Bind "database error near"?

[quote:84ec42864b="szucs_t"]Kedves fórumozók! Mi lehet az oka annak, hogy a naplóban olyan üzenetet találok a sajatdomain.hu zónafájlra, hogy "database error near()"? Mi a hiba? A domainnév regisztrálva van. A Linuxos átjárón kifelé meg tudom pingelni pl. a www.hup.hu-t, de a www.sajatdomain.hu-t már nem. A /etc/resolv.conf-ban a 127.0.0.1-et vagy a külső vagy belső címmel rendelkező hálókártya IP-címét kell megadnom? Illetve az hogy nézzen ki?

A named.conf így néz ki:

options {
directory "/etc/named/db";

};

zone "sajatdomain.hu" in {
type master;
file "db.sajatdomain.hu";
};

zone "*.*.193.in-addr.arpa" in {
type master;
file "db.193.*.*";
};

zone "0.0.127.in-addr.arpa" in {
type master;
file "db.127.0.0";
};

zone "." in {
type hint;
file "db.cache";
};

Az érintett sajatdomain.hu zónafájl eleje pedig így:

@ IN SOA szerver.sajatdomain.hu. root.szerver.sajatdomain.hu.
(
20021015; Serial
43200 ; Refresh after 12 hours
10800 ; Retry after 3 hour
604800 ; Expire after 1 week
86400 ; Minimum TTL of 1 day
)

IN NS szerver.sajatdomain.hu.
IN NS szerver.szolgaltato.hu.

Mi lehet a probléma?

Ket dologra tudok tippelni:

- Egyreszt, szerintem a zona file (is) hibas, mert a DNS rekordok a zonafileban a szintaxis szerint egysorosak, es a '(' azt jelenti hogy tobbsoros rekord az amelyik sorban kezdodik, es a ')' -ig tart, de ha a kovetkezo sor elejen van, akkor az elozo sort mar nem veszi hozza, es igy ket hibas rekordot kapsz egy jo helyett. Szoval tedd a nyito zarojelet a SOA rekordban az elso sor vegere, valahogy igy:

[code:1:84ec42864b]
@ IN SOA localhost. root.localhost. (
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
[/code:1:84ec42864b]

- Masreszt nekem a conf fileom sem igy nez ki, egyreszt nem kell a *.*. a zonakba, masreszt az a filenevben sem tesz igazan jot, es harmadreszt nem kell az 'in' a zonanev es a '{' koze, legalabbis nekem tokeletesen mukodik a dolog a felsoroltak nelkul; nalam pl. igy nez ki egy zona file definicio a conf fileban:

[code:1:84ec42864b]
zone "127.in-addr.arpa" {
type master;
file "/etc/bind/db.127";
};
[/code:1:84ec42864b]

Ha ezek nem segitenek, akkor szolj, probalunk meg nezni... amugy melyik bind verzio?

[quote:9076ecf8b6="szucs_t"]Köszi a segítséget Finrod!

Holnap ki is próbálom a tanácsaidat. A zónafájlban igazad lehet. Tényleg külön sorokba írtam a zárójeleket, s a "database error near()" hibaüzenetet az utolsó zárójel utáni sorba írta ki, ami üres sor.

A "*.*" a zóna- és a fájlnévben természetesen nem szerepel, csak nem akartam itt megadni az IP-címeket. az "IN"-re nem írt ki semmilyen hibát. Tulajdonképpen az miért van? Mert leírásokban hol IN-nel, hol anélkül láttam.

Az IN az a cim osztalyat jelenti. Erteke lehet IN (internet cim), vagy volt meg valami mas, de arra nem emlekszem. Mindenesetre alapertelmezes az IN, ezert szokott elhagyva lenni. A rekord sor pontos szintaktikaja a kovetkezo:

[code:1:9076ecf8b6]
[name] [ttl] [class] [type] [tipusfuggo parameterek]
[/code:1:9076ecf8b6]

Ahol:
- name: rekord neve, ha el van hagyva, akkor az utoljara megadott name ervenyes itt is
- ttl: ido tipusu ertek, tehat vagy szam, vagy szam + idoegyseg. Eddig cache-elodik a rekord egy caching-dns-ben, alapertelmezett erteke a SOA rekordban van megadva
- class: lasd fent, default erteke IN
- type: a tenyleges rekord tipus, pl. A, NS, CNAME, MX, PTR, SOA stb....

