named/bind отказывается обслуживать некоторые домены после их разрешения самостоятельно

Почему bind отклоняет некоторые мои запросы? Это происходит только для определенных доменов.

Запрос через named завершается неудачно:

$ dig -t A fedoraproject.org @127.0.0.1
;; ->>HEADER<<- код операции: QUERY, статус: SERVFAIL, id: 33117

$ журналctl -n10
...
01 августа, 17:07:11 ns3.r3.mclarkdev.com с именем [10807]: запрос заполнения преобразователя завершен
01 августа, 17:09:57 ns3.r3.mclarkdev.com с именем [10807]: истекло время разрешения «fedoraproject.org/DNSKEY/IN»: 8.8.8.8#53
01 августа, 17:09:59 ns3.r3.mclarkdev.com с именем [10807]: истекло время разрешения «fedoraproject.org/DNSKEY/IN»: 8.8.8.8#53

Однако прямой запрос к экспедитору работает:

$ dig -t A fedoraproject.org @8.8.8.8
;; ->>HEADER<<- код операции: QUERY, статус: NOERROR, id: 42249

  ... записи ...

Bind использует красивую конфигурацию по умолчанию.
Единственное, что я изменил, это разрешение запросов из любого места и добавление файла зон для обслуживания некоторых локальных записей.

параметры {
    прослушивание порта 53 { любой; };
    разрешить запрос { любой; };
    экспедиторы { 8.8.8.8; };
    рекурсия да;
    ...
    dnssec-включить да;
    dnssec-валидация да; // также пробовал авто
}

...

// включает два дополнительных определения `зоны`
включить "/opt/dns/named.zones";

Версия ОС: выпуск CentOS Linux 8.4.2105.
Версия ядра: 4.18.0-305.10.2.el8_4.x86_64
Именованная версия: СВЯЗАТЬ 9.11.26-RedHat-9.11.26-4.el8_4

смотреть tcpdump, я вижу, что named обращается к серверу пересылки и извлекает записи A, но отказывается предоставлять их клиенту после выполнения некоторых дополнительных запросов.

localhost.49683 > localhost.domain: 14274+ А? на сайте fedoraproject.org. (35)
ns3.r3.mclarkdev.com.56668 > 8.8.8.8.домен: 21852+% [1au] А? на сайте fedoraproject.org. (58)
localhost.39587 > localhost.domain: 53253+ PTR? 8.8.8.8.in-addr.arpa. (38)
ns3.r3.mclarkdev.com.55378 > 8.8.8.8.domain: 61019+% [1au] PTR? 8.8.8.8.in-addr.arpa. (61)
8.8.8.8.домен > ns3.r3.mclarkdev.com.56668: 21852$ 12/0/1 fedoraproject.org. 140.211.169.206, fedoraproject.org. 152.19.134.198, fedoraproject.org. А 8.43.85.73, fedoraproject.org. 152.19.134.142, fedoraproject.org. А 38.145.60.21, fedoraproject.org. 140.211.169.196, fedoraproject.org. 209.132.190.2, fedoraproject.org. А 8.43.85.67, fedoraproject.org. 67.219.144.68, fedoraproject.org. А 38.145.60.20, fedoraproject.org.RRSIG, fedoraproject.org. РРСИГ (528)
  /\ bind имеет записи A

ns3.r3.mclarkdev.com.52120 > 8.8.8.8.домен: 7073+% [1au] DNSKEY? на сайте fedoraproject.org. (58)
8.8.8.8.домен > ns3.r3.mclarkdev.com.55378: 61019 1/0/1 8.8.8.8.in-addr.arpa. PTR dns.google. (73)
ns3.r3.mclarkdev.com.55309 > 8.8.8.8.домен: 23607+% [1au] DS? 8.in-addr.arpa. (55)
localhost.48388 > localhost.domain: 55328+ PTR? 201.23.16.172.in-addr.arpa. (44)
  // bind делает несколько дополнительных запросов

localhost.domain > localhost.48388: 55328 NXDomain* 0/1/0 (98)
  /\ bind обслуживает NXDomain для клиента

Почему name отказывается отдавать результат клиенту? Это происходит только для примерно 1% доменов.

tcpdump показывает, что он успешно получает А запись о fedoraproject.org, но также пытается получить DNSKEY запись, которая используется для проверки DNSSEC. Но на это нет ответа.

я спросил 8.8.8.8 за это DNSKEY запись, и все заработало.

$ копать fedoraproject.org dnskey @8.8.8.8

; <<>> DiG 9.10.6 <<>> fedoraproject.org dnskey @8.8.8.8
;; глобальные параметры: +cmd
;; Получил ответ:
;; ->>HEADER<<- код операции: QUERY, статус: NOERROR, id: 63666
;; флаги: qr rd ra ad; ЗАПРОС: 1, ОТВЕТ: 4, АВТОРИЗАЦИЯ: 0, ДОПОЛНИТЕЛЬНО: 1

;; ДОПОЛНИТЕЛЬНЫЙ ПСЕВДОРАЗДЕЛ:
; ЭДНС: версия: 0, флаги:; UDP: 512
;; РАЗДЕЛ ВОПРОСОВ:
;fedoraproject.org. В DNSKEY

;; РАЗДЕЛ ОТВЕТОВ:
на сайте fedoraproject.org. 108 IN  DNSKEY  256 3 5 AwEAAcCWNQWl5pCI3iOOP2r8nStL60Zjb/2JQLQytamVap0L44z0YWft u7pu0hx3cnIM1ejQOsEwbg2/10IyC+38cYqJDXbSdFg1zGztOS5xNz7r 9hzSRK5N2jkycdJ/BoByJ4Y+XGpDqfG4I97++8sIzSrw60TmGAKTvM9v iL3ByeCN
на сайте fedoraproject.org. 108 IN  DNSKEY  257 3 5 AwEAAdTXJc0joiKGfTvLXi+LXxGpKvPvOoJEst9PR8TCCvXGVp7h3BY3 uXLkjckuT0aopCp2KF8zHgNgpMK03p1fd94pn9JZSuxfqvKsiYH2KvNO a/655oPj06jRhqAP5grX01Iz4BH411ZhGxIQ1BzZtOr1wAazojMJzLUg ChRJs8GVt3LU0e6T8z1RQF33Dt9UMHIR5EAsFAqfZ/tsbfJDYktGoZi3 nFlW7A745+ObM1LNXOWq3FcYPVzhH08Q7/7WpxmzM6/ET8VeqWIsvh8E nZNDNMfJyPbY9B1BOIrFCpE03ALgFMejaBZwmeQaX+D4Duup5xGOmdtC O4GSpM1YH6c=
на сайте fedoraproject.org. 108 IN DNSKEY 257 3 14
на сайте fedoraproject.org. 108 IN DNSKEY 256 3 14 04ZsDOgyzs3kJsJ4jEY3MYufkCOWm1OI8N4M+dlBOBmweln0TSaKfafH zNCkaPiVG4bdgdnrzwxmjpK5GQgsiB47np+I8850Ea3EJG5ORDl3f//l rr92HiYh5D

Поэтому я подозреваю, что что-то в вашей среде блокирует запрос или ответ. Это может быть проблема с брандмауэром, фильтрацией типов записей DNS или большими ответами.

Ваша установка bind блокирует проверку DNSSEC для доменов, подписанных DNSSEC. В более поздних версиях bind проверка DNSSEC включена по умолчанию, но более старые версии, такие как 9.11, должны быть явно включены:

параметры {
         ...
         автоматическая проверка dnssec;
         ...
 };