряйте вашу дурь обратно.

[winmasta]

Всем еще раз здравствуйте, перенастроил сервер ("для безопасности (успокоения)") по ЭТОЙ инструкции

Погуглите слово AppArmor. И расковыряйте вашу дурь обратно.

уже расковырял ))) буду учить матчасть как говорится

[winmasta]

Появилась проблема, не могу ничего прогуглить, все работало, потом перестало (может после обновления), подскажите.

Не дает адрес по имени из internal view

на клиенте

cat /etc/resolv.conf

Код: [Выделить]

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 192.168.3.1
nameserver 192.168.5.1
search kireva.tk

dig video

Код: [Выделить]

; <<>> DiG 9.9.5-3-Ubuntu <<>> video
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 14599
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;video. IN A

;; AUTHORITY SECTION:
. 10362 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2014062700 1800 900 604800 86400

;; Query time: 3 msec
;; SERVER: 192.168.3.1#53(192.168.3.1)
;; WHEN: Fri Jun 27 19:41:55 NOVT 2014
;; MSG SIZE  rcvd: 109

на сервере

queries.log

Код: [Выделить]

27-Jun-2014 19:37:46.996 info: client 10.0.8.4#37552: view internal: query: video IN A +E (192.168.3.1)

named.conf

Код: [Выделить]

// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind9/README.Debian.gz for information on the
// structure of BIND configuration files in Debian, *BEFORE* you customize
// this configuration file.
//
// If you are just adding zones, please do that in /etc/bind/named.conf.local

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
//include "/etc/bind/named.conf.default-zones";
//include "/etc/bind/myzones.conf";
include "/etc/bind/myzones_view.conf";
include "/etc/bind/named.conf.tsigkey";

myzones_view.conf

Код: [Выделить]

view "internal" {
include "/etc/bind/named.conf.default-zones";
match-clients { 10.0.8.0/24; 192.168.0.0/24; 192.168.1.0/24; 192.168.3.0/24; 192.168.4.0/24; 192.168.5.0/24; 192.168.6.0/24; localhost; };
allow-query { any; };
recursion yes;
zone "kireva.tk" {
        type master;
        file "/etc/bind/db.kireva.local";
};
};
view "external" {
        include "/etc/bind/named.conf.default-zones";
        match-clients { any; };
        recursion no;
        zone "kireva.tk" {
                type master;
                file "/etc/bind/db.kireva";
                allow-transfer { key "my-tsig"; };
                also-notify { 195.208.161.150; };
        };
};

db.kireva.local

Код: [Выделить]

$TTL 86400 ; (1 day)
@ IN SOA kireva.tk. root.kireva.tk.(
2014051503 ; Serial
10800 ; Refresh(3 hours)
900 ; Retry (15 minutes)
604800 ; Expire (1 week)
86400 ; Negative Cache TTL (1 day)
);
@ IN NS ns1.kireva.tk.
@ IN NS ns2.kireva.tk.
ns1 IN A 109.194.33.224
ns2 IN A 195.208.161.150
office IN A 109.194.33.177
yakor IN A 195.208.161.154
routeroffice    IN      A       109.194.33.177
routeryakor     IN      A       195.208.161.154
www IN CNAME kireva.tk.
server IN A 192.168.3.2
asterisk IN A 192.168.6.2
routeroffice IN A 192.168.3.7
zabbix IN A 192.168.3.1
wifi IN A 192.168.6.3
winmasta IN A 192.168.3.29
video IN A 192.168.4.2


[winmasta]

само заработало ..... 

[winmasta]

Так ничего не выйдет. Дублирующий сервер не в состоянии получить доступ к обоим зонам одновременно по одному и тому же IP.

может кому пригодится ... чтобы на слэйве были разные view нужно их запрашивать по разным IP, соответственно, я в своем случае поднял ВПН и internal зону беру по внутреннему IP, а external - по внешнему