Mindez egy sorban. Ha nem egy sorba akarod, akkor zarojel a sorba, ahogy korabban irtam, es akkor a csuko zarojelig ugyanennek a rekordnak a tartalmanak tekinti ami jon (a ';' tovabbra is komment a sor vegeig a zarojel belsejeben is).

[quote:9076ecf8b6="szucs_t"]
A "database error near()" egyébként mi a csuda?

Gondolom annyi akart lenni, hogy hibas a szintaxis file, es nagyon nem tudott mit kezdeni vele. Nagyjabol a kovetkezo tortent:

Az elso SOA-s sort feldolgozta, hogy kapott hozza 2 parametert, es a maradek ot parametert amit nem kapott a sorban, default ertekekkel toltotte fel.

A kovetkezo sor pedig egy zarojelben volt 5 szam, tehat 5 szam egy sorban. Abbol az elsot name-nek vette, a masodikat ttl-nek, de a harmadik szamot mar nem tudta sem class-nak, sem type-nak feldolgozni, igy bedobta a torulkozot.

ez is en voltam, csak elfelejtettem bejelentkezni

[quote:c7f67b6104="szucs_t"]Kedves Finrod!

Egy kérdésem még lenne. A /etc/HOSTNAME állományban a gépnek egy nevet adok. Mégis két kártya van benne egy-egy címmel. Ekkor a /etc/hosts állományban melyik kártyának kell adnom a HOSTNAME-ben szereplő nevet? A DNS zónafájlok most melyikre vonatkozzanak? Nyilván a belső a belsőre, a külső a külsőre. De ha én a hálózaton belülről hivatkozom a gépre, akkor melyik kártyára hivatkozom? A külső vagy a belső címűre?

Ez még érdekel.

Köszi!

Teljesen mindegy melyik kartyara mutat a nev. Mindket (belso halonak szolo es kulso halonak szolo) zonaban is szerepelhet ugyanaz a nev, mindkettoben az ohozza tartozo halokartya cimevel.

Ha belso halon hivatkozol a gepre, akkor a belsore kartzara hivatkozol, ha a kulso halon akkor a kulsore.

[quote:ba5dea1840="szucs_t"]Mi lehet az oka annak, hogy egy munkaállomásról a Linuxos átjáró külső IP-című kártyáját már tudom pingelni, de az utána lévő, külső IP-címeket már nem (nem jön vissza válasz)? Az átjáróról természetesen kifelé (is) tudok pingelni, látok mindent.

Nem lehet hogy a tuzfalszabalyaid valahol lenyelik a csomagokat?

[quote:e198958ab2="szucs_t"]Kedves Finrod!

Hogyan lehet ugyanaz a név a belső és a külső zónában szereplő névhez is úgy, hogy mindkettőben az őhozzá tartozó IP-cím van rendelve? A /etc/hosts állomány lehet mondjuk az alábbi?

127.0.0.1 localhost
172.16.0.1 szerver.tartomany.hu
192.1.1.1 szerver.tartomany.hu szerver

A belső zóna is a "szerver.tartomany.hu"-ra és a külső is a "szerver.tartomany.hu"-ra hivatkozik. A BIND tudja, hogy melyik-melyik?
[/bind]

A BIND nem nezi a /etc/hosts filet. Nem is tedd bele viszont a hosts fileba a nevet, se a kulsot se a belsot, mert van mas ami viszont nezi. Alapvetoen a szabaly, hogy amire van dns, azt ne tedd a hosts fileba. A szerveredre van dns.

