Регистрация Войти
Рейтинг:2
avatar Server

Вторичный DNS не отвечает на dig

флаг cn
iamsumesh

Мы новички в DNS. мы пытаемся настроить дополнительный DNS-сервер с помощью Bind и CentOS для существующего основного сервера (например: 142.250.192.110).

Конфигурация нашего вторичного сервера выглядит следующим образом:

    порт прослушивания 53 { 127.0.0.1; Любые; };
        прослушивание на v6, порт 53 { :: 1; Любые; };
        директория "/var/named";
        дамп-файл "/var/named/data/cache_dump.db";
        файл статистики "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        рекурсивный-файл "/var/named/data/named.recursing";
        файл-secroots "/var/named/data/named.secroots";
        разрешить-запрос { любой; };

    
зона "example.com" В {
        тип ведомый;
        мастера { 142.250.192.110; };
        файл "slaves/example.forward";
};
зона "192.250.142.in-addr.arpa" IN {
        тип ведомый;
        мастера { 142.250.192.110; };
        файл "slaves/example.reverse";
};

Когда мы казнили копать @ 127.0.0.1 host1.example.com мы получаем правильный ответ. Когда мы выполняли с локальным IP (вторичный сервер), копать @ 192.168.1.10 host1.example.com мы получаем правильный ответ.

Но когда мы выполняем команду с общедоступным IP-адресом/именем хоста вторичного сервера, например: копать @dns2.example.com host1.example.com мы получаем ошибки, как ;; время соединения истекло; нет доступа к серверам

Пожалуйста, предложите помощь в решении этой проблемы. Заранее спасибо за ваше драгоценное время и помощь.

Некоторая информация и сведения об устранении неполадок (IP-адрес и имя хоста не являются оригинальными):

Основной DNS: 142.250.192.110 (dns1.example.com)

Дополнительный DNS: 192.168.1.10 (локальный IP), 142.250.192.220 (dns2.example.com)

nslookup dns2.example.com

Сервер: 8.8.8.8
Адрес: 8.8.8.8#53

Неавторитетный ответ:
Имя: dns2.example.com
Адрес: 142.250.192.220

копать @ 127.0.0.1 host1.example.com - Успех

копать @ 192.168.1.10 host1.example.com - Успех

копать @ 142.250.192.220 host1.example.com - Неуспешный.

копать @dns2.example.com host1.example.com - Неуспешный.

tcpdump показывает передачу пакетов, с копать @ 127.0.0.1 и копать @ 192.168.1.10. Но показывает НЕТ передачи пакетов, с копать @ 142.250.192.220 и копать @dns2.example.com.

Чтобы проверить, блокирует ли брандмауэр порт 53, мы протестировали порт с помощью tcpdump, и tcpdump показывает передачу пакетов, когда это произошло. телнет 142.250.192.220 53

Примечание: У нас есть брандмауэр, который использует локальный IP-адрес NAT с общедоступным IP-адресом. Ждем ответа от сетевой команды, блокирует ли Firewall этот запрос на раскопки.

247
1 + 4
A. Darwin avatar
флаг my
A. Darwin
Является ли 192.168.1.10 частным IP-адресом вторичного DNS-сервера?
0
Ответить
флаг cn
iamsumesh
Да. это частный IP вторичного DNS.
0
Ответить
Patrick Mevzek avatar
флаг cn
Patrick Mevzek
Это означает, что `dns2.example.com` разрешается не в ваш правильный IP-адрес, а в что-то другое. Первым шагом для `dig` при использовании `@` является разрешение этого имени, чтобы иметь возможность связаться с ним, а затем отправить ему DNS-запрос.
1
Ответить
флаг cn
iamsumesh
Обновленный вопрос с подробностями IP и шагами по устранению неполадок.
0
Ответить
Рейтинг:0
avatar Server
флаг in
NiKiZe

Всегда проверяйте журналы на обоих серверах. Убедитесь, что ведомое устройство смогло получить зону. Один шаг - выполнить передачу вручную, используя копать @192.168.1.10 axfr example.com от раба, где @192.168.1.10 является ведущим в конфигурации подчиненного устройства.

разрешить передачу {}; может потребоваться на ведущем устройстве, чтобы ведомое устройство могло получить зону. Опять же, все это есть в логах.

Всегда сначала проверяйте локальный доступ. Проверьте с помощью netstat -anp, правильно ли прослушивает сервер, и снова проверьте журналы. и, в крайнем случае, попробуйте tcpdump, чтобы увидеть, какие пакеты куда идут и есть ли ответ.

0 + 3
флаг cn
iamsumesh
копать @PrimaryDNS_IP пример axfr. ком имеет успех. Выход ........ ;; Время запроса: 2 мс ;; СЕРВЕР: ОСНОВНОЙ_IP.53#53(ОСНОВНОЙ_IP) ;; КОГДА: Вт, 27 июля, 23:48:17 IST 2021 ;; Размер XFR: 94 записи (1 сообщение, 2877 байт) Похоже, вторичный может разговаривать с первичным.
0
Ответить
флаг cn
iamsumesh
Обновленный вопрос с подробностями IP и шагами по устранению неполадок.
0
Ответить
флаг in
NiKiZe
обратите внимание, что DNS использует как UDP, так и TCP на порту 53, используйте «netstat -anp | grep 53», чтобы проверить оба, проверьте, прослушивает ли он определенные ips или «любой» адрес 0.0.0.0 (что должно быть с вашей конфигурацией). , но не помешает проверить) Ознакомившись с основами, я бы сказал, что у вас проблема с маршрутизацией/брандмауэром.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.