(SOLVED) BIND9 probléma? vagy nem? Elméleti kérdés.

 ( csachi | 2014. január 31., péntek - 16:32 )

A névszolgáltatás nyújtó szerveren, ha resolv.conf -ba beteszem a localhost, mint nameserver, akkor belassul. Ezt úgy értem, hogy, ha ssh-n próbálom elérni, akkor sokkal lassabban érem el, illetve a kliensek felé a névfeloldás olyan lassú, hogy az hibára fut és olyan mintha nem lenne DNS. Ehhez rádásul társul egy olyan jelenség is, hogy az mc is nagyságrendel lassaban indul el.

Ha pedig, nincs a localhost bejegyzés a resolv.conf-ban (természetesen pl. namserver 8.8.8.8), akkor nincsenek a fenti jelenségek. Adalék, ha nslookup a localhost-on oldfel nevet normálisan működik.

MI okozhatja ezt?

//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

options {
listen-on port 53 { 127.0.0.1; 192.168.x.1/24; 10.10.x.1/24; };
# listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { localhost; 192.168.x.1/24; 10.10.x.1/24;};

/*
- If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
- If you are building a RECURSIVE (caching) DNS server, you need to enable
recursion.
- If your recursive DNS server has a public IP address, you MUST enable access
control to limit queries to your legitimate users. Failing to do so will
cause your server to become part of large scale DNS amplification
attacks. Implementing BCP38 within your network would greatly
reduce such attack surface
*/
recursion yes;

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";

managed-keys-directory "/var/named/dynamic";

pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};

zone "." IN {
type hint;
file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

ha csak nem root szervered van akkor vagy nem authoritive akkor kell forwarders resz.
bar ettol fuggetlenul kene hogy kiszolgalja a nagy semmit. ahogy latom nincs zonad. elsokent kapcsold be a queryloggolast.

option reszbe
....
querylog 1
....
plusz tedd be hogy naplozzon rendesen:
https://sites.google.com/site/jupiter2005ster/bind/logging
--
A legértékesebb idő a pillanat amelyben élsz.
https://sites.google.com/site/jupiter2005ster/

> resolv.conf -ba beteszem a localhost, mint nameserver, akkor belassul.

Ugye csak én értem félre, és ``nameserver 127.0.0.1'' van abban a resolv.host-ban? (És nem ``nameserver localhost'', ahogy írtad.)

+1
valóban, a localhostal nem fog tudni mit kezdeni....
--
A legértékesebb idő a pillanat amelyben élsz.
https://sites.google.com/site/jupiter2005ster/

[root@srv-store ~]# cat /etc/resolv.conf
search valami.lan
#nameserver 127.0.0.1
nameserver 208.67.222.222
nameserver 8.8.8.8
nameserver 208.67.220.220
nameserver 8.8.4.4

Tipp: megpróbálja feloldani az IP címedet, de persze nem bírja. Írd be a /etc/hosts fájlba és ha megjavul a móka, akkor ez volt a nyomor.

[root@srv-store ~]# cat /etc/hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6

Ki a z a 208.....

Plus a confban nem latni h lenne sajat zonad valamint a forwarders is hianyzik. Enelkul se nem továbbítja se nem szolgalja ki a kereseket mert nincs mibol.
--
A legértékesebb idő a pillanat amelyben élsz.
https://sites.google.com/site/jupiter2005ster/

Kérdésedre a válasz http://www.opendns.com/opendns-ip-addresses/

Az rendben van, hogy nincs saját zona, mert még nem csináltam meg, de ennek nem kellene zavarnia a külsős címek felodását. Lépésről lépésre, haladok, hogy ha hibázok könnyű legyen kideríteni hol. Amint látszik ez sikerült is, saját zona bénázás nélkül is.

A BIND config egy alap config (nem én találtam ki), amivel elmélketileg működnie kellene és működik is, mivel feloldja a neveket.(Kivéve, ha szerveren resolv.conf-ban benne van a localhost).

A forwarders azért nincs benne, mert tárolnia kell minden címet, a továbbítás plussz forgalmat generál minden feloldási kérelemre, ha jól gondolom. Ez pedig nagy luxus, ha nincs felfelé sávszélesség, ami el is fogy, ha elkezdenek netezni egyszerre 30-40 db. gépen.
proxy van, már ez sokat dobott a internetés látszólagos sebességén. A proxy szerveren nincs névfeloldás.

Szóval még localhos-on gyötrődök, mert a cél, hogy a szerver is fel tudja oldani magának a helyi címeket. De a publikus sem megy, ha magát kérdezi. Nem értem.

Ő, a DNS szerverednek mindenképp kell beszélnie a külvilággal, amikor nem olyat kérdeznek, amit már tud. Amikor meg igen, akkor cachel.

tipp:

állítsd be a loggolást amit adtam feljebb és nézzük meg mit mond a log ha localhostról oldasz fel FQDN és mit ha kliensről.

másik tipp:
próbáld meg a dnssec nélkül. hát ha.
--
A legértékesebb idő a pillanat amelyben élsz.
https://sites.google.com/site/jupiter2005ster/

Először is köszönöm a hozzászólásokat, segített.

A BIND conf-ban volt a hiba, mert annak kijavítása után, természetesen a resolv.conf-ban is csak a localhost (127.0.0.1) szerepel, nem tapasztaltam lassulást és a névfelodás is jó, mind a szerveren és a klienseken is.

BIND javított sora:

allow-query { localhost; 192.168.x.1/24; 10.10.x.1/24;};

erre:
allow-query { 127.0.0.1; 192.168.x.1/24; 10.10.x.1/24;};