"Nem lehet hogy a tuzfalszabalyaid valahol lenyelik a csomagokat?"

Hát, az lehet. Request out-ot ír ki egy külső pingelésre, még a router-eszköz címére vagy nevére is, de a szerveren simán tudok pingelni kifelé, s a szerver külső IP-címére is simán tudok pingelni a belső munkaállomásról. Ha egy gép nevét adom meg a png után, akkor a címet kiírja, tehát a névfeloldás már jó (köszi!), de valami nem okés.

Jó, ha a /etc/route.conf az alábbikat tartalmazza? (A külső címtartomány természetesen hamis, a belső akár igaz is lehet. A külső, felesleges router-eszköznek két címe is van, mondjuk: 193.2.2.1 és 192.1.1.124)

127.0.0.0 0.0.0.0 255.255.255.0 lo
192.1.1.0 0.0.0.0 255.255.255.0 eth0
172.16.0.0 0.0.0.0 255.255.0.0 eth1
193.2.2.0 192.1.1.124 255.255.255.0
default 192.1.1.124

Az a negyedik sor nekem gyanus. Mi is az pontosan? Kell az mindenkeppen? Sok ertelmet nem latom, probald ki nelkule.

[quote:e198958ab2="szucs_t"]
Minden rendszerinduláskor automatikusan egy parancssor fut le, amibe a csomagszűrést (illetve inkább engedélyezést) tettem:

#! /bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
ipchains -P output ACCEPT
ipchains -P input ACCEPT
ipchains -P forward ACCEPT
ipchains -F input
ipchains -F output
ipchains -F forward
172.16.0.0/255.255.0.0 -j ACCEPT
192.1.1.0/255.255.255.0 -j ACCEPT
ipchains -A input -s 192.1.1.0/24 -d 0.0.0.0/0 -j ACCEPT
ipchains -A input -s 172.16.0.0/16 -d 0.0.0.0/0 -j ACCEPT
ipchains -I forward -s 172.16.0.0/16 -j MASQ -l

Ez a fenti fájl zagyvaság? Te mit írnál be ahhoz, hogy letesztelhesd, hogy működik-e az átjáró (az)?

Köszi!

ipchains-el (meg ugy altalaban tuzfalakkal) nem nagyon foglalkoztam.

[quote:b18b0c8f7b="szucs_t"]Kedves Finrod! Köszi a segítőkészségedet!

A Linuxos gép egy tűzfallal ellátott átjáró lesz, amely egyben DNS-, e-mail-, web-, és esetleg DHCP-kiszolgáló feladatokat is ellátna. A hálózat egy külső és egy belső IP-címtartománnyal is rendelkezik (a külső tartományból csak a router-eszköz és a Linuxos gép címét széndékozom használni). Az internetre a szolgáltatótól kapott router-eszközzel tart kapcsolatot. A Linuxos masina kapcsolódna közvetlenül a router-eszközre, s minden más gép csak ezen keresztül kommunikálna a külvilággal. A tartomány neve mondjuk sajattartomany.hu, ami regisztrálva van a Linuxos gép külső IP-címére. A belsőre kapcsolódnak, kapcsolódnának a belső IP-című gépek.

Ezzel tovabbra se valaszoltal arra konkretan arra a kerdesre, hogy a kulvilag szamara ki a dns-szerver a sajattartomany.hu-ban.

[quote:b18b0c8f7b="szucs_t"]Ezek szerint a named.conf-ba kell a "forwarders". De ugye nem kell a belső hálózatot beállítani a DNS-ben? Az egyetlen ki- és bejárat a linuxos átjáró lenne.

Ha a tobbi gep ki kell hogy lasson a netre kozvetlenul, tehat nem a linuxos proxy-n keresztul, akkor kell a forwarders.

A Linuxos gep a kulvilagnak is web szerver, vagy csak a belso halonak?

Mellesleg minek a router? A Linuxos gep nem tudna a feladatat ellatni? Milyen kapcsolatotok van a szolgaltatoval?

[quote:b18b0c8f7b="szucs_t"]
Nem lehet, hogy valamit az elején elrontottam?

...

A fentivel kapcsolatban lenne is egy kérdésem. Ha a szervernek 2 (vagy több) hálókártyája van, akkor mindegyiknek ugyanazt a nevet kell adni, vagyis a szerver.sajatdomain.hu-t, vagy mást? vagyis a gépnek adunk nevet, vagy a kártyának?

Minden kartyanak kulon ip cime van (ha nem bridge-el), tehat kulon nevet is kell neki adni.

[quote:b18b0c8f7b="szucs_t"]

$TTL 172800
@ IN SOA localhost. root.localhost. (
2004050300 ; serial
8H ; refresh every 8 hours
2H ; retry every 2 hours
1W ; expire after one week
1D) ; minimum TTL

IN NS szerver.sajatdomain.hu.
IN NS akarmiszerver.szolgaltato.hu.

IN MX 10 szerver.sajatdomain.hu.

szerver IN A "a linuxos szerver külső IP-címe"
gw IN A "a router-eszköz IP-címe"
localhost. IN A 127.0.0.1

;ide jönnek a CNAME-ek

A DNS zónafájlokban a sorszámot, vagyis a "2004050300"-t csak ennek a zónaállománynak adhatom, vagy a többinek is? Vagy az teljesen mindegy, hogy milyen sorszámot adok neki, csak nagyobb legyen az előzőnél?

1. A localhost. sort szedd ki a zonafilebol nagyon gyorsan. Semmi keresnivaloja ott.

2. Amit te sorszamnak nevezel, az nem sorszam, hanem verzioszam. Ezeket csak ezzel a zonaval kapcsolatban nezi, egesz pontosan a slave dns nezi, mikor frissitene a master dns-rol a zonat, hogy a master-en frissebb-e a zona (nagyobb-e mod 2^31 az ottani verzioszam). Ha frissebb akkor frissiti a sajat valtozatat a szerverrol. Senki mas nem nezi. Ebbol az is kovetkezik, hogy egymastol teljesen fuggetlenul azt adsz kulonbozo zonak verzioszamanak, ami jolesik, es ami olyan hatast valt ki amit akarsz.

3. Ez a kulvilagnak vagy a belso halonak szant zonafile? A kulvilagnak ha jol latom. Ezt le kell korlatozni, hogy ezt csak a kulvilagbol latjak (a belso halo ip cime negalva, ha egy dns szerver peldany szolgalja ki a kulso es a belso halot is, illetve a kulso interface-re bindolt peldany konfigja hivatkozik csak erre).

4. A belso halonak kell egy masik zonafile a sajattartomany.hu-ra, amit csak a belso halon latnak. Lasd elozo pont.

[quote:b18b0c8f7b="szucs_t"]
És ugye a root.hint tökéletesen megfelelő az, amit a Linux alapban tartalmaz?

Altalaban az szokott lenni. Ha frissitetted a bind-ot, akkor jo.

[quote:27f25f113a="szucs_t"]Kár, hogy nincs ötleted a csomagszűrőre. A /etc/route.conf-ban a "default 192.1.1.124" sor meg az ala átjárót adja meg, azt, hogy minden átjárás, aminek útja nincs megadva, azon keresztül megy, s ahol 0.0.0.0 van írva, az arra vonatkozik. Így akkor jó?

Azt en is ertettem: en ezzel a sorral problemaztam:

193.2.2.0 192.1.1.124 255.255.255.0

Ez szerintem felesleges, sot problemas is lehet.

Azt nem értem, hogy a szerver külső IP-címét látom belülről, tehát az átjárás jó, ugyanakkor onnan kifelé meg már nem jó. Ennek mi lehet az oka? Ha nem is foglalkozol ipchainsszel, valami ötleted nincsen? Örülnék neki.

A szerver halokartyait hogy latod, az nem jelent semmit.

Debugolni ugy tudod, hogy a kimeno chainet kiirod az eth0 es eth1-nel is, es pingetsz egy nem a szerverben levo cimet.

[quote:4df5f710ba="szucs_t"]Kedves Finrod!

Mitől függ, hogy a külvilág számára én vagyok-e (illetve a szerverem) a DNS-szolgáltató, vagy sem? Mikor kell annak lenni? A külvilág számára is webszerver lesz a linux-masina. Ennek a címe lenne a szerver első hálókártyájának címe, aminek külső IP-címet adtam.

Az hogy a kulvilag szempontjabol te dns szerver vagy-e, az attol fugg, hogy a te cimed be van-e regisztralva a hu. domain nameszerverebe a sajattartomany.hu zonara, mint NS rekord (zona delegalas). Ha ez igy van, akkor a kulso es a belso halorol is jonnek keresek, es ezeknek ertelemszeruen ket kulonbozo zonat kell mutatni (mert a kulso keresekre le kell tagadni a belso nem-megmutatando gepeket).

Hasonlokepp valamilyen szinten korlatozni kellhet a webszerveren elerheto dolgokat a kulvilag szamara, nyilvan nem akarsz esetleg minden belso anyagot megmutatni a kulvilag szamara. Ezt vagy cim szerinti access control-al, vagy kulon apache peldany futtatasaval, vagy kulon cimekre (kulso ip / belso ip) rakott virtualhostokkal lehet eloidezni.

[quote:4df5f710ba="szucs_t"]
A forwarders-t már értem. A router-eszköz meg azért kell, mert a szolgáltató azt adta ide. Bérelt vonal van. Valóban ellátná a feladatát a Linux, sőt, ez lesz a feladata, de ha kell a szolgáltatónak a router, akkor kell. Én ahhoz csatlakozom.

Szerintem felesleges. A szolgaltatod azert adta, mert berleti dijat szed erte ($$$). A Linuxos gep siman ellatja a feladatat, ha nincs leterhelve. Meg lehet pl. azzal probalkozni a szolgaltato fele, hogy sajat routert vettetek, nem keritek az oveket. Szabvany berelt vonali szolgaltatasok vannak itthon, lehet hogy jobban jartok egy megfelelo kartya megvetelevel a Linuxos gepbe. Tul sok vizet nem zavar, csak egy felesleges eszkoz a kepben amit adminisztralni kell, es esetleg feltorheto.

[quote:4df5f710ba="szucs_t"]
A szerverben két hálókártya van. A 0-ás kártya kapja a (kap egy) külső címet, az 1-es meg egy belsőt. Ilyenkor két címe van, de vajon két neve is kell, hogy legyen?
Mert hát átjárást végezne. A belső kapcsolódik a LAN-ra, a külső meg a külvilágra. Köztük megy az "átjárás", "hidalás", vagy mittudomén minek hívják. Route, azt kész.

Kulonbozo cime mindenkepp van. Az azonos nevek megfontolandok, de szigoruan betartva azt, hogy a belso halonak szolo dns-ben a belso ip szerepel, a kulso halonak szolo dns-ben a kulso ip szerepel.

[quote:4df5f710ba="szucs_t"][quote:4df5f710ba="Finrod"]1. A localhost. sort szedd ki a zonafilebol nagyon gyorsan. Semmi keresnivaloja ott.

Csak most állítottam localhost.-ra, nem tudtam, mi a fene baja van még a zónafájlban. (Persze kiderült, hogy az a nyavajás karakter volt ott a szervernév és a tartománynév közöti "."-nál.) Természetesen átírom a szerver nevére, de miért baj, a "localhost." van megadva? Más gépek nem tudnak mit kezdni vele?

Az a baj vele, hogy nem abba a domain-be tartozik (abszolut cim ami nem a sajattartomany.hu. domain alatt van). Hasznalni biztos nem hasznal, mert semmi ok nincs ra, hogy ott keresse a bind. De esetleg megkavarhatja a bind-ot. Szoval legjobb esetben is feleslegesen van ott.

Annak a szerepet celszerubb egy localhost nevu zonaval eljatszatni, ahogy a Debian fel is rakja (db.local nevu file).

[quote:4df5f710ba="szucs_t"]A verziószám már világos. Sorszámnak neveztem, mert szériaszám, de a lényeget értem. Kösz!

[quote:4df5f710ba="Finrod"]3. Ez a kulvilagnak vagy a belso halonak szant zonafile? A kulvilagnak ha jol latom. Ezt le kell korlatozni, hogy ezt csak a kulvilagbol latjak (a belso halo ip cime negalva, ha egy dns szerver peldany szolgalja ki a kulso es a belso halot is, illetve a kulso interface-re bindolt peldany konfigja hivatkozik csak erre).

Igen, a külvilágnak számnt zónafájt mutattam. Ezek szerint kell a belső gépeknek is egy? Vagy nem kell, ha a munkaállomásokon megadom a DNS-kiszolgáló Linuxos masina külső című kártyájának címét? Természetesen lekorlátozom, illetve a /etc/named.conf-ba már be is állítottam, hogy milyen hálózati címről (természetesen masszkkal) láthassa.

Köszi a türelmedet!

Kell egy a belso es kell egy a kulso ip szamara. A gond azzal van, ami miatt nem trivialis az egesz, hogy ugyanarrol a zonarol van szo ket egymastol fuggetlen valtozatban. Ezt most fejbol nem tudom a bind ugyanazon peldanyanak hogy kell megmondani, en ilyesmire tinydns-t hasznalnek, es ott egyszerubb, mert kicsi a szerver, es nyugodtan futtathatok belole kettot, kulonbozo ip cimeken (kulso, belso), es akkor nincs gond.

Sziasztok.
Elnézést, most láttam, amit írtam azt már írtátok, de sajnos nem tudtam törölni a hozzászólást. bocsánat.

[quote:636cca8df2="szucs_t"]
Tehát névszervernek meg van adva a szolgáltatónk is. Ilyenkor mi a helyzet?

Nem elég, ha külön in-addr.arpa-s zónafájlt hozok létre a belső címtartományra? Vagy azt mikor szokták megadni?

Az in-addr.arpa zonafile az csak a belso halonak kell, megpedig a virtualis cimek zonaja kell (...168.192.in-addr.arpa, vagy ....10.in-addr.arpa), es csak annak szabad latni, a kulso halorol ha lekerdezheto, akkor informaciot nyujt a bent talalhato gepekrol, es foleg cimeikrol, es mellesleg ugyse delegaljak hozzatok szerintem a teljes cimtartomanyt, amiben a kulso ip-tek van, tehat annak a tartomanynak a reverse dns-et sem fogjak.

Az erdekesebb kerdes a forward dns. Abbol ket kulonbozo zonat kell fenntartani azonos neven, lasd amit korabban irtam, amibol a kulvilagnak szoloban csak a linuxos szerver nevei kell legyenek (a routernek minek nevfeloldas a kulvilag szamara?), a belso halon viszont ertelemszeruen amit belul csak akartok, viszont a belso (virtualis) ip cimekkel. Viszont a belso halo szamara megadott nevekhez es cimekhez a kulvilagnak semmi koze. Ezert kell split dns-t csinalni, amit mar elmondtam a korabbi postokban.

[quote:636cca8df2="szucs_t"]
Igazad lehet a szolgáltató routerével kapcsolatban. Nem tudom, mennyit fizetünk érte, és hogy van a szerződés. De tényleg nem sok haszna lehet, ha egyszer az átjáró én vagyok. Ennek majd utánajárok.

A tanácsodat megfogadom, külön nevet adok a belső hálókártyának. Biztos, ami biztos. A localhost zónanafájl már vissza is állítottam.

Csak arra vigyazz, hogy pl. www es mail az belulrol a belso halokartyara, kivulrol a kulso halokartyara mutasson, hogy menjen kivulrol belulrol egyforman.